Utiliser un KMS externe pour les clés de chiffrement d’extrait

S’applique à : Tableau Cloud

De nombreuses organisations requièrent un contrôle direct des clés de chiffrement qui protègent leurs données stratégiques. L’utilisation d’un service de gestion des clés externe (KMS) résout ce problème en permettant aux clients de garder le contrôle de leurs clés de chiffrement auprès d’un fournisseur externe de gestion des clés digne de confiance. Le contrôle direct des clés de chiffrement grâce à un KMS externe renforce considérablement le niveau de sécurité des organisations, particulièrement celles qui sont préoccupées par l’accès non autorisé à ces clés critiques.

Le contrôle externe des clés de chiffrement est également essentiel pour plusieurs organisations afin de répondre aux diverses obligations réglementaires et de conformité. Le contrôle direct des clés de chiffrement aide les organisations à préserver la souveraineté de leurs données, qui est importante pour les enjeux juridiques et géographiques liés au stockage et à l’accès aux données.

Depuis octobre 2025, la gestion externe des clés sur Tableau Cloud est assurée exclusivement par le KMS Amazon Web Services (AWS).

Remarque : La fonctionnalité KMS externe est disponible uniquement sur Tableau Cloud avec Tableau+, Tableau Enterprise ou Advanced Management.

Hiérarchie des clés

Le processus de chiffrement via un KMS externe utilise une hiérarchie de clés particulière qui sécurise les données et permet aux clients de conserver un contrôle direct de leurs clés de chiffrement.

Voici la hiérarchie des clés à l’aide d’un KMS externe :

  • Clé principale client (CMK) : la clé CMK est la clé racine de la hiérarchie; elle est créée et contrôlée par le client dans le KMS AWS. La liste des clés dans Tableau est une liste des clés CMK dans le KMS AWS.
  • Clé de chiffrement des clés (KEK) : les clés KEK sont générées à partir de la CMK et sont utilisées pour le chiffrement des clés de chiffrement des données (DEK).
  • Clé de chiffrement des données (DEK) : les DEK sont générées à partir des KEK et elles ont le niveau le plus bas dans la hiérarchie. Les DEK sont les clés directement utilisées pour le chiffrement et le déchiffrement des extraits.

Statuts des clés dans Tableau Cloud

Lors de l’utilisation d’un KMS externe, les clés dans Tableau présentent les statuts et les fonctionnalités ci-dessous :

  • En attente : vous avez généré une clé, mais vous ne l’utilisez pas encore. Elle ne peut pas être utilisée pour l’écriture ou la lecture des extraits tant que vous ne l’avez pas activée.
  • Actif : la clé est utilisée pour l’écriture des extraits et pour la lecture des extraits générés.
  • Archivée : la clé était active par le passé, mais a été remplacée par une clé ultérieure. Elle n’est pas utilisée pour l’écriture des extraits, mais elle permet de lire les extraits qu’elle a générés.
  • Désactivée : la clé était active, puis a été archivée par le passé. Elle n’est pas utilisée pour la lecture ou l’écriture des extraits.

Aide-mémoire des statuts et des fonctionnalités

Statut de la cléCapacité d’écriture et de chiffrement des extraitsCapacité de lecture et de déchiffrement des extraits
En attente  
Active
Archivée 
Désactivée  

Présentation de la configuration

Voici les étapes récapitulatives de l’utilisation de KMS AWS avec Tableau :

  • KMS AWS : Créez la clé principale client (CMK).
  • Tableau Cloud : Activez le chiffrement des extraits (ou migrez à partir des clés de chiffrement gérées par le client, qui utilisent le service KMS Salesforce).
  • Tableau Cloud : Générez une clé dans Tableau, en utilisant l’ARN de la clé principale client du KMS AWS.
  • KMS AWS : Ajoutez le JSON de la stratégie de clé de Tableau à la stratégie de la clé principale client d’AWS.
  • Tableau Cloud : Activez la clé.

