작업 로그 설정

작업 로그에는 규정 준수, 모니터링 및 감사에 사용할 수 있는 자세한 Tableau 배포 관련 이벤트가 포함됩니다. 작업 로그를 사용하려면 다음 단계를 완료해야 합니다.

필수 요건

작업 로그를 사용하려면 다음이 있어야 합니다.

  • Advanced Management가 포함된 Tableau Cloud

  • AWS(Amazon Web Services) 계정

    • 이러한 단계를 완료하려면 자체 AWS 계정이 있어야 합니다.
    • 또한 Amazon S3(Simple Storage Service) 버킷의 작업 로그를 수신하려면 아래의 3단계에서 Tableau AWS 계정 번호(061095916136)가 필요합니다.
  • 데이터를 수신할 Amazon S3(Simple Storage Service) 버킷

  • Amazon S3 버킷에 대한 AWS KMS(Key Management Service) 단일 리전 키(설정 중에 만든 키)

1단계. AWS 계정 만들기

아직 AWS(Amazon Web Services) 계정이 없는 경우 AWS 웹 사이트에서 AWS 계정을 등록(링크가 새 창에서 열림)할 수 있습니다.

2단계. Amazon S3 버킷을 만들고 사용 권한 설정

  1. 로그 데이터를 수신할 Amazon S3 버킷을 만듭니다. 자세한 내용은 AWS 웹 사이트에서 버킷 생성(링크가 새 창에서 열림)을 참조하십시오.

  2. 다음 설정으로 Amazon S3 버킷을 구성합니다.

    1. Object Ownership(개체 소유권)에서 ACLs disabled(ACL 사용 안 함)(권장)를 선택합니다. 이렇게 하면 버킷 소유자가 버킷에 기록되는 모든 개체의 소유자가 됩니다.

    2. Bucket Versioning(버킷 버전 지정)에서 Enable(사용)을 선택합니다. 개체를 복제하려면 버킷 버전 지정을 사용해야 합니다.

    3. Default encryption(기본 암호화)에서 Enable(사용)을 선택합니다.

    4. AWS Key Management Service(SSE-KMS)를 선택합니다.

    5. Enter AWS KMS key ARN(AWS KMS 키 ARN 입력)을 선택합니다.

    6. Create key(키 생성) 단추를 클릭하여 새 AWS KMS(Key Management Service) 키를 만듭니다.

      참고: KMS 다중 리전 키는 지원되지 않습니다.

    7. Symmetric Key(대칭 키) 유형을 선택하고 Encrypt and decrypt Key usage(키 사용 암호화 및 해독)를 선택합니다.

    8. 별칭을 사용하여 키 이름을 지정한 다음 Review(검토) 페이지가 표시될 때까지 클릭합니다.

    9. 키 정책 안의 Statement list(문 목록)에 다음 문을 추가하여 Tableau에 S3 버킷의 개체를 암호화할 수 있는 액세스 권한을 제공합니다.

      참고: 이 문이 있으면 Tableau IAM 역할을 사용하여 Amazon S3 버킷에 배치된 개체를 암호화할 수 있습니다. "kms:GenerateDataKey"는 개체 복제본의 암호화를 위한 데이터 키를 생성하는 데 사용됩니다. "kms:Encrypt"는 대상 S3 버킷에 만들어진 개체 복제본을 암호화하는 데 사용됩니다. "Resource": "*"는 복제 역할에 KMS 키 사용 권한만 부여하며 역할의 사용 권한 승격을 허용하지 않습니다. 자세한 내용은 AWS 웹 사이트에서 AWS Key Management Service(SSE-KMS)를 사용하는 서버 측 암호화로 데이터 보호(링크가 새 창에서 열림)를 참조하십시오.

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. Finish(마침)를 클릭하여 KMS 키를 만듭니다.

    11. Create bucket(버킷 생성)을 클릭하여 Amazon S3 버킷을 만듭니다.

  3. Amazon S3 버킷 정책의 사용 권한을 업데이트합니다.

    1. Amazon S3 버킷을 열고 Permissions(사용 권한) 탭을 클릭합니다.

    2. Bucket policy(버킷 정책) 섹션을 찾아서 Edit(편집)를 클릭합니다.

    3. 버킷 정책의 Statement list(문 목록)에 다음을 추가합니다. S3-BUCKET-NAME을 버킷 이름으로 바꿉니다.

