アクティビティ ログの設定

アクティビティ ログには導入した Tableau の詳細なイベントが含まれており、コンプライアンス、モニタリング、監査に使用できます。アクティビティ ログを使用するには、次の手順を踏む必要があります。

前提条件

アクティビティ ログを使用するには、以下が必要です。

  • Tableau Cloud with Advanced Management

  • アマゾン ウェブ サービス (AWS) アカウント

    • これらのステップを完了するには、自分の AWS アカウントが必要です。
    • また、Amazon Simple Storage Service (S3) バケットでアクティビティ ログを受信するには、以下のステップ 3 で Tableau AWS アカウント番号 (061095916136) が必要です。
  • データを受信するための Amazon Simple Storage Service (S3) バケット

  • セットアップ中に作成する Amazon S3 バケット用の AWS Key Management Service (KMS) のシングルリージョン キー。

ステップ 1.AWS アカウントの作成

アマゾン ウェブ サービス (AWS) アカウントをまだお持ちでない場合は、AWS Web サイトで AWS アカウントにサインアップ(新しいウィンドウでリンクが開く)できます。

ステップ 2.Amazon S3 バケットの作成と権限の設定

  1. ログ データを受信するための Amazon S3 バケットを作成します。詳細については、AWS のウェブサイトの「バケットの作成(新しいウィンドウでリンクが開く)」を参照してください。

  2. 次の設定で Amazon S3 バケットを設定します。

    1. [オブジェクトの所有権] で [無効になっている ACL] (推奨) を選択します。これにより、バケットの所有者が、バケットに書き込まれるすべてのオブジェクトの所有者になります。

    2. [バケットのリビジョン管理] で [有効にする] を選択します。オブジェクトを複製するには、バケットのリビジョン管理を有効にする必要があります。

    3. [デフォルトの暗号化] で [有効にする] を選択します。

    4. [AWS Key Management Service (SSE-KMS)] を選択します。

    5. [AWS KMS キー の ARN を入力] を選択します。

    6. 表示される [キーの作成] ボタンをクリックして、新しい AWS Key Management Service (KMS) キーを作成します。

      注: KMS のマルチリージョン キーはサポートされていません。

    7. [対称キー] タイプを選択し、[暗号化および復号化のキーの使用] を選択します。

    8. キーにエイリアス名を付けて、[レビュー] ページまでクリックします。

    9. Key ポリシー内の [ステートメント リスト] に次のステートメントを追加して、Tableau が S3 バケット内のオブジェクトを暗号化できるようにアクセス権を付与します。

      注: このステートメントにより、Tableau IAM ロールで Amazon S3 バケットに配置されたオブジェクトを暗号化できるようになります。「kms:GenerateDataKey」は、オブジェクトのレプリカを暗号化するデータ キーを生成するために使用されます。「kms:Encrypt」は、ターゲットの S3 バケットで作成されたオブジェクトのレプリカを暗号化するために使用されます。「Resource:*」は、KMS キーの権限をレプリケーション ロールにのみ付与し、ロールがその権限を昇格することを許可しません。詳細については、AWS Webサイトの「AWS Key Management Service (SSE-KMS) でサーバー側暗号化を使用したデータの保護(新しいウィンドウでリンクが開く)」を参照してください。

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. [完了] をクリックして、KMS キーを作成します。

    11. [バケットの作成] をクリックして、Amazon S3 バケットを作成します。

  3. Amazon S3 バケット ポリシーの権限を更新します。

    1. Amazon S3 バケットを開き、[権限] タブをクリックします。

    2. [バケット ポリシー] セクションで [編集] をクリックします。

    3. バケット ポリシーの [ステートメント リスト] に以下を追加します。[S3-BUCKET-NAME] をバケットの名前に置き換えます。

      注: このステートメントにより、Tableau IAM ロールはオブジェクトをバケットに複製できるようになります。「*」と「<path>/*」を使用して、指定されたバケット内のすべてのプレフィックスとバケット内のパスにそれぞれアクセス権を付与します。「s3:ReplicateObject」権限と「s3:ReplicateDelete」権限は、オブジェクトを正常に複製してマーカーを削除するために必要な最小限の権限です。AWS Web サイトの「レプリケーション元とレプリケーション先のバケットが異なる AWS アカウントによって所有されている場合の許可の付与(新しいウィンドウでリンクが開く)」を参照してください。

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. 任意の項目です。宛先バケットに、アクセスを Amazon Virtual Private Cloud (VPC) エンドポイント経由に制限するポリシーがある場合、追加した TableauS3ReplicationRoleAccess に加えて、そのバケット ポリシーを変更する必要があります。詳細については、AWS ウェブサイトの「特定の VPC エンドポイントまたは IP アドレスを使用して Amazon S3 バケットへのアクセスを制限するにはどうすればよいですか?(新しいウィンドウでリンクが開く)」を参照してください。

      現在のバケット ポリシーに次のような VPC 制限が含まれている場合:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      「条件」リストを編集して、以下を含めます。

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      注: Tableau IAM ロールには "AROAQ4OMZWJUBZG3DRFW5" RoleId を使用する必要があります。

      編集後のポリシーは、以下のようになります。

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      このポリシーは、Tableau IAM ロールを ReplicateObject と ReplicateDelete に明示的に許可し、さらに既存の明示的な VPC 拒否ステートメントから除外します。

