Aide de Tableau Cloud

De nombreuses organisations ont besoin d’un contrôle direct sur les clés de cryptage qui protègent leurs données stratégiques. Un service de gestion de clés externe (KMS) résout ce problème : les clients peuvent garder le contrôle de leurs clés de cryptage avec un fournisseur approuvé de gestion de clés externe. En fournissant un contrôle direct sur les clés de cryptage, un KMS externe améliore considérablement la posture de sécurité des organisations, en particulier celles qui s’inquiètent des accès non autorisés à ces clés critiques.

De plus, pour de nombreuses organisations, la possibilité de contrôler leurs clés de cryptage en externe est cruciale pour répondre aux divers exigences réglementaires et de conformité. Le contrôle direct des clés de cryptage aide en outre les organisations à préserver la souveraineté des données, un point important au regard des considérations juridiques et géographiques relatives au stockage et à l’accès aux données.

Depuis octobre 2025, Tableau Cloud propose la gestion de clés externe exclusivement par l’intermédiaire du système KMS d’Amazon Web Services (AWS).

Remarque : la fonctionnalité KMS externe est uniquement disponible sur Tableau Cloud avec Tableau+, Tableau Enterprise ou Advanced Management.

Hiérarchie des clés

Le processus de cryptage en cas d’utilisation d’un KMS externe suit une hiérarchie de clés distincte afin de garantir la sécurité des données et permettre aux clients de conserver un contrôle direct sur leurs clés de cryptage.

La hiérarchie des clés lors de l’utilisation d’un KMS externe est la suivante :

• Clé client principale (CMK) : la clé CMK est la clé racine de la hiérarchie, créée et contrôlée par le client dans AWS KMS. La liste des clés dans Tableau est une liste des clés CMK dans AWS KMS.
• Clé de cryptage de clé (KEK) : les clés KEK sont issues du CMK et sont utilisées pour chiffrer les clés de cryptage des données (DEK).
• Clé de cryptage des données (DEK) : les DEK sont issues des KEK et sont les clés du niveau le plus bas de la hiérarchie. Les DEK sont des clés directement utilisées pour chiffrer et déchiffrer les extraits.

États des clés dans Tableau Cloud

Lors de l’utilisation d’un KMS externe, les clés dans Tableau présentent les états et fonctionnalités suivants :

• En attente : vous avez généré la clé, mais vous ne l’utilisez pas encore. Elle ne peut pas être utilisée pour écrire ou lire des extraits tant que vous ne l’avez pas activée.
• Active : la clé est utilisée pour écrire des extraits et lire les extraits qu’elle a écrits.
• Archivée : la clé était active dans le passé, mais a été remplacée par une clé ultérieure. Elle n’est pas utilisée pour écrire des extraits, mais pour lire les extraits qu’elle a écrits.
• Désactivée : la clé était active puis a été archivée dans le passé. Elle n’est pas utilisée pour lire ou écrire des extraits.

Référence rapide sur l’état et les fonctionnalités

Présentation de l’installation

Voici les étapes récapitulatives d’utilisation d’AWS KMS avec Tableau :

• AWS KMS : créez la clé client principale (CMK).
• Tableau Cloud : activez le cryptage d’extrait (ou migrez depuis les clés de cryptage gérées par le client, qui utilisent le service KMS de Salesforce).
• Tableau Cloud : générez une clé dans Tableau, à l’aide de l’ARN de la clé client principale à partir d’AWS KMS.
• AWS KMS : ajoutez la politique de clés Tableau JSON à la politique de clé client principale AWS.
• Tableau Cloud : activez la clé.

Détails de la configuration

Créer une clé principale dans AWS KMS

Les clés de cryptage de clés (KEK) et les clés de cryptage des données (DEK) utilisées par Tableau sont basées sur les clés client principales (CMK) que vous créez dans AWS KMS(Le lien s’ouvre dans une nouvelle fenêtre). Par conséquent, vous devez avoir une clé CMK dans AWS KMS pour que Tableau puisse générer des KEK et des DEK. Si vous avez besoin d’aide pour créer une clé dans AWS KMS, adressez-vous à votre expert en clés local.