      참고: 이 문이 있으면 Tableau IAM 역할을 사용하여 개체를 버킷에 복제할 수 있습니다. “*”와 “<path>/*”를 사용하면 각각 지정된 버킷의 모든 접두사와 버킷의 경로에 대한 액세스 권한이 부여됩니다. “s3:ReplicateObject”와 “s3:ReplicateDelete” 사용 권한은 개체를 복제하고 마커를 삭제하는 데 필요한 최소 사용 권한입니다. AWS 웹 사이트에서 소스 버킷과 대상 버킷을 서로 다른 AWS 계정에서 소유할 경우 권한 부여(링크가 새 창에서 열림)를 참조하십시오.

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. 선택 사항입니다. 대상 버킷에 Amazon Virtual Private Cloud(VPC) 끝점을 통한 액세스를 제한하는 정책이 있는 경우 방금 추가한 TableauS3ReplicationRoleAccess뿐 아니라 버킷 정책을 변경해야 합니다. 자세한 내용은 AWS 웹 사이트에서 특정 VPC 엔드포인트 또는 IP 주소를 사용하여 Amazon S3 버킷에 대한 액세스를 제한하려면 어떻게 해야 하나요?(링크가 새 창에서 열림)를 참조하십시오.

      현재 버킷 정책에 다음과 같은 VPC 제한이 포함된 경우:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      다음을 포함하도록 "Condition" 목록을 편집합니다.

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      참고: Tableau IAM 역할에 "AROAQ4OMZWJUBZG3DRFW5" RoleId를 사용해야 합니다.

      편집된 정책은 다음과 같아야 합니다.

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      이 정책은 Tableau IAM 역할로 ReplicateObject 및 ReplicateDelete를 수행하는 것을 명시적으로 허용하며 기존의 명시적 VPC 거부 문에서 해당 역할을 추가로 제외합니다.

    6. Save changes(변경 내용 저장)를 클릭합니다.

3단계. Tableau Cloud 구성

  1. Tableau 사이트로 이동합니다.

  2. 설정 페이지에서 통합 탭을 선택합니다.

  3. 작업 로그 섹션에서 사용 단추를 선택합니다.

  4. 연결 설정 대화 상자에서 다음 정보를 입력합니다.

    1. AWS 계정 번호 상자에 12자리 AWS 계정 번호를 입력합니다. 이 번호는 Amazon S3 버킷 위치에 연결된 AWS 계정 번호입니다.

    2. S3 버킷 이름 상자에 활동 로그 파일이 전송될 Amazon S3 버킷 이름을 입력합니다. 이 버킷은 2단계. Amazon S3 버킷을 만들고 사용 권한 설정에서 만든 Amazon S3 버킷입니다.2단계. Amazon S3 버킷을 만들고 사용 권한 설정합니다. AWS 버킷 이름 요구 사항에 따라 유효한 이름이어야 합니다.

    3. KMS 키 ARN 상자에 2단계. Amazon S3 버킷을 만들고 사용 권한 설정에서 만든 KMS 키 ARN(Amazon 리소스 이름)을 입력합니다.2단계. Amazon S3 버킷을 만들고 사용 권한 설정합니다. ARN의 계정 번호는 제공된 AWS 계정 번호와 일치해야 하며 유효한 형식(즉, arn:aws:kms:<region>:<account-id>:key/<key-id>)이어야 합니다.

  5. 제출을 클릭합니다.

    시스템에서 연결을 테스트하기 위해 텍스트 파일을 Amazon S3 버킷에 복제하려고 하면 연결 상태 열에 진행 중 상태가 표시됩니다.

    파일이 대상 Amazon S3 버킷에 복제된 후에는 연결 상태 열에 확인 보류 중 상태가 표시되고 ‘테스트 파일 콘텐츠’를 입력할 수 있는 위젯이 표시됩니다. 업데이트를 보려면 페이지를 새로 고쳐야 할 수 있습니다.