    6. [変更を保存] をクリックします。

ステップ 3.Tableau Cloud の構成

  1. Tableau サイトに移動します。

  2. [設定] ページで [統合] タブを選択します。

  3. [アクティビティ ログ] セクションで [有効にする] ボタンを選択します。

  4. [接続の設定] ダイアログ ボックスで次の情報を入力します。

    1. [AWS アカウント番号] ボックスに、12 桁の AWS アカウント番号を入力します。これは、Amazon S3 バケットの場所に関連付けられた AWS アカウント番号です。

    2. [S3 バケット名] ボックスに、アクティビティ ログが配信される Amazon S3 バケットの名前を入力します。これは、ステップ 2.Amazon S3 バケットの作成と権限の設定 ステップ 2.Amazon S3 バケットの作成と権限の設定ステップ 2.Amazon S3 バケットの作成と権限の設定」で作成した Amazon S3 バケットです。これは、AWS バケット名の要件に従って有効な名前である必要があります。

    3. [KMS キーの ARN] ボックスに、ステップ 2.Amazon S3 バケットの作成と権限の設定 ステップ 2.Amazon S3 バケットの作成と権限の設定ステップ 2.Amazon S3 バケットの作成と権限の設定」で作成した Amazon S3 バケットです。ARN のアカウント番号は、提供された AWS アカウント番号と一致し、有効な形式である必要があります (arn:aws:kms:<region>:<account-id>:key/<key-id>)。

  5. [送信] をクリックします。

    システムが接続をテストするためにターゲットの Amazon S3 バケットにテキスト ファイルを複製しようとすると、接続ステータス列に「進行中」と表示されます。

    ファイルがターゲットの Amazon S3 バケットに正常に複製されると、接続ステータス列に「確認待ち」と表示され、「テスト ファイルの内容」を入力するウィジェットが表示されます。更新を表示するには、ページを更新する必要がある場合があります。

セキュリティ ファイルのレプリケーションの確認

  1. ターゲットの Amazon S3 バケットに移動し、siteLuid で始まるフォルダーを見つけます (名前の残りの部分はサイトの一意の識別子です)。

  2. SECURITY_VERIFICATION_FILE.txt という名前のテキスト ファイルを検索します。

  3. テキスト ファイルをダウンロードして開きます。

  4. ファイル内のテキストの内容をコピーします。

  5. [設定] ページに戻り、テキストの内容を [テキスト ファイルの内容] の入力フィールドに貼り付けて、[送信] をクリックします。

  6. 送信されたコンテンツが正しい場合、接続ステータスは [アクティブ] に変わります。これでアクティビティ ログが有効になり、データがターゲットの Amazon S3 バケットに複製され始めます。

  7. 送信されたコンテンツが正しくない場合は、エラー メッセージが表示されます。コンテンツが余分な文字やスペースなしで正しくコピーされたことを確認してください。

トラブルシューティング

セキュリティ検証ファイルが表示されない

ログ ファイルを Amazon S3 バケットに到達させるために必要なその他の設定

  • Amazon S3 バケットで、[バケットのバージョニング] が有効になっていること ([プロパティ] > [バケットのバージョニング])。

  • Amazon S3 バケットで、[すべてのパブリック アクセスをブロックする] が有効になっていること ([パーミッション] > [パブリック アクセスをブロックする (バケット設定)])。

  • Amazon S3 バケットで、以下の ACL パーミッションが「バケット所有者」に対してのみ設定されていること ([パーミッション] > [アクセス制御リスト (ACL)])。

    • オブジェクト: リスト、書き込み

    • バケット ACL: 読み取り、書き込み

  • KMS キーのパーミッション ポリシーに、ステップ 2.Amazon S3 バケットの作成と権限の設定 ステップ 2.Amazon S3 バケットの作成と権限の設定ステップ 2.Amazon S3 バケットの作成と権限の設定」のステップ 2. i. のステートメントが含まれていること ([プロパティ] > [デフォルトの暗号化] の [AWS KMS キーの ARN] で ARN をクリックして、KMS キー ポリシーに移動します)。

  • Amazon S3 バケットで、デフォルトの暗号化が有効で、バケット キーが有効になっていること ([プロパティ] > [デフォルトの暗号化])。

  • Amazon S3 バケットのパーミッション ポリシー ([アクセス許可] > [バケット ポリシー]) が、手順にあるものと正確に一致していること。サンプル値「S3-BUCKET-NAME」を、作成した Amazon S3 バケットに置き換えたことを確認します。

ヨーロッパ - アイルランド ポッドのサイトの AWS リージョンの変更

2024 年 8 月から 12 月にかけて、Tableau Cloud サイトはポッド単位で Salesforce の Hyperforce(新しいウィンドウでリンクが開く) に移行します。移行の一環として、ヨーロッパ - アイルランド リージョンのポッドはヨーロッパ - ドイツ リージョンに移動します。サイトがヨーロッパ - アイルランドのポッドにある場合は、新しいリージョンであるヨーロッパ - ドイツの AWS S3 バケットを使用するようにアクティビティ ログを再構成する必要があります。

移行についての詳細およびヨーロッパ - アイルランドのポッドの移行時期については、「Tableau Cloud の Hyperforce への移行(新しいウィンドウでリンクが開く)」(英語) に関するナレッジ記事を参照してください。