추출 암호화 키에 외부 KMS 사용
대부분의 조직에서는 비즈니스 크리티컬 데이터를 보호하는 암호화 키를 직접 제어해야 합니다. KMS(외부 키 관리 서비스)를 사용하면 고객이 신뢰할 수 있는 외부 키 관리 공급업체를 통해 암호화 키를 제어할 수 있으므로 이 문제가 해결됩니다. 암호화 키를 직접 제어할 수 있으므로 외부 KMS를 사용하면 조직, 특히 이러한 중요한 키에 대한 무단 액세스를 우려하는 조직의 보안 태세가 크게 향상됩니다.
또한 많은 조직에서 암호화 키를 외부에서 제어할 수 있는 기능은 다양한 규제 및 규정 준수 의무를 충족하는 데 매우 중요합니다. 또한 암호화 키를 직접 제어하면 조직이 데이터 저장 및 액세스에 대한 법적 및 지리적 고려 사항에 중요한 데이터 주권을 유지하는 데 도움이 됩니다.
2025년 10월부터 Tableau Cloud는 AWS(Amazon Web Services) KMS를 통해서만 외부 키 관리 기능을 제공합니다.
참고: 외부 KMS 기능은 Tableau Cloud에서 Tableau+, Tableau Enterprise 또는 Advanced Management를 통해서만 사용할 수 있습니다.
키 계층 구조
외부 KMS를 사용할 때 암호화 프로세스는 고유한 키 계층 구조를 따르므로 데이터 보안을 보장하고 고객이 암호화 키를 직접 제어할 수 있습니다.
외부 KMS를 사용할 때의 키 계층 구조는 다음과 같습니다.
- CMK(고객 마스터 키): CMK는 AWS KMS 내에서 고객이 만들고 제어하는 계층 구조의 루트 키입니다. Tableau의 키 목록은 AWS KMS의 CMK 목록입니다.
- KEK(키 암호화 키): KEK는 CMK에서 파생되었으며 DEK(데이터 암호화 키)를 암호화하는 데 사용됩니다.
- DEK(데이터 암호화 키): DEK는 KEK에서 파생되었으며 계층 구조에서 가장 낮은 수준의 키입니다. DEK는 추출을 암호화하고 암호 해독하는 데 직접 사용되는 키입니다.
Tableau Cloud의 키 상태
외부 KMS를 사용하는 경우 Tableau의 키에 나타나는 상태 및 기능은 다음과 같습니다.
- 보류 중 - 키를 생성했지만 아직 사용하고 있지 않습니다. 활성화하기 전까지는 추출을 쓰거나 읽는 데 사용할 수 없습니다.
- 활성 - 키가 추출을 쓰고 키가 쓴 추출을 읽는 데 사용됩니다.
- 보관됨 - 키가 과거에 활성 상태였지만 최신 키로 대체되었습니다. 추출을 쓰는 데 사용되는 것이 아니라 작성한 추출을 읽는 데 사용됩니다.
- 비활성화됨 - 키가 과거에 활성 상태였다가 보관되었습니다. 추출을 읽거나 쓰는 데 사용되지 않습니다.
상태 및 기능의 빠른 참조
| 키 상태 | 추출 쓰기/암호화 가능 | 추출 읽기/암호 해독 가능 |
| 보류 중 | ||
| 활성 | ✓ | ✓ |
| 보관됨 | ✓ | |
| 비활성화됨 |
설정 개요
Tableau에서 AWS KMS를 사용하기 위한 단계를 간략히 설명하면 다음과 같습니다.
- AWS KMS: CMK(고객 마스터 키)를 만듭니다.
- Tableau Cloud: 추출 암호화를 사용하도록 설정합니다(또는 Salesforce KMS를 사용하는 고객 관리형 암호화 키에서 마이그레이션).
- Tableau Cloud: AWS KMS에서 고객 마스터 키의 ARN을 사용하여 Tableau에서 키를 생성합니다.
- AWS KMS: AWS 고객 마스터 키의 정책에 Tableau 키 정책 JSON을 추가합니다.
- Tableau Cloud: 키를 활성화합니다.
설정 세부 정보
AWS KMS에서 마스터 키 만들기
Tableau에서 사용하는 KEK(키 암호화 키) 및 DEK(데이터 암호화 키)는 AWS KMS(링크가 새 창에서 열림)에서 만든 CMK(고객 마스터 키)를 기반으로 합니다. 따라서 AWS KMS에 CMK가 있어야 Tableau에서 KEK 및 DEK를 생성할 수 있습니다. AWS KMS에서 키를 만드는 데 도움이 필요한 경우 현지 키 전문가에게 문의하십시오.
