Configurer le journal d’activité
Le journal d’activité contient des événements détaillés de votre déploiement Tableau que vous pouvez utiliser pour la conformité, la surveillance et l’audit. Vous devez effectuer les étapes suivantes pour utiliser le journal d’activité.
Conditions préalables
Pour utiliser le journal d’activité, vous devez remplir toutes les conditions suivantes :
Tableau Cloud avec Advanced Management
Compte Amazon Web Services (AWS)
- Vous aurez besoin de votre propre compte AWS pour effectuer ces étapes.
- Vous aurez également besoin du numéro de compte Tableau AWS (
061095916136
) à l’Étape 3 ci-dessous, pour recevoir le journal d’activité dans votre compartiment Amazon Simple Storage Service (S3).
Compartiment Amazon Simple Storage Service (S3) pour recevoir des données
Vous allez créer un compartiment Amazon S3 dans le cadre du processus de configuration. Amazon S3 est actuellement la seule option de livraison de données prise en charge.
Vous devez créer le compartiment Amazon S3 dans la même région AWS que celle où votre site Tableau Cloud est hébergé. Pour plus d’informations sur les emplacements des données, consultez La sécurité dans le Cloud(Le lien s’ouvre dans une nouvelle fenêtre) et Adresses IP Tableau Cloud autorisées pour le fournisseur de données(Le lien s’ouvre dans une nouvelle fenêtre).
Important : les pods de la région Europe - Irlande sont déplacés vers la région Europe - Allemagne dans le cadre de la migration de Tableau Cloud vers Hyperforce. Si votre site réside sur un pod Europe - Irlande, vous devrez reconfigurer le journal d’activité pour utiliser un compartiment AWS S3 dans la nouvelle région, Europe - Allemagne. Pour plus d’informations, consultez Changement de région AWS pour les sites sur les pods Europe - Irlande ci-dessous.
Clé de zone géographique unique AWS Key Management Service (KMS) pour le compartiment Amazon S3 que vous créez lors de la configuration.
Étape 1. Créer un compte AWS
Si vous n’avez pas encore de compte Amazon Web Services (AWS), vous pouvez vous inscrire à un compte AWS(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.
Créez un compartiment Amazon S3 pour recevoir vos données de journal. Pour plus d’informations, consultez Créer un compartiment(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.
Configurez le compartiment Amazon S3 avec les paramètres suivants :
Sous Propriété de l’objet, sélectionnez ACL désactivées (recommandé). Cela garantit que le propriétaire du compartiment est le propriétaire de tous les objets qui y sont écrits.
Sous Gestion des versions sur les compartiments, sélectionnez Activer. La gestion des versions sur les compartiments doit être activée pour répliquer des objets.
Sous Chiffrement par défaut , sélectionnez Activer.
Choisissez AWS Key Management Service (SSE-KMS).
Choisissez Entrer l’ARN de la clé AWS KMS.
Cliquez sur le bouton Créer une clé qui s’affiche pour créer une nouvelle clé AWS Key Management Service (KMS).
Remarque : Les clés multirégionales KMS ne sont pas prises en charge.
Sélectionnez le type de Clé symétrique et Chiffrer et déchiffrer l’utilisation de la clé.
Nommez la clé avec un alias, puis cliquez jusqu’à la page Révision.
Ajoutez la déclaration suivante à la Liste des éléments dans la stratégie de clé afin que Tableau puisse accéder au chiffrement des objets dans le compartiment S3.
Remarque : cette instruction permet au rôle Tableau IAM de chiffrer les objets placés dans le compartiment Amazon S3. « kms:GenerateDataKey » est utilisé pour générer une clé de données pour chiffrer les répliques d’objets. « kms:Encrypt » est utilisé pour chiffrer les réplicas d’objets créés dans le compartiment S3 cible. « Ressource » : « * » accorde l’autorisation pour la clé KMS uniquement au rôle de réplication et n’autorise pas le rôle à élever ses autorisations. Pour plus d’informations, consultez Protection des données grâce au chiffrement côté serveur avec AWS Key Management Service (SSE-KMS)(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.
{
"Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*"
}
Cliquez sur Terminer pour créer la clé KMS.
Cliquez sur Créer un compartiment pour créer le compartiment Amazon S3.
Mettez à jour les autorisations sur la stratégie de compartiment Amazon S3.
Ouvrez le compartiment Amazon S3 et cliquez sur l’onglet Autorisations.
