Utilizzare un servizio KMS esterno per le chiavi di crittografia delle estrazioni

Applicabile a: Tableau Cloud

Molte organizzazioni richiedono il controllo diretto sulle chiavi di crittografia che proteggono i loro dati aziendali critici. L’utilizzo di un servizio KMS (Key Management Service) esterno affronta questo problema consentendo ai clienti di mantenere il controllo delle proprie chiavi di crittografia con un fornitore di gestione delle chiavi esterno attendibile. Offrendo il controllo diretto sulle chiavi di crittografia, l’utilizzo di un servizio KMS esterno migliora significativamente le condizioni di sicurezza delle organizzazioni, in particolare di quelle che si preoccupano di evitare l’accesso non autorizzato a queste importantissime chiavi.

Inoltre, per molte organizzazioni la possibilità di controllare dall’esterno le proprie chiavi di crittografia è fondamentale per soddisfare vari requisiti normativi e di conformità. In più, il controllo diretto sulle chiavi di crittografia aiuta le organizzazioni a mantenere la sovranità sui dati, importante se si considerano gli aspetti legali e geografici relativi all’archiviazione dei dati e all’accesso a questi.

A partire da ottobre 2025, Tableau Cloud offre la gestione esterna delle chiavi esclusivamente tramite il servizio Amazon Web Services (AWS) KMS.

Nota: la funzionalità KMS esterna è disponibile solo in Tableau Cloud con Tableau+, Tableau Enterprise o Advanced Management.

Gerarchia delle chiavi

Il processo di crittografia con l’utilizzo di un servizio KMS esterno segue una gerarchia delle chiavi distinta per garantire la sicurezza dei dati e consentire ai clienti di mantenere il controllo diretto sulle proprie chiavi di crittografia.

Quando si utilizza un servizio KMS esterno, la gerarchia delle chiavi è la seguente:

  • Customer Master Key (CMK): la chiave CMK è la chiave radice della gerarchia e viene creata e controllata dal cliente all’interno del servizio AWS KMS. L’elenco delle chiavi in Tableau corrisponde all’elenco delle chiavi CMK nel servizio AWS KMS.
  • Key-Encrypting Key (KEK): le chiavi KEK, che derivano dalla chiave CMK, sono utilizzate per crittografare le chiavi DEK (Data-Encrypting Key).
  • Data-Encrypting Key (DEK): le chiavi DEK, che derivano dalle chiavi KEK, occupano il livello più basso nella gerarchia. Sono le chiavi DEK a essere utilizzate direttamente per crittografare e decrittografare le estrazioni.

Stati delle chiavi in Tableau Cloud

Quando si utilizza un servizio KMS esterno, le chiavi in Tableau possono avere i seguenti stati e offrire le seguenti funzionalità:

  • In sospeso: hai generato la chiave ma non la stai ancora utilizzando. Finché non la attivi, non può essere utilizzata per scrivere o leggere estrazioni.
  • Attiva: la chiave può essere utilizzata per scrivere estrazioni e leggere le estrazioni scritte tramite essa.
  • Archiviata: la chiave è stata attiva, ma è stata sostituita da una chiave successiva. Non è utilizzata per scrivere estrazioni, ma solo per leggere le estrazioni scritte tramite essa.
  • Disattivata: la chiave era attiva ma in seguito è stata archiviata. Non può essere utilizzata per leggere o scrivere estrazioni.

Riferimento rapido stato e funzionalità

Stato della chiaveScrittura/Crittografia estrazioniLettura/Decrittografia estrazioni
In sospeso  
Attiva
Archiviata 
Disattivata  

Panoramica della configurazione

Come riepilogo, le fasi per utilizzare il servizio AWS KMS con Tableau sono:

  • Nel servizio AWS KMS: crea la chiave CMK.
  • In Tableau Cloud: abilita la crittografia delle estrazioni o esegui la migrazione dalle chiavi di crittografia gestite da un cliente che utilizza il servizio Salesforce KMS.
  • In Tableau Cloud: genera una chiave in Tableau utilizzando l’ARN della chiave CMK del servizio AWS KMS.
  • Nel servizio AWS KMS: aggiungi il codice JSON del criterio della chiave di Tableau al criterio della chiave CMK di AWS.
  • In Tableau Cloud: attiva la chiave.

