Activiteitenlogboek instellen
Het Activiteitenlogboek bevat gedetailleerde gebeurtenissen voor uw Tableau-implementatie die u kunt gebruiken voor compliance, monitoring en auditing. U moet de volgende stappen voltooien om het Activiteitenlogboek te kunnen gebruiken.
Vereisten
Om het Activiteitenlogboek te gebruiken hebt u het volgende nodig:
Tableau Cloud met Advanced Management
AWS-account (Amazon Web Services)-account
- U hebt zelf een AWS-account nodig om deze stappen te voltooien.
- U hebt in stap 3 hieronder ook het Tableau AWS-accountnummer nodig (
061095916136
) om het Activiteitenlogboek in uw S3-bucket (Amazon Simple Storage Service) te ontvangen.
S3-bucket (Amazon Simple Storage Service) om data te ontvangen
U maakt een Amazon S3-bucket als onderdeel van het installatieproces. Amazon S3 is momenteel de enige ondersteunde optie voor datalevering.
U moet de Amazon S3-bucket maken in dezelfde AWS-regio waar uw Tableau Cloud-site wordt gehost. Zie Beveiliging in de cloud(Link wordt in een nieuw venster geopend) en Tableau Cloud IP-adressen voor autorisatie van dataproviders(Link wordt in een nieuw venster geopend) voor meer informatie over datalocaties.
Belangrijk: pods in de regio Europa - Ierland worden verplaatst naar de regio Europa - Duitsland als onderdeel van de migratie van Tableau Cloud naar Hyperforce. Als uw site zich in een pod in de regio Europa - Ierland bevindt, moet u het activiteitenlogboek opnieuw configureren voor gebruik van een AWS S3-bucket in de nieuwe regio Europa - Duitsland. Zie AWS-regiowijziging voor sites in pods in de regio Europa - Ierland hieronder voor meer informatie.
AWS Key Management Service (KMS)-sleutel voor één regio voor de Amazon S3-bucket die u tijdens de installatie maakt.
Stap 1. Maak een AWS-account
Als u nog geen AWS-account (Amazon Web Services) hebt, kunt u zich Aanmelden voor een AWS-account(Link wordt in een nieuw venster geopend) op de AWS-website.
Maak een Amazon S3-bucket om uw aanmeldingsdata te ontvangen. Zie Een bucket maken(Link wordt in een nieuw venster geopend) op de AWS-website voor meer informatie.
Configureer de Amazon S3-bucket met de volgende instellingen:
Selecteer onder Objecteigendom de optie ACL's uitgeschakeld (aanbevolen). Hierdoor is de eigenaar van de bucket ook de eigenaar van alle objecten die ernaar worden geschreven.
Selecteer onder Bucket-revisiegeschiedenis de optie Inschakelen. De bucketrevisiegeschiedenis moet zijn ingeschakeld om objecten te kunnen repliceren.
Selecteer onder Standaardversleuteling de optie Inschakelen.
Kies AWS Key Management Service (SSE-KMS).
Kies AWS KMS Key ARN opgeven.
Klik op de knop Sleutel maken die verschijnt, om een nieuwe AWS Key Management Service (KMS)-sleutel te maken.
Opmerking: KMS-sleutels voor meerdere regio's worden niet ondersteund.
Selecteer het type Symmetrische sleutel en Sleutelgebruik versleutelen en ontsleutelen.
Geef de sleutel een alias en klik vervolgens door tot de pagina Controleren.
Voeg aan de Lijst met instructies de volgende instructie toe binnen het sleutelbeleid om Tableau toegang te geven om objecten in de S3-bucket te versleutelen.
Opmerking: met deze instructie kan de Tableau IAM-rol de objecten versleutelen die in de Amazon S3-bucket zijn geplaatst. kms:GenerateDataKey wordt gebruikt om een datasleutel te genereren voor versleuteling van objectreplica’s. kms:Encrypt wordt gebruikt om objectreplica's te versleutelen die in de doel-S3-bucket zijn gemaakt. Resource: * verleent toestemming voor de KMS-sleutel alleen aan de replicatierol en staat niet toe dat de rol zijn rechten verhoogt. Zie Data beveiligen met versleuteling aan de serverzijde met AWS Key Management Service (SSE-KMS)(Link wordt in een nieuw venster geopend) op de AWS-website Voor meer informatie.
:{
:"Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",
:"Effect": "Allow",
:"Principal": {
:"AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"
:},
:"Action": [
:"kms:GenerateDataKey",
:"kms:Encrypt"
:],
:"Resource": "*"
:}
::Klik op Afronden om de KMS-sleutel te maken.
Klik op Bucket maken om de Amazon S3-bucket te maken.
Werk de machtigingen voor het Amazon S3-bucketbeleid bij.
Open de Amazon S3-bucket en klik op het tabblad Machtigingen.