Localisez la section Stratégie de compartiment et cliquez sur Modifier.
Ajoutez ce qui suit à la Liste des éléments dans la stratégie de compartiment. Remplacez S3-BUCKET-NAME par le nom du compartiment.
Remarque : cette instruction permet au rôle Tableau IAM de répliquer des objets dans le compartiment. L’utilisation de « * » et « <path>/* » accorde l’accès à tous les préfixes du compartiment et du chemin spécifiés dans le compartiment, respectivement. Les autorisations « s3:ReplicateObject » et « s3:ReplicateDelete » sont les autorisations minimales requises pour répliquer avec succès des objets et supprimer des marqueurs. Consultez Octroi d’autorisations lorsque les compartiments source et destination appartiennent à différents Comptes AWS(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web AWS.
Facultatif. Si votre compartiment de destination a une stratégie qui restreint l’accès via un point de terminaison Amazon Virtual Private Cloud (VPC), vous devez modifier la stratégie de compartiment en plus du TableauS3ReplicationRoleAccess que vous venez d’ajouter. Pour plus d’informations, consultez Comment puis-je restreindre l’accès à mon compartiment Amazon S3 en utilisant des points de terminaison d’un VPC ou des adresses IP spécifiques ?(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.
Si la règle de compartiment actuelle contient une restriction VPC de ce type :
{
"Sid": "Restricted VPC Access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:",
"Resource": [
"arn:aws:s3:::<S3-BUCKET-NAME>",
"arn:aws:s3:::<S3-BUCKET-NAME>/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-<ID>"
}
}
}
Modifiez ensuite la liste "Condition" pour inclure les éléments suivants :
"StringNotLike": {
"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
}
Remarque : vous devez utiliser l’ID de rôle « AROAQ4OMZWJUBZG3DRFW5 » pour le rôle Tableau IAM.
Le graphique se met à jour et se présente ainsi :
{
"Sid": "Restricted VPC Access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:",
"Resource": [
"arn:aws:s3:::<S3-BUCKET-NAME>",
"arn:aws:s3:::<S3-BUCKET-NAME>/*"
],
"Condition": {
"StringNotLike": {
"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
},
"StringNotEquals": {
"aws:SourceVpc": "vpc-<ID>"
}
}
}
Cette stratégie autorise explicitement le rôle Tableau IAM à ReplicateObject et ReplicateDelete, et exclut en outre le rôle de l’instruction de refus VPC explicite existante.
Cliquez sur Enregistrer les modifications.
{
"Sid": "TableauS3ReplicationRoleAccess",
"Effect": "Allow",
"Principal": {
"AWS":
"arn:aws:iam::061095916136:role/prod-replication-rule-role"
},
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": [
"arn:aws:s3:::S3-BUCKET-NAME",
"arn:aws:s3:::S3-BUCKET-NAME/*"
]
}
Tableau Cloud
Étape 3. ConfigurerAccédez à votre site Tableau.
Dans la page Paramètres, sélectionnez l’onglet Intégrations.
Dans la section Journal d’activité, sélectionnez le bouton Activer.
Dans la boîte de dialogue Configurer la connexion, saisissez les informations suivantes :
Dans la zone Numéro de compte AWS, saisissez le numéro de votre compte AWS à 12 chiffres. Il s’agit du numéro de compte AWS associé à votre emplacement de compartiment Amazon S3.
Dans la zone Nom du compartiment S3, saisissez le nom du compartiment Amazon S3 où les fichers du journal d’activité seront livrés. Il s’agit du compartiment Amazon S3 que vous avez créé à l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations.Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations. Ce doit être un nom valide conforme aux exigences de nom de compartiment AWS.
Dans la zone ARN de la clé KMS, saisissez le nom Amazon Resource Name (ARN) de la clé KMS que vous avez créé à l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations.Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations. Le numéro de compte dans l’ARN doit correspondre au numéro de compte AWS fourni et utiliser un format valide (à savoir arn:aws:kms:<region>:<account-id>:key/<key-id>).
Cliquez sur Envoyer.
La colonne d’état de la connexion affiche En cours lorsque le système tente de répliquer un fichier texte dans le compartiment Amazon S3 cible pour tester la connexion.
Une fois le fichier répliqué avec succès dans le compartiment Amazon S3 cible, la colonne d’état de la connexion indiquera En attente de vérification et affichera un widget pour saisir «Tester le contenu du fichier ». Vous devrez peut-être actualiser la page pour voir les mises à jour.