Dettagli di configurazione

Creare una chiave primaria nel servizio AWS KMS

Le chiavi KEK e le chiavi DEK utilizzate da Tableau si basano sulle chiavi CMK che crei nel servizio AWS KMS(Il collegamento viene aperto in una nuova finestra). Pertanto, perché Tableau possa generare chiavi KEK e DEK, devi disporre di una chiave CMK nel servizio AWS KMS. Se hai bisogno di aiuto per creare una chiave nel servizio AWS KMS, rivolgiti all’esperto di chiavi della tua sede.

La finestra di dialogo per la generazione delle chiavi di Tableau contiene un collegamento al servizio AWS KMS(Il collegamento viene aperto in una nuova finestra). Puoi creare la chiave primaria di AWS a questo punto del processo oppure prima di avviare il processo di generazione delle chiavi in Tableau.

Le chiavi di AWS sono identificate in modo univoco da un nome ARN (Amazon Resource Name). Durante il processo di generazione delle chiavi di Tableau ti viene chiesto di fornire l’ARN della chiave CMK. I nomi ARN delle chiavi hanno il seguente formato:

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

Abilitare la crittografia delle estrazioni con un servizio KMS esterno

Nota: una volta abilitata la crittografia, non ti sarà facile disabilitarla. Analogamente, il passaggio dalle chiavi di crittografia gestite dal cliente (tramite il servizio Salesforce KMS) a un servizio KMS esterno è permanente e non può essere annullato senza l’aiuto del responsabile dell’account.

Per abilitare un servizio KMS esterno:

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona Crittografa le estrazioni.
  5. Seleziona Utilizza un servizio KMS esterno.
  6. Seleziona Genera chiave.
    • Se stai eseguendo la migrazione dal servizio Salesforce KMS a un servizio KMS esterno, leggi l’avviso, quindi seleziona Passa a un servizio KMS esterno.

Generare una chiave

Per scrivere estrazioni crittografate, devi generare una chiave e quindi attivarla. Se hai già una chiave attiva, la generazione di un’altra chiave è la prima fase che devi eseguire per sostituire la chiave attualmente attiva.

Per generare una chiave in Tableau:

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona Genera chiave.
  5. Se stai generando la prima chiave di un sito, vedrai la finestra di dialogo Configura AWS KMS. Se disponi già di una chiave attiva, procedi prima attraverso la finestra di dialogo di conferma Genera chiave.
  6. Seleziona Avvia AWS KMS. Se non hai ancora effettuato l’accesso, ti verrà chiesto di effettuare l’accesso ad AWS.
  7. Nel servizio AWS KMS, crea una nuova chiave o cercane una esistente, quindi copia il nome ARN della chiave.
  8. Torna alla finestra di dialogo Configura AWS KMS di Tableau e incolla il nome ARN della chiave nel campo Valore ARN della chiave fornito da AWS.
  9. Facoltativamente, immetti una Descrizione.
  10. Seleziona Avanti oppure, se questa è la prima chiave per il sito, seleziona Abilita crittografia.
  11. Seleziona Fine per aggiungere il codice JSON del criterio della chiave al servizio AWS KMS in un secondo momento oppure seleziona Utilizzare un servizio KMS esterno per le chiavi di crittografia delle estrazioni per farlo ora.

La chiave non può essere utilizzata per leggere o scrivere estrazioni finché non aggiungi il codice JSON del criterio della chiave al criterio del servizio AWS KMS e finché non attivi questo codice.

Aggiungere il codice JSON del criterio della chiave al criterio della chiave del servizio KMS

Lo stato di una chiave appena generata è In sospeso, quindi la chiave non può essere utilizzata per scrivere o leggere estrazioni finché non aggiungi il codice JSON del criterio della chiave al criterio del servizio AWS KMS e finché non attivi questo codice.

Per visualizzare il codice JSON del criterio della chiave, continua dal processo Generare una chiave.

In alternativa, se non continui questo processo:

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona il menu azioni (...) accanto alla chiave In sospeso appropriata.
  5. Seleziona Criterio chiave.

Per aggiungere il codice JSON del criterio della chiave al criterio del servizio AWS KMS, devi copiare l’oggetto Statement pertinente da Tableau al codice JSON del criterio nel servizio AWS KMS. Ti serve solo una parte del testo del codice JSON completo. Selezionare Copia criterio chiave, incollare il criterio copiato in un editor di testo e manipolare il codice JSON all’interno dell’editor può essere più semplice che lavorare nella finestra di dialogo.

