Configurer le fichier journal d’activité

Le fichier journal d’activité contient des événements détaillés pour votre déploiement Tableau que vous pouvez utiliser à des fins de conformité, de surveillance et d’audit. Vous devez effectuer les étapes suivantes pour utiliser le fichier journal d’activité.

Conditions préalables

Pour utiliser le fichier journal d’activité, vous devez remplir toutes les conditions suivantes :

  • Tableau Cloud avec Advanced Management

  • Compte Amazon Web Services (AWS)

    • Vous aurez besoin de votre propre compte AWS pour effectuer ces étapes.
    • Vous aurez également besoin du numéro de compte Tableau AWS (061095916136 ) à l’étape 3 ci-dessous pour recevoir le journal des activités dans votre compartiment Amazon Simple Storage Service (S3).
  • Compartiment Amazon Simple Storage Service (S3) pour recevoir des données

  • Clé AWS Key Management Service (KMS) à région unique pour le compartiment Amazon S3 que vous créez lors de la configuration.

Étape 1. Créer un compte AWS

Si vous n’avez pas encore de compte Amazon Web Services (AWS), vous pouvez créer un compte AWS(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.

Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations

  1. Créez un compartiment Amazon S3 pour recevoir les données de votre fichier journal. Pour plus d’information, consultez la section Créer un compartiment(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.

  2. Configurez le compartiment Amazon S3 avec les paramètres suivants :

    1. Sous Propriété de l’objet, sélectionnez Listes ACL désactivées (recommandé). Vous avez ainsi l’assurance que le propriétaire du compartiment est le propriétaire de tous les objets qui y sont écrits.

    2. Sous Historique des révisions du compartiment, sélectionnez Activer. L’historique des révisions du compartiment doit être activée pour répliquer des objets.

    3. Sous Chiffrement par défaut, sélectionnez Activer.

    4. Choisissez AWS Key Management Service (SSE-KMS).

    5. Choisissez Entrer l’ARN de la clé AWS KMS.

    6. Cliquez sur le bouton Créer une clé qui s’affiche pour créer une nouvelle clé AWS Key Management Service (KMS).

      Remarque : les clés KMS multi-régions ne sont pas prises en charge.

    7. Sélectionnez le type de clé symétrique et chiffrez et déchiffrez l’utilisation de la clé.

    8. Attribuez un nom d’alias à la clé, puis cliquez jusqu’à la page de révision.

    9. Ajoutez l’instruction suivante à la liste d’instructions figurant dans la stratégie de clé, pour autoriser Tableau à chiffrer des objets dans le compartiment S3.

      Remarque : cette instruction permet au rôle Tableau IAM de chiffrer les objets placés dans le compartiment Amazon S3. "kms:GenerateDataKey" est utilisé pour générer une clé de données de manière à chiffrer les objets en double. "kms:Encrypt" est utilisé pour chiffrer les objets en double créés dans le compartiment S3 cible. "Ressource" : "*" accorde l’autorisation de la clé KMS uniquement au rôle de réplication et ne permet pas au rôle d’élever ses autorisations. Pour plus d’information, consultez la section Protection des données grâce au chiffrement côté serveur avec AWS Key Management Service (SSE-KMS)(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. Cliquez sur Terminer pour créer la clé KMS.

    11. Cliquez sur Créer un compartiment pour créer un compartiment Amazon S3.

  3. Mettez à jour les autorisations sur la stratégie de compartiment Amazon S3.

    1. Ouvrez le compartiment Amazon S3 et cliquez sur l’onglet Autorisations.

    2. Localisez la section Stratégie de compartiment et cliquez sur Modifier.

    3. Ajoutez les éléments suivants à la liste d’instructions de la stratégie de compartiment. Remplacez S3-BUCKET-NAME par le nom du compartiment.

      Remarque : cette instruction permet au rôle Tableau IAM de répliquer des objets dans le compartiment. L’utilisation de "*" et "<path> /*" permet d’accéder à tous les préfixes du compartiment et du chemin spécifiés dans le compartiment, respectivement. Les autorisations "s3:ReplicateObject" et "s3:ReplicateDelete" sont les autorisations minimales requises pour répliquer des objets et supprimer des marqueurs avec succès. Consultez la section Octroi d’autorisations quand les compartiments source et de destination appartiennent à des comptes AWS différents(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web AWS.

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. Facultatif. Si votre compartiment de destination a une stratégie qui restreint l’accès par un point de terminaison Amazon Virtual Private Cloud (VPC), vous devez modifier la stratégie de compartiment en plus du TableauS3ReplicationRoleAccess que vous venez d’ajouter. Pour plus d’information, consultez Comment puis-je restreindre l’accès à mon compartiment Amazon S3 à l’aide de points de terminaison VPC ou d’adresses IP spécifiques?(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.

      Si la stratégie de compartiment actuelle contient une restriction VPC telle que :

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Modifiez ainsi la liste "Condition" pour inclure les éléments suivants :

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      Remarque : vous devez utiliser l’identifiant de rôle "AROAQ4OMZWJUBZG3DRFW5" pour le rôle Tableau IAM.