Détails de la configuration

Créer une clé principale dans le KMS AWS

Les clés de chiffrement des clés (KEK) et les clés de chiffrement des données (DEK) utilisées par Tableau sont basées sur les clés principales client (CMK) que vous créez dans le KMS AWS(Le lien s’ouvre dans une nouvelle fenêtre). Par conséquent, une clé CMK doit être présente dans le KMS AWS pour que Tableau puisse générer des KEK et des DEK. Si vous avez besoin d’aide pour créer une clé dans le KMS AWS, adressez-vous à votre expert local en matière de clés.

La boîte de dialogue de génération des clés de Tableau contient un lien vers le KMS AWS(Le lien s’ouvre dans une nouvelle fenêtre). Vous pouvez créer la clé principale AWS à ce stade du processus, ou la créer avant de lancer le processus de génération des clés dans Tableau.

Les clés AWS sont identifiées de manière unique par un Amazon Resource Name (ARN). Vous serez invité à fournir l’ARN de la CMK pendant le processus de génération des clés Tableau. Les ARN des clés présentent le format suivant :

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

Activer le chiffrement d’extrait avec un KMS externe

Remarque : Une fois le chiffrement activé, vous ne pouvez pas le désactiver facilement. De même, le passage des clés de chiffrement gérées par le client (via le KMS Salesforce) à un KMS externe est irréversible sans l’intervention de votre gestionnaire de compte.

Pour activer un KMS externe :

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez Chiffrer des extraits.
  5. Sélectionnez Utiliser un KMS externe.
  6. Sélectionnez Générer une clé.
    • Si vous migrez du KMS Salesforce vers un KMS externe, lisez l’avertissement, puis sélectionnez Basculer vers un KMS externe.

Générer une clé

Vous devez générer une clé, puis l’activer pour écrire des extraits chiffrés. Si vous avez déjà une clé active, commencez par générer une autre clé en vue du remplacement de la clé actuellement active.

Pour générer une clé dans Tableau :

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez Générer une clé.
  5. Si vous générez la première clé pour un site, la boîte de dialogue Configurer le KMS AWS s’affiche. Si vous avez déjà une clé active, commencez par confirmer via la boîte de dialogue Générer une clé.
  6. Sélectionnez Lancer le KMS AWS. Vous êtes invité à vous connecter à AWS si vous n’êtes pas déjà connecté.
  7. Dans le KMS AWS, créez une nouvelle clé ou trouvez une clé existante, puis copiez l’ARN de la clé.
  8. Retournez à la boîte de dialogue Configurer le KMS AWS de Tableau et collez l’ARN de la clé dans le champ ARN de la clé d’AWS.
  9. Vous pouvez aussi entrer une Description.
  10. Sélectionnez Suivant (ou Activer le chiffrement, s’il s’agit de la première clé pour le site).
  11. Sélectionnez Terminé pour ajouter ultérieurement le JSON de la stratégie de clé au KMS AWS, ou suivez la procédure Utiliser un KMS externe pour les clés de chiffrement d’extrait pour le faire maintenant.

La clé ne peut pas être utilisée pour la lecture ou l’écriture des extraits tant que vous n’avez pas ajouté le JSON de la stratégie de clé à la stratégie du KMS AWS et que vous ne l’avez pas activée.

Ajouter un JSON de la stratégie de clé à la stratégie de clé du KMS

Une clé nouvellement générée a le statut En attente et ne peut pas être utilisée pour l’écriture ou la lecture des extraits, tant que vous n’avez pas ajouté le JSON de la stratégie de clé à la stratégie du KMS AWS et que vous ne l’avez pas activée.

Pour voir le JSON de la stratégie de clé, continuez à partir du processus Générer une clé.

Ou, si vous ne suivez pas ce processus :

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez le menu Actions (...) à côté de la clé En attente concernée.
  5. Sélectionnez Stratégie de clé.

Pour ajouter le JSON de la stratégie de clé à la stratégie du KMS AWS, vous devez copier l’objet Statement concerné depuis Tableau et le coller dans le JSON de la stratégie du KMS AWS. Vous n’avez besoin que d’une partie du texte JSON complet. Il est plus facile de sélectionner Copier la stratégie de clé, de la coller dans un éditeur de texte et d’y manipuler le JSON que d’utiliser la boîte de dialogue.