Vérifier la réplication du fichier de sécurité
Accédez au compartiment Amazon S3 cible et recherchez le dossier commençant par siteLuid (le reste du nom est l’identifiant unique du site).
Trouvez le fichier texte nommé
SECURITY_VERIFICATION_FILE.txt
.Téléchargez et ouvrez le fichier texte.
Copiez le contenu du texte dans le fichier.
Revenez à la page Paramètres et collez le contenu du texte dans le champ de saisie Contenu du fichier texte, puis cliquez sur Envoyer.
Si le contenu envoyé est correct, l’état de la connexion passe à Actif. Le journal d’activité est maintenant activé et les données commenceront à être répliquées dans le compartiment Amazon S3 cible.
Si le contenu envoyé est incorrect, un message d’erreur s’affiche. Vérifiez que le contenu a été correctement copié sans caractères ni espaces supplémentaires.
Résolution des problèmes
Le fichier de vérification de sécurité n’apparaît pas ?
Il faut parfois jusqu’à 15 minutes pour que le fichier apparaisse dans le compartiment Amazon S3 cible en raison des limitations d’Amazon S3.
Si l’état de la connexion indique « En cours », le fichier tente toujours de se répliquer. Pour plus d’informations, consultez Résolution des problèmes de réplication(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.
Un état de connexion Échec signifie que le fichier n’a pas pu être répliqué correctement.
Vérifiez que les autorisations sur la stratégie de compartiment Amazon S3 et la stratégie de clé AWS Key Management Service (KMS) contiennent les instructions appropriées. Pour plus d’informations, consultez les rubriques suivantes sur le site Web d’AWS :
- Résolution des problèmes de réplication(Le lien s’ouvre dans une nouvelle fenêtre)
- Configuration d’une réplication quand les compartiments source et de destination appartiennent à des comptes distincts(Le lien s’ouvre dans une nouvelle fenêtre)
- J’ai configuré la réplication entre mes compartiments, mais la réplication de nouveaux objets ne se fait pas. Comment puis-je résoudre ce problème ?(Le lien s’ouvre dans une nouvelle fenêtre)
Autres paramètres requis pour que les fichiers journaux atteignent le compartiment Amazon S3
La Gestion des versions de compartiment est activée pour le compartiment Amazon S3 (sous Propriétés > Gestion des versions de compartiment).
L’option Bloquer tous les accès publics est activée pour le compartiment Amazon S3 (sous Autorisations > Bloquer l’accès public (paramètres du compartiment)).
Le compartiment Amazon S3 dispose des autorisations ACL suivantes uniquement pour le « propriétaire du compartiment » (sous Autorisations > Liste de contrôle d’accès (ACL)) :
Objets : liste, écriture
ACL de compartiment : lecture, écriture
La stratégie d’autorisations de clé KMS contient la déclaration de l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations.Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations, Étape 2. i. (sous Propriétés > Chiffrement par défaut, cliquez sur l’ARN sous ARN de clé AWS KMS pour accéder à la stratégie de clé KMS).
Le chiffrement par défaut est activé pour le compartiment Amazon S3 et une clé de compartiment est activée (sous Propriétés > Chiffrement par défaut).
La stratégie d’autorisations de compartiment Amazon S3 (sous Autorisations > Stratégie de compartiment) correspond exactement à celle des instructions. Assurez-vous d’avoir remplacé l’exemple de valeur "S3-BUCKET-NAME" par le compartiment Amazon S3 que vous venez de créer.
Changement de région AWS pour les sites sur les pods Europe - Irlande
Entre août et décembre 2024, Tableau Cloud migrera vers Hyperforce(Le lien s’ouvre dans une nouvelle fenêtre) de Salesforce par pod. Dans le cadre de la migration, les pods de la région Europe - Irlande se déplacent vers la région Europe - Allemagne. Si votre site réside sur un pod Europe - Irlande, vous devrez reconfigurer le journal d’activité pour utiliser un compartiment AWS S3 dans la nouvelle région, Europe - Allemagne.
Pour plus d’informations sur la migration et sur la date à laquelle les pods Europe - Irlande seront déplacés, consultez l’article Migration de Tableau Cloud vers Hyperforce(Le lien s’ouvre dans une nouvelle fenêtre) de la Base de connaissances.