Clés de chiffrement gérées par le client
Les clés de chiffrement gérées par le client vous offrent un niveau de sécurité supplémentaire en vous permettant de chiffrer les extraits de données de votre site avec une clé spécifique au site gérée par le client. L’instance Salesforce Key Management System (KMS) stocke la clé de chiffrement spécifique au site par défaut pour toute personne qui active le chiffrement sur un site.
Processus de chiffrement
Le processus de chiffrement suit une approche hiérarchique. Tout d’abord, Tableau Cloud chiffre un extrait. Ensuite, Tableau Cloud KMS vérifie ses caches de clé pour trouver une clé de données appropriée. Si aucune clé n'est trouvée, une clé est générée par l'API KMS GenerateDataKey en utilisant l'autorisation accordée par la politique associée à la clé. KMS utilise le CMK pour générer une clé de données et renvoie une copie en texte brut et une copie chiffrée à Tableau Cloud. Tableau Cloud utilise la copie en clair de la clé de données pour chiffrer les données et stocke la copie chiffrée de la clé avec les données chiffrées.
Activer le chiffrement
Après avoir activé le chiffrement, Tableau Cloud crée un travail visant à chiffrer chaque extrait de votre site. Ces travaux ont la priorité la plus faible. Tout travail d’extraction précédemment défini s’exécute avant le travail d’extraction chiffrée. Lorsqu’il y a des ressources supplémentaires, ces travaux exécutent le chiffrement sur tous les extraits sans avoir besoin d’être actualisés.
Pour activer le chiffrement, procédez comme suit.
- Sélectionnez l’onglet Général.
- Sous Cryptage d’extrait, cochez la case en regard de Activer le cryptage des actualisations d’extraits.
- Lisez le message de confirmation et sélectionnez OK pour continuer.
- Sélectionnez Enregistrer . Un message de confirmation ou un message d’erreur apparaît.
Remarque : pour désactiver le chiffrement des extraits, contactez votre responsable de compte.
Générer et alterner une clé
Vous pouvez effectuer une rotation de clé dans le calendrier de votre entreprise pour plus de sécurité. La rotation d’une clé crée une clé basée sur la clé d’origine.
Remarque : si la fréquence d’actualisation est longue ou si l’extrait n’est pas actualisé, l’extrait est chiffré avec la dernière clé active au lieu de la nouvelle clé.
Pour effectuer une rotation de clé, procédez comme suit.
- Sélectionnez l’onglet Général.
- Sous Cryptage d’extrait, dans Actions, sélectionnez Générer et alterner la clé.
- Sélectionnez Générer et alterner la clé ou Annuler. Un message de confirmation apparaît.
Désactiver le chiffrement
Vous pouvez désactiver le chiffrement en contactant votre responsable de compte. Si votre licence Advanced Management est inactive, vos extraits restent décryptés jusqu’à sa réactivation.
Supprimer une clé (extraits de données non récupérables)
Avertissement : si vous supprimez une clé, il n’y a aucun moyen de retrouver l’accès aux extraits de données.
Ne supprimez la clé qu’en cas d’incident de sécurité grave. Vous ne pourrez pas accéder à vos extraits de données après avoir supprimé la clé. Tous les extraits de données liés à la clé supprimée sont définitivement indisponibles.
Remarque : si vous souhaitez désactiver le chiffrement et conserver votre clé, consultez Désactiver le chiffrement.
Pour supprimer une clé, procédez comme suit.
- Sélectionnez l’onglet Général.
- Sous Cryptage d’extrait, dans Actions, sélectionnez Supprimer.
- Dans le champ de texte, saisissez Supprimer la clé.
Avertissement : vous ne pourrez pas accéder à vos extraits de données après avoir supprimé la clé. Ne supprimez la clé qu’en cas d’incident de sécurité grave.
4. Choisissez Supprimer la clé de cryptage ou Annuler . Un message de confirmation ou d’erreur apparaît.
Journaux d’audit
Vous pouvez télécharger des journaux d’audit pour examiner les opérations effectuées sur vos clés, notamment la création, la rotation, la suppression, le déchiffrement et le téléchargement des journaux. Le journal d’audit inclut également les informations suivantes.
- Date et heure
- Type d’événement
- Succès ou échec
- Identité authentifiée du service appelant
- Utilisateur
- Nom de la clé
Questions fréquemment posées (FAQ)
Question :
Que se passe-t-il si je ne renouvelle pas ma licence Advanced Management ?
Réponse :
Si vous ne renouvelez pas la licence de Advanced Management, la fonctionnalité de clés de chiffrement gérées par le client passe automatiquement à l’état Désactivé.
Question :
Qu’advient-il de mes données de clés si je cesse d’être un client Tableau Cloud ?
Réponse :
Conformément à la stratégie de données de Tableau Cloud, il y a une période d’attente de 90 jours avant la suppression de vos données de clés.
Question :
Que se passe-t-il si je déménage dans un autre région Tableau Cloud ?
Réponse :
Les données de clés se trouvent dans l’instance Salesforce (KMS) situé dans la même région que votre pod Tableau Cloud. Si vous souhaitez vous déplacer vers une autre région, vous devez désactiver la fonctionnalité et exécuter d’abord vos extraits.