Configurer le journal d’activité

Le journal d’activité contient des événements détaillés de votre déploiement Tableau que vous pouvez utiliser pour la conformité, la surveillance et l’audit. Vous devez effectuer les étapes suivantes pour utiliser le journal d’activité.

Conditions préalables

Pour utiliser le journal d’activité, vous devez remplir toutes les conditions suivantes :

  • Tableau Cloud avec Advanced Management

  • Compte Amazon Web Services (AWS)

    • Vous aurez besoin de votre propre compte AWS pour effectuer ces étapes.
    • Vous aurez également besoin du numéro de compte Tableau AWS (061095916136 ) à l’Étape 3 ci-dessous, pour recevoir le journal d’activité dans votre compartiment Amazon Simple Storage Service (S3).
  • Compartiment Amazon Simple Storage Service (S3) pour recevoir des données

  • Clé de zone géographique unique AWS Key Management Service (KMS) pour le compartiment Amazon S3 que vous créez lors de la configuration.

Étape 1. Créer un compte AWS

Si vous n’avez pas encore de compte Amazon Web Services (AWS), vous pouvez vous inscrire à un compte AWS(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.

Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations

  1. Créez un compartiment Amazon S3 pour recevoir vos données de journal. Pour plus d’informations, consultez Créer un compartiment(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.

  2. Configurez le compartiment Amazon S3 avec les paramètres suivants :

    1. Sous Propriété de l’objet, sélectionnez ACL désactivées (recommandé). Cela garantit que le propriétaire du compartiment est le propriétaire de tous les objets qui y sont écrits.

    2. Sous Gestion des versions sur les compartiments, sélectionnez Activer. La gestion des versions sur les compartiments doit être activée pour répliquer des objets.

    3. Sous Chiffrement par défaut , sélectionnez Activer.

    4. Choisissez AWS Key Management Service (SSE-KMS).

    5. Choisissez Entrer l’ARN de la clé AWS KMS.

    6. Cliquez sur le bouton Créer une clé qui s’affiche pour créer une nouvelle clé AWS Key Management Service (KMS).

      Remarque : Les clés multirégionales KMS ne sont pas prises en charge.

    7. Sélectionnez le type de Clé symétrique et Chiffrer et déchiffrer l’utilisation de la clé.

    8. Nommez la clé avec un alias, puis cliquez jusqu’à la page Révision.

    9. Ajoutez la déclaration suivante à la Liste des éléments dans la stratégie de clé afin que Tableau puisse accéder au chiffrement des objets dans le compartiment S3.

      Remarque : cette instruction permet au rôle Tableau IAM de chiffrer les objets placés dans le compartiment Amazon S3. « kms:GenerateDataKey » est utilisé pour générer une clé de données pour chiffrer les répliques d’objets. « kms:Encrypt » est utilisé pour chiffrer les réplicas d’objets créés dans le compartiment S3 cible. « Ressource » : « * » accorde l’autorisation pour la clé KMS uniquement au rôle de réplication et n’autorise pas le rôle à élever ses autorisations. Pour plus d’informations, consultez Protection des données grâce au chiffrement côté serveur avec AWS Key Management Service (SSE-KMS)(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. Cliquez sur Terminer pour créer la clé KMS.

    11. Cliquez sur Créer un compartiment pour créer le compartiment Amazon S3.

  3. Mettez à jour les autorisations sur la stratégie de compartiment Amazon S3.

    1. Ouvrez le compartiment Amazon S3 et cliquez sur l’onglet Autorisations.

    2. Localisez la section Stratégie de compartiment et cliquez sur Modifier.

    3. Ajoutez ce qui suit à la Liste des éléments dans la stratégie de compartiment. Remplacez S3-BUCKET-NAME par le nom du compartiment.

      Remarque : cette instruction permet au rôle Tableau IAM de répliquer des objets dans le compartiment. L’utilisation de « * » et « <path>/* » accorde l’accès à tous les préfixes du compartiment et du chemin spécifiés dans le compartiment, respectivement. Les autorisations « s3:ReplicateObject » et « s3:ReplicateDelete » sont les autorisations minimales requises pour répliquer avec succès des objets et supprimer des marqueurs. Consultez Octroi d’autorisations lorsque les compartiments source et destination appartiennent à différents Comptes AWS(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web AWS.

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. Facultatif. Si votre compartiment de destination a une stratégie qui restreint l’accès via un point de terminaison Amazon Virtual Private Cloud (VPC), vous devez modifier la stratégie de compartiment en plus du TableauS3ReplicationRoleAccess que vous venez d’ajouter. Pour plus d’informations, consultez Comment puis-je restreindre l’accès à mon compartiment Amazon S3 en utilisant des points de terminaison d’un VPC ou des adresses IP spécifiques ?(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’AWS.

      Si la règle de compartiment actuelle contient une restriction VPC de ce type :

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Modifiez ensuite la liste "Condition" pour inclure les éléments suivants :

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      Remarque : vous devez utiliser l’ID de rôle « AROAQ4OMZWJUBZG3DRFW5 » pour le rôle Tableau IAM.

