抽出の暗号化キーに外部 KMS を使用する

適用先: Tableau Cloud

多くの組織では、ビジネスに不可欠なデータを保護する暗号化キーを直接管理する必要があります。外部のキー管理サービス (KMS) を使用すると、信頼できる外部のキー管理ベンダーを使用して暗号化キーを管理できるため、この問題に対処できます。暗号化キーを直接制御できる外部 KMS を使用すると、組織のセキュリティ体制が大幅に強化されます。重要なキーへの不正アクセスを懸念する組織ではなおさらです。

さらに、多くの組織にとって、暗号化キーを外部で制御する機能は、さまざまな規制やコンプライアンスの要件を満たすために重要です。また、暗号化キーを直接制御すると、組織がデータの主権を維持することに役立ちますが、これはデータの保存とアクセスを法的および地理的に考慮する上で重要です。

2025 年 10 月以降、Tableau Cloud はアマゾン ウェブ サービス (AWS) KMS を介してのみ外部キー管理を提供します。

注: 外部 KMS 機能は、Tableau+、Tableau Enterprise、または Advanced Management を搭載した Tableau Cloud でのみ使用できます。

キー階層

外部 KMS を使用する場合の暗号化プロセスでは、明確なキー階層に従ってデータ セキュリティを確保し、お客様が暗号化キーを直接制御できるようにします。

外部 KMS を使用する場合の主な階層は次のとおりです。

  • カスタマー マスター キー (CMK): CMK は階層内のルート キーであり、AWS KMS 内でお客様によって作成および制御されます。Tableau のキーのリストは、AWS KMS 内の CMK のリストです。
  • キー暗号化キー (KEK): KEK は CMK から派生したものであり、データ暗号化キー (DEK) の暗号化に使用されます。
  • データ暗号化キー (DEK): DEK は KEK から派生したものであり、階層内の最下位レベルのキーです。DEK は、抽出の暗号化と復号化に直接使用されるキーです。

Tableau Cloud におけるキーの状態

外部 KMS を使用する場合、Tableau のキーには次の状態と機能があります。

  • 保留中 - キーを生成しましたが、まだ使用していません。有効化するまでは、抽出の書き込みまたは読み取りに使用できません。
  • 有効 - キーは抽出の書き込みと、書き込んだ抽出の読み取りに使用されています。
  • アーカイブ済み - キーは過去に有効でしたが、後のキーに置き換えられました。抽出の書き込みには使用されていませんが、書き込んだ抽出の読み取りには使用されています。
  • 無効 - キーは過去に有効でしたが、アーカイブされました。抽出の読み取りまたは書き込みに使用されていません。

状態と機能に関するクイック リファレンス

キーの状態抽出を書き込み/暗号化できる抽出を読み取り/復号化できる
保留中  
有効
アーカイブ済み 
無効  

セットアップの概要

Tableau で AWS KMS を使用するための概要レベルの手順は次のとおりです。

  • AWS KMS: カスタマー マスター キー (CMK) を作成します。
  • Tableau Cloud: 抽出の暗号化を有効にします (または、カスタマー管理の暗号化キーから移行して、Salesforce KMS を使用します)。
  • Tableau Cloud: AWS KMS からカスタマー マスター キーの ARN を使用して Tableau でキーを生成します。
  • AWS KMS: Tableau キー ポリシー JSON を AWS カスタマー マスター キーのポリシーに追加します。
  • Tableau Cloud: キーを有効化します。

セットアップの詳細

AWS KMS でマスター キーを作成する

Tableau が使用するキー暗号化キー (KEK) とデータ暗号化キー (DEK) は、AWS KMS(新しいウィンドウでリンクが開く) で作成するカスタマー マスター キー (CMK) に基づいています。そのため、Tableau で KEK と DEK を生成する前に、AWS KMS に CMK が存在する必要があります。AWS KMS でキーを作成する上でサポートが必要な場合は、周りにおられるキーの専門家にご相談ください。

Tableau キー生成ダイアログには、AWS KMS(新しいウィンドウでリンクが開く) へのリンクが含まれています。AWS マスター キーは、プロセスの途中で作成することも、Tableau でキー生成プロセスを開始する前に作成することもできます。

AWS キーは、Amazon リソース ネーム (ARN) によって一意に識別されます。Tableau キー生成プロセス中に CMK ARN を提供するように求められます。キーの ARN の書式は次の通りです。

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

外部 KMS を使用した抽出の暗号化の有効化

注: 暗号化を一度有効にすると、簡単に無効にすることはできません。同様に、カスタマー管理の暗号化キー (Salesforce KMS を使用) から外部 KMS への切り替えは永続的であり、アカウント マネージャーのサポートなしに元に戻すことはできません。

外部 KMS を有効にするには次の操作を行います。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、[抽出の暗号化] を選択します。
  5. [外部 KMS を使用] を選択します。
  6. [キーの生成] を選択します。
    • Salesforce KMS から外部 KMS に移行しようとしている場合は、警告を読んでから [外部 KMS に切り替え] を選択します。