Dal testo JSON copia l’oggetto nella matrice Statement, quindi, nel criterio della chiave del servizio AWS KMS, aggiungi il testo copiato nella matrice Statement, seguendo la sintassi JSON standard. Probabilmente dovrai aggiungere una virgola alla fine della matrice Statement del servizio AWS KMS esistente prima di aggiungere il nuovo codice JSON.

Esempio:

La parte evidenziata è la sezione da aggiungere al criterio del servizio AWS KMS:

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [

        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }

    ]
}

Attivare una chiave

Per utilizzare una chiave per leggere e scrivere nuove estrazioni devi attivarla. L’azione Attiva chiave è disponibile solo per le chiavi In sospeso.

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona il menu azioni (...) accanto alla chiave In sospeso appropriata.
  5. Seleziona Attiva chiave....

Se disponi già di una chiave attiva e attivi una nuova chiave, la chiave esistente cambia stato e diventa archiviata. Una chiave archiviata viene utilizzata solo per leggere le estrazioni scritte tramite essa. La nuova chiave diventerà attiva e verrà utilizzata per scrivere nuove estrazioni e leggere le estrazioni scritte tramite essa.

Nota: dopo che hai abilitato la crittografia e hai attivato la prima chiave in un sito, Tableau Cloud crea un processo di crittografia in background per ciascuna estrazione nel tuo sito. A questi processi viene assegnata la priorità più bassa. Di conseguenza, vengono eseguiti solo quando sono disponibili risorse aggiuntive. I processi di aggiornamento delle estrazioni esistenti vengono eseguiti prima della crittografia delle estrazioni.

Altre azioni

Archiviare una chiave

Le chiavi archiviate possono leggere le estrazioni scritte tramite esse, ma non possono essere utilizzate per scrivere nuove estrazioni. L’unico modo per archiviare una chiave è attivare una nuova chiave. Consulta Attivare una chiave.

Disattivare una chiave

Disattiva una chiave archiviata per renderla inutilizzabile per la lettura o la scrittura di qualsiasi estrazione. Devi eseguire questa operazione se la chiave è stata compromessa. L’azione Disattiva chiave è disponibile solo per le chiavi archiviate.

Quando disattivi una chiave, questa non può essere utilizzata per leggere le estrazioni scritte tramite essa, a differenza di una chiave archiviata, che invece lo consente. Di conseguenza, alcuni contenuti basati su estrazioni potrebbero smettere di funzionare se non sono stati crittografati con una chiave attiva. Se hai bisogno di continuare ad accedere a contenuto basato su estrazioni che utilizza la chiave precedente, verifica che le estrazioni vengano aggiornate con una chiave attiva prima di disattivare quella precedente.

Nota: se necessario, puoi ripristinare una chiave disattivata. Il ripristino di una chiave ne comporterà la modifica da disattivata ad archiviata. Consulta Ripristinare una chiave.

Per disattivare una chiave:

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona il menu azioni (...) accanto alla chiave archiviata appropriata.
  5. Seleziona Disattiva chiave....
  6. Immetti “Disattiva questa chiave” nel campo di testo per confermare l’azione.
  7. Seleziona Disattiva chiave.

Ripristinare una chiave

Ripristina una chiave disattivata per renderla utilizzabile per la lettura delle estrazioni scritte tramite essa. L’azione Ripristina chiave è disponibile solo per le chiavi disattivate e le modifica in archiviate.

Quando ripristini una chiave rendendola archiviata, la chiave non potrà essere utilizzata per scrivere estrazioni, ma solo per leggere estrazioni scritte tramite essa.

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona il menu azioni (...) accanto alla chiave disattivata appropriata.
  5. Seleziona Ripristina chiave....
  6. Seleziona Ripristina chiave.

Eliminare una chiave

Non puoi eliminare chiavi in Tableau Cloud. Una chiave può solo essere archiviata, mantenendone la capacità di leggere il contenuto scritto tramite essa, o disattivata, rendendo impossibile leggere o scrivere tramite essa. Consulta Stati delle chiavi in Tableau Cloud.

Nota: se disabiliti la chiave CMK nel servizio AWS KMS, le chiavi di Tableau che derivano da essa smetteranno di funzionare per la crittografia e la decrittografia. Analogamente, se rimuovi la clausola generata da Tableau dal criterio della chiave CMK nel servizio AWS KMS, le chiavi di Tableau che derivano da essa smetteranno di funzionare.