Zoek de sectie Bucket-beleid en klik op Bewerken.
Voeg het volgende toe aan de Lijst met instructies in het bucketbeleid. Vervang S3-BUCKET-NAME door de naam van de bucket.
Opmerking: met deze instructie kan de Tableau IAM-rol objecten naar de bucket repliceren. Met behulp van * en <pad>/* wordt toegang verleend tot alle voorvoegsels in de opgegeven bucket en het pad in de bucket. De machtigingen s3:ReplicateObject en s3:ReplicateDelete zijn minimaal vereist om objecten succesvol te repliceren en markeringen te verwijderen. Zie Machtigingen verlenen als de bron- en doelbuckets eigendom zijn van verschillende AWS-accounts(Link wordt in een nieuw venster geopend) op de AWS-website.
:Optioneel. Als uw doelbucket een beleid heeft dat de toegang via een Amazon Virtual Private Cloud (VPC)-eindpunt beperkt, moet u het bucketbeleid wijzigen naast de TableauS3ReplicationRoleAccess die u zojuist hebt toegevoegd. Zie Hoe kan ik de toegang tot mijn Amazon S3-bucket beperken met specifieke VPC-eindpunten of IP-adressen?(Link wordt in een nieuw venster geopend) op de AWS-website voor meer informatie.
Als het huidige bucketbeleid een VPC-beperking bevat zoals deze:
:{
:"Sid": "Restricted VPC Access",
:"Effect": "Deny",
:"Principal": "*",
:"Action": "s3:",
:"Resource": [
:"arn:aws:s3:::<S3-BUCKET-NAME>",
:"arn:aws:s3:::<S3-BUCKET-NAME>/*"
:],
:"Condition": {
:"StringNotEquals": {
:"aws:SourceVpc": "vpc-<ID>"
:}
:}
:}
::Bewerk de lijst Voorwaarde en neem het volgende erin op:
:"StringNotLike": {
:"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
:}
::Opmerking: u moet de RoleId AROAQ4OMZWJUBZG3DRFW5 gebruiken voor de Tableau IAM-rol.
Het bewerkte beleid moet er ongeveer als volgt uitzien:
:{
:"Sid": "Restricted VPC Access",
:"Effect": "Deny",
:"Principal": "*",
:"Action": "s3:",
:"Resource": [
:"arn:aws:s3:::<S3-BUCKET-NAME>",
:"arn:aws:s3:::<S3-BUCKET-NAME>/*"
:],
:"Condition": {
:"StringNotLike": {
:"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
:},
:"StringNotEquals": {
:"aws:SourceVpc": "vpc-<ID>"
:}
:}
:}
::Dit beleid staat expliciet de Tableau IAM-rol toe voor ReplicateObject en ReplicateDelete, en sluit bovendien de rol van de bestaande expliciete VPC deny-instructie uit.
Klik op Wijzigingen opslaan.
{:
"Sid": "TableauS3ReplicationRoleAccess",:
"Effect": "Allow",:
"Principal": {:
"AWS"::
"arn:aws:iam::061095916136:role/prod-replication-rule-role":
},:
"Action": [:
"s3:ReplicateObject",:
"s3:ReplicateDelete":
],:
"Resource": [:
"arn:aws:s3:::S3-BUCKET-NAME",:
"arn:aws:s3:::S3-BUCKET-NAME/*":
]:
}: :
Tableau Cloud configureren
Stap 3.Navigeer naar uw Tableau-site.
Selecteer op de pagina Instellingen het tabblad Integraties.
Selecteer in de sectie Activiteitenlogboek de knop Inschakelen.
Voer in het dialoogvenster Verbinding instellen de volgende informatie in:
Voer het vak AWS-accountnummer uw 12-cijferige AWS-accountnummer in. Dit is het AWS-accountnummer dat is gekoppeld aan uw Amazon S3-bucketlocatie.
Voer in het vak S3-bucketnaam de naam in van de Amazon S3-bucket waar activiteitenlogboekbestanden worden afgeleverd. Dit is de Amazon S3-bucket die u in Stap 2. Maak een Amazon S3-bucket en stel machtigingen in hebt gemaakt.Stap 2. Maak een Amazon S3-bucket en stel machtigingen in. Dit moet een geldige naam zijn volgens de AWS-bucketnaamvereisten.
Voer in het vak KMS-sleutel ARN de KMS-sleutel Amazon Resource Name (ARN) in die u in Stap 2. Maak een Amazon S3-bucket en stel machtigingen in hebt gemaakt.Stap 2. Maak een Amazon S3-bucket en stel machtigingen in. Het accountnummer in de ARN moet overeenkomen met het opgegeven AWS-accountnummer en een geldige opmaak hebben (namelijk arn:aws:kms:<region>:<account-id>:key/<key-id>).
Klik op Verzenden.