キーの生成

暗号化された抽出を書き込むには、キーを生成してから有効化する必要があります。有効なキーが既にある場合は、最初の手順として、現在有効なキーを置き換えるために別のキーを生成します。

Tableau でキーを生成するには次の操作を行います。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、[キーの生成] を選択します。
  5. サイトの最初のキーを生成する場合は、[AWS KMS の設定] ダイアログが表示されます。有効なキーが既にある場合は、最初に [キーの生成] 確認ダイアログ ボックスに進みます。
  6. [AWS KMS の起動] を選択します。まだログインしていない場合は、AWS へのログインを求められます。
  7. AWS KMS で、新しいキーを作成するか、既存のキーを見つけてキーの ARN をコピーします。
  8. Tableau の [AWS KMS の設定] ダイアログに戻り、キーの ARN を [AWS からのキー ARN] フィールドに貼り付けます。
  9. 必要に応じて、[説明] を入力します。
  10. [次へ] を選択します (または、サイトの最初のキーの場合は [暗号の有効化] を選択します)。
  11. [完了] を選択してキー ポリシーの JSON を後で AWS KMS に追加するか、抽出の暗号化キーに外部 KMS を使用する に従って今すぐ追加します。

キー ポリシーの JSON を AWS KMS ポリシーに追加して有効化するまで、キーを使用して抽出の読み取りまたは書き込みを行うことはできません。

キー ポリシー JSON を KMS キー ポリシーに追加する

新しく生成されたキーの状態は [保留中] であり、キー ポリシーの JSON を AWS KMS ポリシーに追加して有効化するまで、抽出の書き込みまたは読み取りに使用できません。

キー ポリシーの JSON を確認するには、キーの生成 プロセスに進んでください。

または、そのプロセスを続けない場合は 、次の手順を実行します。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、適切な [保留中] のキーの横にあるアクション メニュー (...) を選択します。
  5. [キー ポリシー] を選択します。

キー ポリシーの JSONを AWS KMS ポリシーに追加するには、関連する Statement オブジェクトを Tableau から AWS KMS ポリシーの JSONにコピーする必要があります。必要なのは完全な JSON テキストの一部だけです。[キー ポリシーのコピー] を選択し、テキスト エディターに貼り付けて、そこで JSON を操作する方が、ダイアログで作業するよりも簡単な場合があります。

JSON テキストから、Statement 配列のオブジェクトをコピーします。次に、AWS KMS キーのポリシーで、標準の JSON 構文に従って、コピーしたテキストをステートメント配列に追加します(おそらく、新しい JSON を追加する前に、既存の AWS KMS のステートメントの末尾にコンマを追加する必要があるでしょぅ)。

例:

強調表示されている部分は、AWS KMS ポリシーに追加するセクションです。

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [

        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }

    ]
}

キーの有効化

キーを有効化して、新しい抽出の読み取りと書き込みに使用できるようにします。[キーの有効化] アクションは、[保留中] のキーでのみ使用できます。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、適切な [保留中] のキーの横にあるアクション メニュー (...) を選択します。
  5. [キーの有効化...] を選択します。

すでに有効なキーがある場合、新しいキーを有効化すると、既存のキーの状態が [アーカイブ済み] に変更されます。アーカイブ済みのキーは、書き込んだ抽出を読み取るためにのみ使用します。新しいキーが [有効] になり、新しい抽出の書き込みと書き込んだ抽出の読み取りに使用できるようになります。

注: 暗号化を有効にしてサイトで最初のキーを有効化すると、Tableau Cloud はサイト上の各抽出に対して抽出暗号化バックグラウンド ジョブを作成します。これらのジョブは最低の優先度に設定され、リソースに余裕がある場合にのみ実行されます。既存の抽出更新ジョブは、抽出が暗号化される前に実行されます。

その他のアクション

キーのアーカイブ

アーカイブされたキーは、書き込んだ抽出を読み取ることができますが、新しい抽出の書き込みには使用されません。キーをアーカイブする唯一の方法は、新しいキーを有効化することです。「キーの有効化」を参照してください。

キーの無効化

アーカイブされたキーを無効化すると、抽出の読み取りまたは書き込みに使用できないようになります。キーが侵害された場合は、これを行うことをお勧めします。[キーの無効化] アクションは、[アーカイブ済み] のキーでのみ使用できます。

キーを無効化すると、そのキーを使用して書き込んだ抽出を読み取ることはできなくなります (アーカイブされたキーであれば書き込んだ抽出を読み取ることができます)。つまり、一部の抽出ベースのコンテンツは、有効なキーで暗号化されていない場合、動作を停止する可能性があります。古いキーを使用する抽出ベースのコンテンツへのアクセスを保持する必要がある場合は、古いキーを無効化する前に、有効なキーで抽出が更新されていることを確認してください。

注: 必要に応じて、無効化されたキーを [復元] できます。キーを復元すると、[無効] から [アーカイブ済み] に変わります。「キーの復元」を参照してください。