      La stratégie modifiée doit se présenter ainsi :

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Cette stratégie autorise explicitement le rôle Tableau IAM à ReplicateObject et ReplicateDelete. Elle exclut en outre le rôle de l’instruction de refus VPC explicite existante.

    6. Cliquez sur Enregistrer les modifications.

Étape 3. Configurer Tableau Cloud

  1. Accédez à votre site Tableau.

  2. Sur la page Paramètres de votre site, sélectionnez l’onglet Intégrations.

  3. Dans la section Fichier journal d’activité, sélectionnez le bouton Activer.

  4. Dans la boîte de dialogue Configurer la connexion, entrez l’information suivante :

    1. Dans la zone Numéro de compte AWS, saisissez votre numéro de compte AWS à 12 chiffres. Il s’agit du numéro de compte AWS associé à l’emplacement de votre compartiment Amazon S3.

    2. Dans la zone Nom du compartiment S3, saisissez le nom du compartiment Amazon S3 où les fichiers du journal des activités seront livrés. Il s’agit du compartiment Amazon S3 que vous avez créé à l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations. Il doit s’agir d’un nom valide conformément aux exigences relatives aux noms de compartiments AWS.

    3. Dans la zone ARN de la clé KMS, saisissez l’Amazon Resource Name (ARN) de la clé KMS que vous avez créée à l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations. Le numéro de compte figurant dans l’ARN doit correspondre au numéro de compte AWS fourni et avoir une mise en forme valide (à savoir arn:aws:kms:<region>:<account-id>:key/<key-id>).

  5. Cliquez sur Soumettre.

    La colonne d’état de la connexion affiche En cours lorsque le système tente de répliquer un fichier texte dans le compartiment Amazon S3 cible pour tester la connexion.

    Lorsque le fichier a été répliqué avec succès dans le compartiment Amazon S3 cible, la colonne d’état de la connexion indique En attente de vérification et affiche un widget pour saisir « Tester le contenu du fichier ». Vous devrez peut-être actualiser la page pour voir les mises à jour.

Vérifier la réplication du fichier de sécurité

  1. Accédez au compartiment Amazon S3 cible et recherchez le dossier commençant par siteLuid (le reste du nom est l’identifiant unique du site).

  2. Trouvez le fichier texte nommé SECURITY_VERIFICATION_FILE.txt .

  3. Téléchargez et ouvrez le fichier texte.

  4. Copiez le contenu du texte à l’intérieur du fichier.

  5. Revenez à la page Paramètres et collez le contenu du texte dans le champ de saisie Contenu du fichier texte, puis cliquez sur Soumettre.

  6. Si le contenu soumis est correct, l’état de la connexion passe à Activée. Le fichier journal d’activité est maintenant activé et les données commenceront à être répliquées dans le compartiment Amazon S3 cible.

  7. Si le contenu soumis est incorrect, un message d’erreur s’affiche. Vérifiez que le contenu a été copié correctement sans caractères ni espaces supplémentaires.

Résolution des problèmes

Le fichier de vérification de sécurité n’apparaît pas?

Autres paramètres requis pour que les fichiers journaux atteignent le compartiment Amazon S3

  • L’historique des révisions du compartiment est activée pour le compartiment Amazon S3 (sous Propriétés > Historique des révisions du compartiment).

  • L’option Bloquer tous les accès publics est activée pour le compartiment Amazon S3 (sous Autorisations > Bloquer l’accès public (paramètres du compartiment)).

  • Le compartiment Amazon S3 dispose des autorisations ACL suivantes uniquement pour le « propriétaire du compartiment » (sous Autorisations > Liste de contrôle d’accès (ACL)) :

    • Objets : liste, écriture

    • ACL du compartiment : lecture, écriture

  • La stratégie d’autorisations de clé KMS contient l’instruction décrite à l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations, étape 2. i. (sous Propriétés > Chiffrement par défaut, cliquez sur l’ARN sous ARN de la clé KMS d’AWS pour accéder à la stratégie de clé KMS).

  • Le chiffrement par défaut est activé pour le compartiment Amazon S3 ainsi qu’une clé de compartiment (sous Propriétés > Chiffrement par défaut).

  • La stratégie d’autorisations du compartiment Amazon S3 (sous Autorisations > Stratégie de compartiment) correspond exactement à celle des instructions. Assurez-vous d’avoir remplacé l’exemple de valeur "S3-BUCKET-NAME" par le compartiment Amazon S3 que vous venez de créer.

Changement de région AWS pour les sites des modules Europe - Irlande

Entre août à décembre 2024, Tableau Cloud migrera vers un module Hyperforce(Le lien s’ouvre dans une nouvelle fenêtre) de Salesforce. Dans le cadre de la migration, les modules de la région Europe - Irlande seront déplacés vers la région Europe - Allemagne. Si votre site se trouve sur un module de la région Europe - Irlande, vous devrez reconfigurer le journal d’activité pour utiliser un compartiment AWS S3 dans la nouvelle région, Europe - Allemagne.

Pour plus d’informations sur la migration et la période de déplacement des modules de la région Europe - Irlande, consultez l’article de connaissance Migration de Tableau Cloud vers Hyperforce(Le lien s’ouvre dans une nouvelle fenêtre).