Visualizzare il criterio della chiave

La finestra di dialogo Criterio chiave mostra il codice JSON del criterio della chiave per permetterne l’aggiunta al criterio della chiave del servizio AWS KMS. Il codice JSON del criterio della chiave può essere aggiunto durante il processo di Generare una chiave o in un secondo momento.

Per maggiori informazioni, consulta Utilizzare un servizio KMS esterno per le chiavi di crittografia delle estrazioni.

Per visualizzare il criterio da aggiungere al criterio della chiave del servizio AWS KMS:

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona il menu azioni (...) accanto alla chiave appropriata.
  5. Seleziona Criterio chiave.

Vedere la cronologia delle chiavi

Ciascuna riga della tabella della cronologia delle chiavi mostra un evento, lo stato della chiave dopo l’evento e la data e l’ora dell’evento.

Per visualizzare la cronologia di una chiave:

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona il menu azioni (...) accanto alla chiave appropriata.
  5. Seleziona Cronologia chiavi.

Verificare la configurazione

Utilizza l’azione Verifica configurazione su una chiave in sospeso per determinare se può essere attivata. Utilizza l’azione Verifica configurazione su chiavi con un altro stato per vedere se funzionano, se dovrebbero funzionare o se non funzionano.

Per verificare la configurazione di una chiave:

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, seleziona il menu azioni (...) accanto alla chiave appropriata.
  5. Seleziona Verifica configurazione....

Operazione riuscita:

  • La chiave può essere utilizzata per crittografare estrazioni. Se la chiave è in sospeso, può essere attivata senza alcun rischio. Se la chiave è già attiva, funziona.

Errori:

  • POLICY_DENIED: il servizio KMS esterno non dispone di un criterio che autorizza questa chiave. Verifica di aver copiato il criterio da questa chiave al servizio KMS esterno.
  • KEY_NOT_FOUND: la chiave non è stata trovata o è disattivata in Tableau. Verifica il nome ARN e il criterio della chiave AWS KMS.
  • UNKNOWN - Si è verificato un errore sconosciuto. Assicurati che la chiave non sia disabilitata nel servizio AWS KMS e riprova.

Nota: se disabiliti la chiave CMK nel servizio AWS KMS, le chiavi di Tableau che derivano da essa smetteranno di funzionare per la crittografia e la decrittografia. Analogamente, se rimuovi la clausola generata da Tableau dal criterio della chiave CMK nel servizio AWS KMS, le chiavi di Tableau che derivano da essa smetteranno di funzionare.

Eseguire la migrazione da chiavi di crittografia gestite dal cliente a un servizio KMS esterno

Nota: il passaggio dalle chiavi di crittografia gestite dal cliente a un servizio KMS esterno è permanente e non può essere annullato senza l’aiuto del responsabile dell’account.

La migrazione dalle chiavi di crittografia gestite dal cliente (che utilizzano il servizio Salesforce KMS) a un servizio KMS esterno è semplice, ma permanente e non può essere annullato senza l’aiuto del responsabile dell’account. Dopo la modifica, gestirai le tue chiavi nel servizio KMS esterno anziché nel servizio Salesforce KMS. Assicurati di aver compreso come eseguire le funzioni chiave di base nel servizio KMS esterno prima di eseguire la migrazione dalle chiavi di crittografia gestite dal cliente a un servizio KMS esterno.

Dopo la migrazione, le nuove estrazioni verranno scritte tramite la chiave derivata dal servizio KMS esterno. La chiave del servizio Salesforce KMS continuerà a leggere le estrazioni scritte tramite essa finché queste ultime non verranno aggiornate tramite la chiave basata sul servizio KMS esterno.

Per maggiori informazioni sulle chiavi di crittografia gestite dal cliente e sul servizio Salesforce KMS, consulta Chiavi di crittografia gestite dal cliente(Il collegamento viene aperto in una nuova finestra).

Per eseguire la migrazione dalle chiavi di crittografia gestite dal cliente a un servizio KMS esterno:

  1. Accedi al sito Tableau Cloud.
  2. Seleziona Impostazioni nel riquadro di navigazione a sinistra.
  3. Seleziona la scheda Sicurezza.
  4. Nella sezione Crittografia dell’estrazione, modifica la selezione da Utilizza Salesforce KMS a Utilizza un servizio KMS esterno.
  5. Leggi l’avviso, quindi seleziona Passa a un servizio KMS esterno.
Torna in alto
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!