Tableau 키 생성 대화 상자에 AWS KMS(링크가 새 창에서 열림)에 대한 링크가 포함되어 있습니다. 프로세스의 해당 시점에 AWS 마스터 키를 만들거나 Tableau에서 키 생성 프로세스를 시작하기 전에 마스터 키를 만들 수 있습니다.
AWS 키는 ARN(Amazon 리소스 이름)으로 고유하게 식별됩니다. Tableau 키 생성 프로세스 중에 CMK ARN을 제공하라는 메시지가 표시됩니다. 키 ARN의 형식은 다음과 같습니다.
arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef
외부 KMS로 추출 암호화 사용
참고: 암호화를 사용하도록 설정하면 쉽게 사용하지 않도록 설정할 수 없습니다. 마찬가지로, 고객 관리형 암호화 키(Salesforce KMS 사용)에서 외부 KMS로 전환하는 것은 영구적이며 계정 관리자의 도움 없이는 실행 취소할 수 없습니다.
외부 KMS를 사용하도록 설정하려면:
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 추출 암호화를 선택합니다.
- 외부 KMS 사용을 선택합니다.
- Salesforce KMS 사용을 이미 선택한 경우 현재 Salesforce KMS를 통해 고객 관리형 암호화 키를 사용하고 있습니다. (자세한 내용은 고객 관리형 암호화 키(링크가 새 창에서 열림)를 참조하십시오.) 설정을 외부 KMS 사용으로 변경하면 Salesforce KMS에서 외부 KMS로 영구적으로 변경됩니다. KMS를 변경하기 전에 고객 관리형 암호화 키에서 외부 KMS로 마이그레이션을 참조하십시오.
- 키 생성을 선택합니다.
- Salesforce KMS에서 외부 KMS로 마이그레이션하는 경우 경고를 읽은 다음 외부 KMS로 전환을 선택합니다.
키 생성
암호화된 추출을 쓰려면 키를 생성한 다음 활성화해야 합니다. 이미 활성 키가 있는 경우 현재 활성 키를 교체하기 위한 첫 번째 단계로 다른 키를 생성합니다.
Tableau에서 키를 생성하려면:
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 키 생성을 선택합니다.
- 사이트의 첫 번째 키를 생성하는 경우 AWS KMS 구성 대화 상자가 표시됩니다. 활성 키가 이미 있는 경우 먼저 키 생성 확인 대화 상자를 진행합니다.
- AWS KMS 시작을 선택합니다. 아직 로그인하지 않은 경우 AWS에 로그인하라는 메시지가 표시됩니다.
- AWS KMS에서 새 키를 생성하거나 기존 키를 찾은 다음, 키 ARN을 복사합니다.
- Tableau AWS KMS 구성 대화 상자로 돌아와 키 ARN을 AWS의 키 ARN 필드에 붙여 넣습니다.
- 선택적으로 설명을 입력합니다.
- 다음(또는 사이트의 첫 번째 키인 경우 암호화 사용)을 선택합니다.
- 완료를 선택하여 나중에 키 정책 JSON을 AWS KMS에 추가하거나, 추출 암호화 키에 외부 KMS 사용에 따라 지금 수행합니다.
AWS KMS 정책에 키 정책 JSON을 추가한 다음 활성화할 때까지 키를 사용하여 추출을 읽거나 쓸 수 없습니다.
KMS 키 정책에 키 정책 JSON 추가
새로 생성된 키는 보류 중 상태이며, AWS KMS 정책에 키 정책 JSON을 추가한 다음 활성화할 때까지 추출을 쓰거나 읽는 데 사용할 수 없습니다.
키 정책 JSON을 보려면 키 생성 프로세스에서 계속 진행합니다.
또는 해당 프로세스를 계속 진행하지 않는 경우:
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 적절한 보류 중 키 옆에 있는 동작 메뉴(...)를 선택합니다.
- 키 정책을 선택합니다.
AWS KMS 정책에 키 정책 JSON을 추가하려면 Tableau에서 관련 Statement 개체를 AWS KMS의 정책 JSON으로 복사해야 합니다. 전체 JSON 텍스트의 일부만 필요합니다. 키 정책 복사를 선택하고, 텍스트 편집기에 붙여 넣고, JSON을 조작하는 것이 대화 상자에서 작업하는 것보다 쉬울 수 있습니다.