キーを無効化するには、以下を実行します。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、適切な [アーカイブ済み] のキーの横にあるアクション メニュー (...) を選択します。
  5. [キーの無効化...] を選択します。
  6. テキスト フィールドに「Deactivate this key (このキーを無効化)」と入力して、アクションを確認します。
  7. [キーの無効化] を選択します。

キーの復元

無効化されたキーを復元すると、書き込んだ抽出の読み取りに使用できるようになります。[キーを復元] アクションは [無効] なキーでのみ使用でき、キーは [アーカイブ済み] に変わります。

キーをアーカイブされた状態に復元しても、抽出の書き込みには使用されません。書き込んだ抽出を読み取るためにのみ使用されます。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、適切な [無効] なキーの横にあるアクション メニュー (...) を選択します。
  5. [キーの復元...] を選択します。
  6. [キーの復元] を選択します。

キーの削除

Tableau Cloud ではキーを削除できません。キーは、アーカイブする (書き込んだコンテンツを読み取る機能を保持する) か、無効化する (読み取りも書き込みもできない) ことのみ可能です。「Tableau Cloud におけるキーの状態」を参照してください。

注: AWS KMS でカスタマー マスター キー (CMK) を無効にすると、それから派生した Tableau キーは暗号化または復号化で機能しなくなります。同様に、AWS KMS の CMK のポリシーから Tableau で生成された句を削除すると、その句から派生した Tableau キーは機能しなくなります。

キー ポリシーの表示

[キー ポリシー] ダイアログには、AWS KMS キーのポリシーに追加するキー ポリシーの JSON が表示されます。キー ポリシーの JSON は、キーの生成 プロセス中またはそれ以降に追加できます。

詳細については、「抽出の暗号化キーに外部 KMS を使用する」を参照してください。

AWS KMS キーのポリシーに追加する必要があるポリシーを確認するには、次の手順を実行します。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、適切なキーの横にあるアクション メニュー (...) を選択します。
  5. [キー ポリシー] を選択します。

キー履歴の表示

キー履歴テーブルの各行には、イベント、イベント後のキーの状態、およびイベントの日時が表示されます。

キーの履歴を表示するには次の操作を行います。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、適切なキーの横にあるアクション メニュー (...) を選択します。
  5. [キー履歴] を選択します。

設定のテスト

保留中のキーに対して [設定のテスト] アクションを使用すると、キーを有効化できるかどうかを判断できます。他の状態のキーに対して [設定のテスト] アクションを使用すると、キーが動作しているか、動作できるか、動作できないかを表示します。

キーの設定をテストするには次の操作を行います。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、適切なキーの横にあるアクション メニュー (...) を選択します。
  5. [設定のテスト...] を選択します。

成功:

  • このキーは抽出の暗号化に使用できます。キーが保留中の場合は、安全に有効化できます。キーがすでに有効になっている場合、キーは機能しています。

エラー:

  • POLICY_DENIED - 外部 KMS には、このキーを許可するポリシーがありません。このキーから外部 KMS にポリシーをコピーしたことを確認してください。
  • KEY_NOT_FOUND - キーが見つからなかったか、キーが Tableau で無効化されています。AWS KMS キーの ARN とポリシーを確認してください。
  • UNKNOWN - 不明なエラーが発生しました。キーが AWS KMS で無効になっていないことを確認して、もう一度やり直してください。

注: AWS KMS でカスタマー マスター キー (CMK) を無効にすると、それから派生した Tableau キーは暗号化または復号化で機能しなくなります。同様に、AWS KMS の CMK のポリシーから Tableau で生成された句を削除すると、その句から派生した Tableau キーは機能しなくなります。

カスタマー管理の暗号化キーから外部 KMS への移行

注: カスタマー管理の暗号化キーから外部 KMS への切り替えは永続的であり、アカウント マネージャーの助けなしに元に戻すことはできません。

カスタマー管理の暗号化キー (Salesforce の KMS を使用) から外部 KMS への移行は簡単ですが、永続的であるため、アカウント マネージャーのサポートなしに元に戻すことはできません。変更後は、Salesforce の KMS ではなく外部 KMS でキーを管理することになります。カスタマー管理の暗号化キーから外部 KMS に移行する前に、外部 KMS で基本的なキー機能を実行する方法を理解していることを確認してください。

移行後、外部 KMS から派生したキーによって新しい抽出が書き込まれます。Salesforce KMS キーは、抽出が外部 KMS ベースのキーを使用して更新されるまで、自身が書き込んだ抽出を読み取り続けます。

カスタマー管理の暗号化キーと Salesforce KMS の詳細については、「カスタマー管理の暗号化キー(新しいウィンドウでリンクが開く)」を参照してください。

カスタマー管理の暗号化キーから外部 KMS に移行するには、次の手順を実行します。

  1. Tableau Cloud サイトにログインします。
  2. 左側のナビゲーション ペインで [設定] を選択します。
  3. [セキュリティ] タブを選択します。
  4. [抽出の暗号化] セクションで、選択内容を [Salesforce KMS の使用] から [外部 KMS の使用] に変更します。
  5. 警告を読み、[外部 KMS への切り替え] を選択します。
一番上に戻る
フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!