La boîte de dialogue de génération de clés Tableau contient un lien vers AWS KMS(Le lien s’ouvre dans une nouvelle fenêtre). Vous pouvez créer la clé principale AWS à ce stade du processus, ou la créer avant de lancer le processus de génération de clé dans Tableau.

Les clés AWS sont identifiées de manière unique par un Amazon Resource Name (ARN). Il vous est demandé de fournir l’ARN CMK pendant le processus de génération de clés Tableau. Les ARN clés se présentent sous le format suivant :

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

Activer le cryptage d’extrait avec un KMS externe

Remarque : une fois que vous avez activé le cryptage, il n’est pas facile de le désactiver. De même, le passage de clés de cryptage gérées par le client (à l’aide du service KMS de Salesforce) à un système de gestion KMS externe est définitif et ne peut être annulé sans l’aide de votre gestionnaire de compte.

Pour activer un KMS externe :

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, sélectionnez Crypter les extraits.
5. Sélectionnez Utiliser un KMS externe.
   • Si l’option Utiliser Salesforce KMS est déjà cochée, vous utilisez actuellement des clés de cryptage gérées par le client via Salesforce KMS. (Pour plus d’informations, consultez Clés de cryptage gérées par le client(Le lien s’ouvre dans une nouvelle fenêtre).) Si vous modifiez le paramètre sur Utiliser un KMS externe, Salesforce KMS passe de manière irréversible à un KMS externe. Avant de modifier votre KMS, consultez Migrer des clés de cryptage gérées par le client vers un système KMS externe.
6. Sélectionnez Générer une clé.
   • Si vous migrez de Salesforce KMS vers un KMS externe, lisez l’avertissement, puis sélectionnez Basculer sur un KMS externe.

Générer une clé

Vous devez générer une clé, puis l’activer pour écrire des extraits chiffrés. Si vous possédez déjà une clé active, vous générez une autre clé comme première étape vers le remplacement de la clé actuellement active.

Pour générer une clé dans Tableau :

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, sélectionnez Générer une clé.
5. Si vous générez la première clé pour un site, vous voyez s’afficher la boîte de dialogue Configurer AWS KMS. Si vous avez déjà une clé active, commencez par la boîte de dialogue de confirmation Générer une clé.
6. Sélectionnez Lancer AWS KMS. Vous êtes invité à vous connecter à AWS si vous n’êtes pas déjà connecté.
7. Dans AWS KMS, créez une nouvelle clé ou trouvez une clé existante, puis copiez l’ARN de la clé.
8. Revenez à la boîte de dialogue Configurer AWS KMS de Tableau et collez l’ARN de la clé dans le champ ARN de la clé d’AWS.
9. Vous pouvez aussi entrer une Description.
10. Sélectionnez Suivant (ou Activer le cryptage, s’il s’agit de la première clé pour le site).
11. Sélectionnez Terminé pour ajouter ultérieurement la politique de clés JSON à AWS KMS, ou suivez Utiliser un KMS externe pour les clés de cryptage d’extrait pour le faire maintenant.

Pour que la clé puisse être utilisée pour lire ou écrire des extraits, vous devez ajouter le fichier JSON de politique de clés à la politique AWS KMS, puis l’activer.

Ajouter le fichier JSON de politique de clés à la politique de clé KMS

Une clé nouvellement générée a le statut En attente. Pour que la clé puisse être utilisée pour lire ou écrire des extraits, vous devez ajouter le fichier JSON de politique de clés à la politique AWS KMS, puis l’activer.

Pour voir le fichier JSON de politique de clés, continuez à partir du processus Générer une clé.

Ou, si vous ne poursuivez pas à partir de ce processus :

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, sélectionnez le menu Actions (...) à côté de la clé en attente appropriée.
5. Sélectionnez Politique de clés.

Pour ajouter le fichier JSON de politique de clés à la politique AWS KMS, vous devez copier l’objet approprié Statement depuis Tableau sur le fichier JSON de politique dans AWS KMS. Vous n’avez besoin que d’une partie du texte JSON complet. Il peut être plus facile de sélectionner Copier la politique de clés, de la coller dans un éditeur de texte et de manipuler le fichier JSON que de travailler dans la boîte de dialogue.