JSON 텍스트에서 Statement 배열의 개체를 복사합니다. 그런 다음 AWS KMS 키의 정책에서 표준 JSON 구문에 따라 복사한 텍스트를 Statement 배열에 추가합니다. (새 JSON을 추가하기 전에 기존 AWS KMS의 Statement 끝에 쉼표를 추가해야 할 수 있습니다.)
하이라이트된 부분은 AWS KMS 정책에 추가할 섹션입니다.
{
"Version": "2012-10-17",
"Id": "sfdc-key-access-policy",
"Statement": [
키 활성화
새 추출을 읽고 쓰는 데 사용하려면 키를 활성화해야 합니다. 키 활성화 동작은 보류 중인 키에서만 사용할 수 있습니다.
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 적절한 보류 중 키 옆에 있는 동작 메뉴(...)를 선택합니다.
- 키 활성화...를 선택합니다.
이미 활성 키가 있는 경우 새 키를 활성화하면 기존 키가 보관됨으로 상태가 변경됩니다. 보관된 키는 해당 키가 쓴 추출을 읽는 데에만 사용됩니다. 새 키가 활성 상태가 되고 새 추출을 쓰고 해당 키가 쓴 추출을 읽는 데 사용됩니다.
참고: 암호화를 사용하도록 설정하고 사이트에서 첫 번째 키를 활성화하면 Tableau Cloud에서 사이트의 각 추출에 대한 추출 암호화 백그라운드 작업을 만듭니다. 이러한 작업은 가장 낮은 우선 순위로 설정되어, 추가 리소스가 있을 때만 실행됩니다. 기존 추출 새로 고침 작업은 추출이 암호화되기 전에 실행됩니다.
기타 동작
키 보관
보관된 키는 해당 키가 쓴 추출을 읽을 수 있지만 새 추출을 쓰는 데 사용되지 않습니다. 키를 보관하는 유일한 방법은 새 키를 활성화하는 것입니다. 키 활성화를 참조하십시오.
키 비활성화
보관된 키를 비활성화하면 추출을 읽거나 쓰는 데 사용할 수 없게 됩니다. 키가 손상된 경우 이 작업을 수행하는 것이 좋습니다. 키 비활성화 동작은 보관된 키에서만 사용할 수 있습니다.
키를 비활성화하면 키가 쓴 추출을 읽는 데 사용할 수 없습니다(보관된 키는 쓴 추출을 읽을 수 있음). 즉, 일부 추출 기반 콘텐츠는 활성 키로 암호화되지 않은 경우 작동을 멈출 수 있습니다. 이전 키를 사용하는 추출 기반 콘텐츠에 대한 액세스 권한을 유지해야 하는 경우 이전 키를 비활성화하기 전에 활성 키로 추출을 새로 고쳤는지 확인하십시오.
참고: 필요한 경우 비활성화된 키를 복원할 수 있습니다. 키를 복원하면 키가 비활성화됨에서 보관됨으로 변경됩니다. 키 복원을 참조하십시오.
키를 비활성화하려면:
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 적절한 보관된 키 옆에 있는 동작 메뉴(...)를 선택합니다.
- 키 비활성화...를 선택합니다.
- 텍스트 필드에 '이 키 비활성화'를 입력하여 동작을 확인합니다.
- 키 비활성화를 선택합니다.
키 복원
비활성화된 키를 복원하여 해당 키로 쓴 추출을 읽을 수 있도록 합니다. 키 복원 동작은 비활성화된 키에서만 사용할 수 있으며 상태가 보관됨으로 변경됩니다.
키를 보관됨 상태로 복원하면 추출을 쓰는 데 사용되지 않습니다. 해당 키가 쓴 추출을 읽는 데만 사용됩니다.
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 적절한 비활성화됨 키 옆에 있는 동작 메뉴(...)를 선택합니다.
- 키 복원...을 선택합니다.
- 키 복원을 선택합니다.
키 삭제
Tableau Cloud에서는 키를 삭제할 수 없습니다. 키는 보관(키가 작성한 콘텐츠를 읽을 수 있는 기능 유지) 또는 비활성화(읽거나 쓸 수 없음)만 할 수 있습니다. Tableau Cloud의 키 상태를 참조하십시오.