À partir du texte JSON, copiez l’objet dans le tableau Statement. Collez ensuite le texte copié dans le tableau Statement de la stratégie de clé du KMS AWS, en respectant la syntaxe JSON standard. (Vous devrez probablement ajouter une virgule à la fin du Statement du KMS AWS existant avant d’ajouter le nouveau JSON.)

Exemple :

La partie en surbrillance est la section à ajouter à la stratégie du KMS AWS :

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [

        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }

    ]
}

Activer une clé

Activez une clé pour l’utiliser lors de la lecture et de l’écriture de nouveaux extraits. L’action Activer une clé n’est disponible que pour une clé En attente.

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez le menu Actions (...) à côté de la clé En attente concernée.
  5. Sélectionnez Activer une clé....

Si vous avez déjà une clé active, l’activation d’une nouvelle clé change le statut de la clé existante à Archivée. Une clé archivée est uniquement utilisée pour la lecture des extraits qu’elle a générés. La nouvelle clé deviendra Active et sera utilisée pour l’écriture de nouveaux extraits et pour la lecture des extraits qu’elle a générés.

Remarque : Suite à l’activation du chiffrement et de la première clé sur un site, Tableau Cloud crée une tâche en arrière-plan de chiffrement d’extrait pour chaque extrait sur votre site. Ces tâches disposent de la priorité la plus basse, ce qui signifie qu’elles s’exécutent uniquement en cas de ressources supplémentaires. Les tâches d’actualisation d’extrait existantes s’exécutent avant le chiffrement des extraits.

Autres actions

Archiver une clé

Les clés archivées peuvent lire les extraits qu’elles ont générés, mais ne sont pas utilisées pour l’écriture de nouveaux extraits. La seule façon d’archiver une clé est d’en activer une nouvelle. Consultez Activer une clé.

Désactiver une clé

La désactivation d’une clé archivée la rend inutilisable pour la lecture ou l’écriture de tout extrait. Vous pourriez l’envisager si la clé a été compromise. L’action Désactiver une clé n’est disponible que pour une clé Archivée.

Lorsque vous désactivez une clé, elle ne peut pas être utilisée pour la lecture des extraits qu’elle a générés (contrairement à une clé archivée qui peut lire les extraits qu’elle a générés). Cela signifie que certains contenus basés sur les extraits peuvent devenir inaccessibles si leur chiffrement n’a pas été réalisé avec une clé active. Pour conserver l’accès aux contenus basés sur les extraits qui utilisent l’ancienne clé, prenez soin d’actualiser les extraits avec une clé active avant de désactiver l’ancienne clé.

Remarque : Vous pouvez Restaurer une clé désactivée si nécessaire. La restauration d’une clé la fera passer de Désactivée à Archivée. Consultez Restaurer une clé.

Pour désactiver une clé :

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez le menu Actions (...) à côté de la clé Archivée concernée.
  5. Sélectionnez Désactiver une clé....
  6. Entrez « Désactiver cette clé » dans le champ de texte pour confirmer votre action.
  7. Sélectionnez Désactiver une clé.

Restaurer une clé

La restauration d’une clé désactivée permet de l’utiliser pour la lecture des extraits qu’elle a générés. L’action Restaurer une clé n’est disponible que pour une clé Désactivée et la fait passer au statut Archivée.

Si vous restaurez une clé au statut archivé, elle ne sera pas utilisée pour l’écriture des extraits. Elle sera uniquement utilisée pour la lecture des extraits qu’elle a générés.

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez le menu Actions (...) à côté de la clé Désactivée concernée.
  5. Sélectionnez Restaurer une clé....
  6. Sélectionnez Restaurer une clé.

Supprimer une clé

Vous ne pouvez pas supprimer des clés dans Tableau Cloud. Une clé peut uniquement être archivée (maintien de sa capacité à lire le contenu qu’elle a généré) ou désactivée (aucun accès en lecture ou en écriture). Consultez Statuts des clés dans Tableau Cloud.

Remarque : Si vous désactivez la clé principale client (CMK) dans le KMS AWS, les clés Tableau générées à partir de la CMK ne pourront plus être utilisées pour le chiffrement ou le déchiffrement. De même, si vous supprimez la clause générée par Tableau de la stratégie de la clé CMK dans le KMS AWS, les clés Tableau générées à partir de cette clé cesseront de fonctionner.