À partir du texte JSON, copiez l’objet dans le tableau Statement. Ensuite, dans la politique de clés AWS KMS, ajoutez le texte copié au tableau Statement, en suivant la syntaxe JSON standard. (Vous devrez probablement ajouter une virgule à la fin de l’instruction AWS KMS existante avant d’ajouter le nouveau fichier JSON.)

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [
        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }
    ]
}

Activer une clé

Activez une clé pour l’utiliser lors de la lecture et de l’écriture de nouveaux extraits. L’action Activer la clé n’est disponible que pour une clé en attente.

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, sélectionnez le menu Actions (...) à côté de la clé en attente appropriée.
5. Sélectionnez Activer la clé....

Si vous possédez déjà une clé active, l’activation d’une nouvelle clé fait passer la clé existante à l’état Archivé. Une clé archivée sert uniquement à lire les extraits qu’elle a écrits. La nouvelle clé deviendra activeet sera utilisée pour écrire de nouveaux extraits et lire les extraits qu’elle a écrits.

Remarque : une fois que vous avez activé le cryptage et activé la première clé sur un site, Tableau Cloud crée une tâche en arrière-plan de cryptage d’extrait pour chaque extrait de votre site. Ces travaux sont définis sur la priorité la plus faible, ce qui signifie qu’ils ne s’exécutent que lorsqu’il y a des ressources supplémentaires. Les tâches d’actualisation d’extraits existantes s’exécutent avant le cryptage des extraits.

Autres actions

Archiver une clé

Les clés archivées peuvent lire les extraits qu’elles ont écrits, mais ne sont pas utilisées pour écrire de nouveaux extraits. La seule façon d’archiver une clé est d’activer une nouvelle clé. Consultez Activer une clé.

Désactiver une clé

Vous pouvez désactiver une clé archivée pour la rendre inutilisable pour la lecture ou l’écriture d’extraits. Vous pouvez souhaiter procéder ainsi si la clé a été compromise. L’action Désactiver la clé n’est disponible que pour une clé archivée.

Lorsque vous désactivez une clé, elle ne peut pas être utilisée pour lire les extraits qu’elle a écrits (à la différence d’une clé archivée qui peut lire les extraits qu’elle a écrits). Cela signifie que certains contenus basés sur des extraits pourraient cesser de fonctionner s’ils n’ont pas été cryptés avec une clé active. Si vous avez besoin de conserver l’accès à un contenu basé sur des extraits qui utilise l’ancienne clé, assurez-vous que les extraits sont actualisés avec une clé active avant de désactiver l’ancienne.

Remarque : vous pouvez restaurer une clé désactivée si nécessaire. La restauration d’une clé la fera passer de l’état Désactivé à Archivé. Consultez Restaurer une clé.

Pour désactiver une clé :

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, sélectionnez le menu Actions (...) en regard de la clé archivée appropriée.
5. Sélectionnez Désactiver la clé....
6. Saisissez « Désactiver cette clé » dans le champ de texte pour confirmer votre action.
7. Sélectionnez Désactiver la clé.

Restaurer une clé

Vous pouvez restaurer une clé désactivée afin de la rendre utilisable pour la lecture des extraits qu’elle a écrits. L’action Restaurer la clé n’est disponible que pour une clé désactivée et la transforme en clé archivée.

Lorsque vous restaurez une clé vers l’état archivé, elle n’est pas utilisable pour écrire des extraits. Elle sert uniquement à lire les extraits qu’elle a écrits.

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait , sélectionnez le menu Actions (...) à côté de la clé désactivée appropriée.
5. Sélectionnez Restaurer la clé....
6. Sélectionnez Restaurer la clé.

Supprimer une clé

Vous ne pouvez pas supprimer des clés dans Tableau Cloud. Une clé ne peut être qu’archivée (en conservant la capacité de lire le contenu qu’elle a écrit) ou désactivée (elle ne peut ni lire ni écrire). Consultez États des clés dans Tableau Cloud.

Remarque : si vous désactivez la clé client principale (CMK) dans AWS KMS, les clés Tableau qui en sont issues cessent de fonctionner pour le cryptage ou le décryptage. De même, si vous supprimez la clause générée par Tableau de la politique de CMK dans AWS KMS, les clés Tableau qui en sont issues cessent de fonctionner.

