Clés de cryptage gérées par le client

S’applique à : Tableau Advanced Management, Tableau Cloud

Les clés de cryptage gérées par le client vous offrent un niveau de sécurité supplémentaire en vous permettant de chiffrer les extraits de données de votre site avec une clé spécifique au site gérée par le client. L’instance Salesforce Key Management System (KMS) stocke la clé de cryptage spécifique au site par défaut pour toute personne qui active le cryptage sur un site.

Pour utiliser un système de gestion de clés externe au lieu de celui de Salesforce, consultez Utiliser un KMS externe pour les clés de cryptage d’extrait

Processus de cryptage

Le processus de cryptage suit une approche hiérarchique. Tout d’abord, Tableau Cloud chiffre un extrait. Ensuite, Tableau Cloud KMS vérifie ses caches de clé pour trouver une clé de données appropriée. Si aucune clé n'est trouvée, une clé est générée par l'API KMS GenerateDataKey en utilisant l'autorisation accordée par la politique associée à la clé. KMS utilise le CMK pour générer une clé de données et renvoie une copie en texte brut et une copie chiffrée à Tableau Cloud. Tableau Cloud utilise la copie en clair de la clé de données pour chiffrer les données et stocke la copie chiffrée de la clé avec les données chiffrées.

Activer le cryptage

Après avoir activé le cryptage, Tableau Cloud crée un travail visant à chiffrer chaque extrait de votre site. Ces travaux ont la priorité la plus faible. Tout travail d’extraction précédemment défini s’exécute avant le travail d’extraction chiffrée. Lorsqu’il y a des ressources supplémentaires, ces travaux exécutent le cryptage sur tous les extraits sans avoir besoin d’être actualisés.

Pour activer le cryptage, procédez comme suit.
  1. Connectez-vous à votre site cloud Tableau.
  2. Sélectionnez Paramètres dans le volet de navigation de gauche.
  3. Sélectionnez l’onglet Sécurité.
  4. Dans la section Cryptage d’extrait, sélectionnez Crypter les extraits.
  5. Sélectionnez Utiliser Salesforce KMS.
  6. Lisez l’avertissement relatif à l’activation du cryptage, puis sélectionnez Activer le cryptage.

Remarque : pour désactiver le cryptage des extraits, contactez votre responsable de compte.

Générer et alterner une clé

Vous pouvez effectuer une rotation de clé dans le calendrier de votre entreprise pour plus de sécurité. La rotation d’une clé crée une clé basée sur la clé d’origine.

Remarque : si la fréquence d’actualisation est longue ou si l’extrait n’est pas actualisé, l’extrait est chiffré avec la dernière clé active au lieu de la nouvelle clé.

Pour effectuer une rotation de clé, procédez comme suit.
  1. Sélectionnez l’onglet Sécurité.
  2. Sous Cryptage d’extrait, sélectionnez Générer une clé.

Désactiver le cryptage

Vous pouvez désactiver le cryptage en contactant votre responsable de compte. Si votre licence Advanced Management est inactive, vos extraits restent décryptés jusqu’à sa réactivation.

Supprimer une clé (extraits de données non récupérables)

Avertissement : si vous supprimez une clé, il n’y a aucun moyen de retrouver l’accès aux extraits de données.

Ne supprimez la clé qu’en cas d’incident de sécurité grave. Vous ne pourrez pas accéder à vos extraits de données après avoir supprimé la clé. Tous les extraits de données liés à la clé supprimée sont définitivement indisponibles.

Remarque : si vous souhaitez désactiver le cryptage et conserver votre clé, consultez Désactiver le cryptage.

Pour supprimer une clé, procédez comme suit.
  1. Sélectionnez l’onglet Sécurité.
  2. Sous Cryptage d’extrait, dans Actions, sélectionnez Supprimer la clé....
  3. Dans le champ de texte, saisissez Supprimer la clé.

    Avertissement : vous ne pourrez pas accéder à vos extraits de données après avoir supprimé la clé. Ne supprimez la clé qu’en cas d’incident de sécurité grave.

  4. Sélectionnez Supprimer la clé ou Annuler.

Journaux d’audit

Vous pouvez télécharger des journaux d’audit pour examiner les opérations effectuées sur vos clés, notamment la création, la rotation, la suppression, le déchiffrement et le téléchargement des journaux. Le journal d’audit inclut également les informations suivantes.

  • Date et heure
  • Type d’événement
  • Succès ou échec
  • Identité authentifiée du service appelant
  • Utilisateur
  • Nom de la clé

Questions fréquemment posées (FAQ)

Question :

Que se passe-t-il si je ne renouvelle pas ma licence Advanced Management ?

Réponse :

Si vous ne renouvelez pas la licence Advanced Management, la fonctionnalité de clés de cryptage gérées par le client passe automatiquement à l’état Désactivé.

Question :

Qu’advient-il de mes données de clés si je cesse d’être un client Tableau Cloud ?

Réponse :

Conformément à la stratégie de données de Tableau Cloud, une période d’attente de 90 jours s’applique avant la suppression de vos données de clés.

Question :

Que se passe-t-il si je déménage dans un autre région Tableau Cloud ?

Réponse :

Les données de clés se trouvent dans l’instance Salesforce (KMS) situé dans la même région que votre pod Tableau Cloud. Si vous souhaitez vous déplacer vers une autre région, vous devez désactiver la fonctionnalité et exécuter d’abord vos extraits.

Retour en haut
Merci de vos commentaires !Avis correctement envoyé. Merci