In de kolom Verbindingsstatus wordt In uitvoering weergegeven terwijl het systeem probeert een tekstbestand naar de Amazon S3-doelbucket te repliceren om de verbinding te testen.
Nadat het bestand correct is gerepliceerd naar de Amazon S3-doelbucket, wordt in de kolom voor verbindingsstatus de melding In afwachting van verificatie weergegeven en wordt een widget weergegeven om Testbestandsinhoud in te voeren. Mogelijk moet u de pagina vernieuwen om updates te zien.
Replicatie van beveiligingsbestanden verifiëren
Ga naar de Amazon S3-doelbucket en zoek de map die begint met siteLuid (de rest van de naam is de unieke identificatie van de site).
Zoek het tekstbestand met de naam
SECURITY_VERIFICATION_FILE.txt
.Download en open het tekstbestand.
Kopieer de tekstinhoud in het bestand.
Ga terug naar de pagina Instellingen pagina en plak de tekstinhoud in het invoerveld Inhoud van tekstbestand, en klik vervolgens op Verzenden.
Als de verzonden inhoud correct is, verandert de verbindingsstatus in Actief. Het Activiteitenlogboek is nu ingeschakeld en de data beginnen te repliceren naar de Amazon S3-doelbucket.
Als de verzonden inhoud onjuist is, wordt een foutmelding weergegeven. Controleer of de inhoud correct is gekopieerd zonder extra tekens of spaties.
Problemen oplossen
Verschijnt het beveiligingsverificatiebestand niet?
Het kan vanwege Amazon S3-beperkingen tot 15 minuten duren voordat het bestand in de Amazon S3-doelbucket verschijnt.
Als de verbindingsstatus In uitvoering is, probeert het bestand nog steeds te repliceren. Zie Problemen met replicatie oplossen(Link wordt in een nieuw venster geopend) op de AWS-website voor meer informatie.
De verbindingsstatus Mislukt betekent dat het bestand niet succesvol is gerepliceerd.
Controleer of de machtigingen voor het Amazon S3-bucketbeleid en het AWS Key Management Service (KMS)-sleutelbeleid de juiste instructies bevatten. Zie voor meer informatie de volgende onderwerpen op de AWS-website:
- Problemen met replicatie oplossen(Link wordt in een nieuw venster geopend)
- Replicatie configureren wanneer bron- en doelbuckets eigendom zijn van verschillende accounts(Link wordt in een nieuw venster geopend)
- Ik heb replicatie tussen mijn buckets ingesteld, maar nieuwe objecten repliceren niet. Hoe kan ik dit oplossen?(Link wordt in een nieuw venster geopend)
Andere vereiste instellingen om logboekbestanden de Amazon S3-bucket te laten bereiken
Voor de Amazon S3-bucket is Bucketrevisiegeschiedenis ingeschakeld (onder Eigenschappen > Bucketrevisiegeschiedenis).
Voor de Amazon S3-bucket is Alle openbare toegang blokkeren ingeschakeld (onder Machtigingen > Openbare toegang blokkeren (bucketinstellingen)).
De Amazon S3-bucket heeft de volgende ACL-machtigingen voor alleen Bucketeigenaar (onder Rechten > Toegangscontrolelijst (ACL)):
Objecten: List, Write
Bucket-ACL: Read, Write
Het KMS-sleutelmachtigingenbeleid bevat de instructie in Stap 2. Maak een Amazon S3-bucket en stel machtigingen in, stap 2. i. (onder Eigenschappen > Standaardcodering klik op de ARN onder AWS KMS-sleutel ARN om naar het KMS-sleutelbeleid te gaan).
Voor de Amazon S3-bucket is de standaardcodering ingeschakeld en de bucketsleutel ingeschakeld (onder Eigenschappen > Standaardcodering).
Het Amazon S3-bucketmachtigingenbeleid (onder Machtigingen > Bucketbeleid) komt exact overeen met dat in de instructies. Zorg ervoor dat u de voorbeeldwaarde S3-BUCKET-NAME hebt vervangen door de Amazon S3-bucket die u zojuist hebt gemaakt.
AWS-regiowijziging voor sites in pods in de regio Europa - Ierland
Van augustus tot en met december 2024 wordt Tableau Cloud per pod gemigreerd naar Hyperforce(Link wordt in een nieuw venster geopend) van Salesforce. Als onderdeel van de migratie worden pods in de regio Europa - Ierland verplaatst naar de regio Europa - Duitsland. Als uw site zich in een pod in de regio Europa - Ierland bevindt, moet u het activiteitenlogboek opnieuw configureren voor gebruik van een AWS S3-bucket in de nieuwe regio Europa - Duitsland.
Zie het knowledgebase-artikel Tableau Cloud-migratie naar Hyperforce(Link wordt in een nieuw venster geopend) (in het Engels) voor meer informatie over de migratie en wanneer de pods in de regio Europa - Ierland-pods worden verplaatst.