보안 파일 복제 확인

  1. 대상 Amazon S3 버킷으로 이동하고 siteLuid로 시작되는 폴더를 찾습니다(나머지 이름은 사이트의 고유 식별자임).

  2. 이름이 SECURITY_VERIFICATION_FILE.txt인 텍스트 파일을 찾습니다.

  3. 텍스트 파일을 다운로드하고 엽니다.

  4. 파일 안의 텍스트 콘텐츠를 복사합니다.

  5. 설정 페이지로 돌아가서 텍스트 콘텐츠를 텍스트 파일 콘텐츠 입력 필드에 붙여 넣은 다음 제출을 클릭합니다.

  6. 제출된 콘텐츠가 올바르면 연결 상태가 활성으로 변경됩니다. 이제 작업 로그가 사용되고 대상 Amazon S3 버킷으로 데이터가 복제되기 시작합니다.

  7. 제출된 콘텐츠가 올바르지 않으면 오류 메시지가 표시됩니다. 콘텐츠가 추가 문자 또는 공백 없이 올바르게 복사되었는지 확인하십시오.

문제 해결

보안 확인 파일이 표시되지 않습니까?

로그 파일을 Amazon S3 버킷으로 전송하는 데 필요한 다른 설정

  • Amazon S3 버킷에 Bucket Versioning(버킷 버전 관리)이 사용되도록 설정되어 있습니다(Properties(속성) > Bucket Versioning(버킷 버전 관리)).

  • Amazon S3 버킷에 Block all public access(모든 공용 액세스 차단)가 사용되도록 설정되어 있습니다. 이 명령은 Permissions(사용 권한) > Block public access (bucket settings)(공용 액세스 차단(버킷 설정))에 위치합니다.

  • Amazon S3 버킷에 "버킷 소유자"에 대한 다음 ACL 사용 권한만 있습니다. 이 명령은 Permissions(사용 권한) > Access Control List (ACL)(ACL(액세스 제어 목록))에 위치합니다.

    • 개체: 나열, 쓰기

    • 버킷 ACL: 읽기, 쓰기

  • KMS 키 사용 권한 정책에 2단계. Amazon S3 버킷을 만들고 사용 권한 설정의 문이 포함되어 있습니다.2단계. Amazon S3 버킷을 만들고 사용 권한 설정2단계 2단계. Amazon S3 버킷을 만들고 사용 권한 설정(Properties(속성) > Default encryption(기본 암호화)에서 AWS KMS Key ARN(AWS KMS 키 ARN) 아래의 ARN을 클릭하여 KMS 키 정책으로 이동).

  • Amazon S3 버킷에 기본 암호화가 사용되도록 설정되어 있고 버킷 키가 사용되도록 설정되어 있습니다(Properties(속성) > Default encryption(기본 암호화)).

  • Amazon S3 버킷 사용 권한 정책(Permissions(사용 권한) > Bucket Policy(버킷 정책))이 지침의 정책과 명시적으로 일치합니다. 예제 값 "S3-BUCKET-NAME"을 방금 만든 Amazon S3 버킷으로 바꾸었는지 확인하십시오.

유럽 - 아일랜드 포드에 있는 사이트에 대한 AWS 리전 변경

2024년 8월부터 2025년 3월까지 Tableau Cloud가 Salesforce의 Hyperforce(링크가 새 창에서 열림)로 포드별로 마이그레이션될 예정입니다. 마이그레이션의 일환으로 유럽 - 아일랜드 지역의 포드가 유럽 - 독일 지역으로 이전됩니다. 사이트가 유럽-아일랜드 포드에 있는 경우 새 지역인 유럽-독일에서 AWS S3 버킷을 사용하도록 작업 로그를 재구성해야 합니다.

마이그레이션에 대한 자세한 내용과 유럽-아일랜드 포드 이동 시기에 대한 자세한 내용은 Tableau Cloud에서 Hyperforce로의 마이그레이션(영문)(링크가 새 창에서 열림) 기술 자료를 참조하십시오.