Consulter la stratégie de clé

La boîte de dialogue Stratégie de clé affiche le JSON de la stratégie de clé qui sera ajouté à la stratégie de clé du KMS AWS. Le JSON de la stratégie de clé peut être ajouté pendant le processus Générer une clé ou ultérieurement.

Pour plus d’informations, consultez Utiliser un KMS externe pour les clés de chiffrement d’extrait.

Pour connaître la stratégie à ajouter à la stratégie de clé du KMS AWS :

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez le menu Actions (...) à côté de la clé concernée.
  5. Sélectionnez Stratégie de clé.

Consulter l’historique d’une clé

Chaque ligne de la table d’historique des clés affiche un événement, le statut de la clé après l’événement, ainsi que la date et l’heure de l’événement.

Pour afficher l’historique d’une clé :

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez le menu Actions (...) à côté de la clé concernée.
  5. Sélectionnez Historique d’une clé.

Tester la configuration

Utilisez l’action Tester la configuration sur une clé en attente pour déterminer si elle peut être activée. Utilisez l’action Tester la configuration sur les clés ayant d’autres statuts pour vérifier si elles fonctionnent, si elles devraient fonctionner ou si elles ne fonctionneront pas.

Pour tester la configuration d’une clé :

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, sélectionnez le menu Actions (...) à côté de la clé concernée.
  5. Sélectionnez Tester la configuration....

Réussite :

  • La clé peut être utilisée pour le chiffrement d’extraits. Une clé dont le statut est En attente peut être activée en toute sécurité. Si la clé est déjà active, elle fonctionne.

Erreurs :

  • POLICY_DENIED : le KMS externe n’a pas de stratégie qui autorise cette clé. Vérifiez que vous avez copié la stratégie de cette clé vers le KMS externe.
  • KEY_NOT_FOUND : la clé est introuvable ou désactivée dans Tableau. Confirmez l’ARN et la stratégie de clé du KMS AWS.
  • UNKNOWN : une erreur inconnue s’est produite. Vérifiez que la clé n’est pas désactivée dans le KMS AWS et réessayez.

Remarque : Si vous désactivez la clé principale client (CMK) dans le KMS AWS, les clés Tableau générées à partir de la CMK ne pourront plus être utilisées pour le chiffrement ou le déchiffrement. De même, si vous supprimez la clause générée par Tableau de la stratégie de la clé CMK dans le KMS AWS, les clés Tableau générées à partir de cette clé cesseront de fonctionner.

Migrer des clés de chiffrement gérées par le client vers un KMS externe

Remarque : Le passage des clés de chiffrement gérées par le client à un KMS externe est irréversible sans l’intervention de votre gestionnaire de compte.

La migration des clés de chiffrement gérées par le client (via le KMS Salesforce) vers un KMS externe est simple, mais irréversible sans l’intervention de votre gestionnaire de compte. Suite à cette modification, vos clés seront gérées dans le KMS externe plutôt que le KMS Salesforce. Assurez-vous de comprendre comment exécuter les fonctions des principales clés dans le KMS externe avant de migrer des clés de chiffrement gérées par le client vers un KMS externe.

Après la migration, la clé générée à partir du KMS externe sera utilisée pour l’écriture de nouveaux extraits. La clé du KMS Salesforce continuera à lire les extraits qu’elle a générés, jusqu’à ce qu’ils soient actualisés en utilisant la clé basée sur le KMS externe.

Pour plus d’informations sur les clés de chiffrement gérées par le client et le KMS Salesforce, consultez Clés de chiffrement gérées par le client(Le lien s’ouvre dans une nouvelle fenêtre).

Pour migrer des clés de chiffrement gérées par le client vers un KMS externe :

  1. Connectez-vous à votre site Tableau Cloud.
  2. Dans le volet de navigation de gauche, sélectionnez Paramètres.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Chiffrement d’extrait, remplacez Utiliser un KMS Salesforce par Utiliser un KMS externe.
  5. Lisez l’avertissement, puis sélectionnez Passer à un KMS externe.
Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!