      Le graphique se met à jour et se présente ainsi :

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Cette stratégie autorise explicitement le rôle Tableau IAM à ReplicateObject et ReplicateDelete, et exclut en outre le rôle de l’instruction de refus VPC explicite existante.

    6. Cliquez sur Enregistrer les modifications.

Étape 3. Configurer Tableau Cloud

  1. Accédez à votre site Tableau.

  2. Dans la page Paramètres, sélectionnez l’onglet Intégrations.

  3. Dans la section Journal d’activité, sélectionnez le bouton Activer.

  4. Dans la boîte de dialogue Configurer la connexion, saisissez les informations suivantes :

    1. Dans la zone Numéro de compte AWS, saisissez le numéro de votre compte AWS à 12 chiffres. Il s’agit du numéro de compte AWS associé à votre emplacement de compartiment Amazon S3.

    2. Dans la zone Nom du compartiment S3, saisissez le nom du compartiment Amazon S3 où les fichers du journal d’activité seront livrés. Il s’agit du compartiment Amazon S3 que vous avez créé à l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations.Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations. Ce doit être un nom valide conforme aux exigences de nom de compartiment AWS.

    3. Dans la zone ARN de la clé KMS, saisissez le nom Amazon Resource Name (ARN) de la clé KMS que vous avez créé à l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations.Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations. Le numéro de compte dans l’ARN doit correspondre au numéro de compte AWS fourni et utiliser un format valide (à savoir arn:aws:kms:<region>:<account-id>:key/<key-id>).

  5. Cliquez sur Envoyer.

    La colonne d’état de la connexion affiche En cours lorsque le système tente de répliquer un fichier texte dans le compartiment Amazon S3 cible pour tester la connexion.

    Une fois le fichier répliqué avec succès dans le compartiment Amazon S3 cible, la colonne d’état de la connexion indiquera En attente de vérification et affichera un widget pour saisir «Tester le contenu du fichier ». Vous devrez peut-être actualiser la page pour voir les mises à jour.

Vérifier la réplication du fichier de sécurité

  1. Accédez au compartiment Amazon S3 cible et recherchez le dossier commençant par siteLuid (le reste du nom est l’identifiant unique du site).

  2. Trouvez le fichier texte nommé SECURITY_VERIFICATION_FILE.txt.

  3. Téléchargez et ouvrez le fichier texte.

  4. Copiez le contenu du texte dans le fichier.

  5. Revenez à la page Paramètres et collez le contenu du texte dans le champ de saisie Contenu du fichier texte, puis cliquez sur Envoyer.

  6. Si le contenu envoyé est correct, l’état de la connexion passe à Actif. Le journal d’activité est maintenant activé et les données commenceront à être répliquées dans le compartiment Amazon S3 cible.

  7. Si le contenu envoyé est incorrect, un message d’erreur s’affiche. Vérifiez que le contenu a été correctement copié sans caractères ni espaces supplémentaires.

Résolution des problèmes

Le fichier de vérification de sécurité n’apparaît pas ?

Autres paramètres requis pour que les fichiers journaux atteignent le compartiment Amazon S3

  • La Gestion des versions de compartiment est activée pour le compartiment Amazon S3 (sous Propriétés > Gestion des versions de compartiment).

  • L’option Bloquer tous les accès publics est activée pour le compartiment Amazon S3 (sous Autorisations > Bloquer l’accès public (paramètres du compartiment)).

  • Le compartiment Amazon S3 dispose des autorisations ACL suivantes uniquement pour le « propriétaire du compartiment » (sous Autorisations > Liste de contrôle d’accès (ACL)) :

    • Objets : liste, écriture

    • ACL de compartiment : lecture, écriture

  • La stratégie d’autorisations de clé KMS contient la déclaration de l’Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations.Étape 2. Créer un compartiment Amazon S3 et configurer les autorisations, Étape 2. i. (sous Propriétés > Chiffrement par défaut, cliquez sur l’ARN sous ARN de clé AWS KMS pour accéder à la stratégie de clé KMS).

  • Le chiffrement par défaut est activé pour le compartiment Amazon S3 et une clé de compartiment est activée (sous Propriétés > Chiffrement par défaut).

  • La stratégie d’autorisations de compartiment Amazon S3 (sous Autorisations > Stratégie de compartiment) correspond exactement à celle des instructions. Assurez-vous d’avoir remplacé l’exemple de valeur "S3-BUCKET-NAME" par le compartiment Amazon S3 que vous venez de créer.

Changement de région AWS pour les sites sur les pods Europe - Irlande

Entre août et décembre 2024, Tableau Cloud migrera vers Hyperforce(Le lien s’ouvre dans une nouvelle fenêtre) de Salesforce par pod. Dans le cadre de la migration, les pods de la région Europe - Irlande se déplacent vers la région Europe - Allemagne. Si votre site réside sur un pod Europe - Irlande, vous devrez reconfigurer le journal d’activité pour utiliser un compartiment AWS S3 dans la nouvelle région, Europe - Allemagne.

Pour plus d’informations sur la migration et sur la date à laquelle les pods Europe - Irlande seront déplacés, consultez l’article Migration de Tableau Cloud vers Hyperforce(Le lien s’ouvre dans une nouvelle fenêtre) de la Base de connaissances.