참고: AWS KMS에서 CMK(고객 마스터 키)를 사용하지 않도록 설정하면 해당 키에서 파생된 Tableau 키가 암호화 또는 암호 해독 작업을 중지합니다. 마찬가지로, AWS KMS의 CMK 정책에서 Tableau가 생성한 절을 제거하면 해당 절에서 파생된 Tableau 키가 작동을 멈춥니다.
키 정책 참조
키 정책 대화 상자는 AWS KMS 키 정책에 추가하기 위한 키 정책 JSON을 보여줍니다. 키 정책 JSON은 키 생성 프로세스 중이나 나중에 추가할 수 있습니다.
자세한 내용은 추출 암호화 키에 외부 KMS 사용를 참조하십시오.
AWS KMS 키의 정책에 추가해야 하는 정책을 보려면:
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 적절한 키 옆에 있는 동작 메뉴(...)를 선택합니다.
- 키 정책을 선택합니다.
키 기록 보기
키 기록 테이블의 각 행에는 이벤트, 이벤트 후의 키 상태, 이벤트 날짜 및 시간이 표시됩니다.
키 기록을 보려면:
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 적절한 키 옆에 있는 동작 메뉴(...)를 선택합니다.
- 키 기록을 선택합니다.
구성 테스트
보류 중인 키에 대해 구성 테스트 동작을 사용하여 활성화할 수 있는지 확인합니다. 다른 상태의 키에 대해 구성 테스트 동작을 사용하여 작동 중인지, 작동해야 하는지 또는 작동하지 않을지 보여줍니다.
키의 구성을 테스트하려면:
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 적절한 키 옆에 있는 동작 메뉴(...)를 선택합니다.
- 구성 테스트...를 선택합니다.
성공:
- 이 키는 추출을 암호화하는 데 사용될 수 있습니다. 키가 보류 중인 경우 활성화해도 안전합니다. 키가 이미 활성 상태이면 작동하고 있는 것입니다.
오류:
- POLICY_DENIED - 외부 KMS에 이 키를 허용하는 정책이 없습니다. 외부 KMS로 이 키의 정책을 복사했는지 확인합니다.
- KEY_NOT_FOUND - 키를 찾을 수 없거나 키가 Tableau에서 비활성화되었습니다. AWS KMS 키 ARN 및 정책을 확인합니다.
- UNKNOWN - 알 수 없는 오류가 발생했습니다. AWS KMS에서 키가 비활성화되지 않았는지 확인하고 다시 시도하십시오.
참고: AWS KMS에서 CMK(고객 마스터 키)를 사용하지 않도록 설정하면 해당 키에서 파생된 Tableau 키가 암호화 또는 암호 해독 작업을 중지합니다. 마찬가지로, AWS KMS의 CMK 정책에서 Tableau가 생성한 절을 제거하면 해당 절에서 파생된 Tableau 키가 작동을 멈춥니다.
고객 관리형 암호화 키에서 외부 KMS로 마이그레이션
참고: 고객 관리형 암호화 키에서 외부 KMS로 전환하면 영구적으로 적용되며 계정 관리자의 도움 없이는 실행 취소할 수 없습니다.
고객 관리형 암호화 키(Salesforce의 KMS 사용)에서 외부 KMS로 마이그레이션하는 것은 간단하지만 영구적이며 계정 관리자의 도움 없이는 실행 취소할 수 없습니다. 변경 후에는 Salesforce의 KMS 대신 외부 KMS에서 키를 관리하게 됩니다. 고객 관리형 암호화 키에서 외부 KMS로 마이그레이션하기 전에 외부 KMS에서 기본 키 기능을 수행하는 방법을 이해해야 합니다.
마이그레이션 후에는 외부 KMS에서 파생된 키가 새 추출을 씁니다. Salesforce KMS 키는 외부 KMS 기반 키를 사용하여 추출을 새로 고칠 때까지 키로 쓴 추출을 계속 읽습니다.
고객 관리형 암호화 키 및 Salesforce KMS에 대한 자세한 내용은 고객 관리형 암호화 키(링크가 새 창에서 열림)를 참조하십시오.
고객 관리형 암호화 키에서 외부 KMS로 마이그레이션하려면:
- Tableau Cloud 사이트에 로그인합니다.
- 왼쪽 탐색 패널에서 설정을 선택합니다.
- 보안 탭을 선택합니다.
- 추출 암호화 섹션에서 선택을 Salesforce KMS 사용에서 외부 KMS 사용으로 변경합니다.
- 경고를 읽은 다음 외부 KMS로 전환을 선택합니다.