Consulter la politique de clés

La boîte de dialogue Politique de clés affiche le fichier JSON de politique de clés à ajouter à la politique de clés AWS KMS. Le fichier JSON de politique de clés peut être ajouté pendant le processus de Générer une clé, ou ultérieurement.

Pour plus d’informations, consultez Utiliser un KMS externe pour les clés de cryptage d’extrait.

Pour consulter la politique qui doit être ajoutée à la politique de clés AWS KMS :

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, sélectionnez le menu Actions (...) à côté de la clé appropriée.
5. Sélectionnez Politique de clés.

Consulter l’historique des clés

Chaque ligne de la table d’historique des clés affiche un événement, l’état de la clé après l’événement, ainsi que la date et l’heure de l’événement.

Pour consulter l’historique d’une clé :

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, sélectionnez le menu Actions (...) à côté de la clé appropriée.
5. Sélectionnez Historique des clés.

Tester la configuration

Utilisez l’action Tester la configuration sur une clé en attente pour déterminer si elle peut être activée. Utilisez l’action Tester la configuration sur les clés affichant d’autres états pour indiquer si elles fonctionnent, devraient fonctionner ou ne fonctionneront pas.

Pour tester la configuration d’une clé :

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, sélectionnez le menu Actions (...) à côté de la clé appropriée.
5. Sélectionnez Tester la configuration....

Réussite :

• La clé peut être utilisée pour crypter des extraits. Si la clé est en attente, vous pouvez l’activer en toute sécurité. Si la clé est déjà active, c’est qu’elle fonctionne.

Erreurs :

• POLICY_DENIED : le KMS externe n’a pas de politique qui autorise cette clé. Vérifiez que vous avez copié la politique de cette clé dans le KMS externe.
• KEY_NOT_FOUND : la clé est introuvable ou désactivée dans Tableau. Confirmez l’ARN et la politique de clés AWS KMS.
• UNKNOWN : une erreur inconnue s’est produite. Assurez-vous que la clé n’est pas désactivée dans AWS KMS et réessayez.

Remarque : si vous désactivez la clé client principale (CMK) dans AWS KMS, les clés Tableau qui en sont issues cessent de fonctionner pour le cryptage ou le décryptage. De même, si vous supprimez la clause générée par Tableau de la stratégie de CMK dans AWS KMS, les clés Tableau qui en sont issues cessent de fonctionner.

Migrer des clés de cryptage gérées par le client vers un système KMS externe

De même, le passage de clés de cryptage gérées par le client à un système de gestion KMS externe est définitif et ne peut être annulé sans l’aide de votre gestionnaire de compte.

Migrer des clés de cryptage gérées par le client (qui utilisent Salesforce KMS) vers un KMS externe est simple, mais elle est définitive et ne peut pas être annulée sans l’aide de votre gestionnaire de compte. Après la modification, vous gérerez vos clés dans le KMS externe au lieu de Salesforce KMS. Assurez-vous de comprendre comment exécuter les fonctions de clé de base dans le KMS externe avant de migrer des clés de chiffrement gérées par le client vers un KMS externe.

Après la migration, la clé dérivée du KMS externe écrira de nouveaux extraits. La clé Salesforce KMS continue de lire les extraits qu’elle a écrits jusqu’à ce que les extraits soient actualisés à l’aide de la clé externe basée sur KMS.

Pour plus d’informations sur les clés de cryptage gérées par le client et Salesforce KMS, consultez Clés de cryptage gérées par le client(Le lien s’ouvre dans une nouvelle fenêtre).

Pour migrer des clés de cryptage gérées par le client vers un KMS externe :

1. Connectez-vous à votre site cloud Tableau.
2. Sélectionnez Paramètres dans le volet de navigation de gauche
3. Sélectionnez l’onglet Sécurité.
4. Dans la section Cryptage d’extrait, modifiez la sélection de Utiliser Salesforce KMS en Utiliser un KMS externe.
5. Lisez l’avertissement, puis sélectionnez Basculer sur un KMS externe.