Een externe KMS gebruiken voor extractversleutelingssleutels

Is van toepassing op: Tableau Cloud

Veel organisaties hebben rechtstreekse nodig over de versleutelingssleutels waarmee hun bedrijfskritieke data worden beschermd. Met een externe sleutelbeheerservice (Key Management Service, KMS) krijgen klanten rechtstreekse controle over hun versleutelingssleutels via een vertrouwde externe leverancier van sleutelbeheer. Door rechtstreekse controle over de versleutelingssleutels te bieden, verbetert het gebruik van een externe KMS de kracht en effectiviteit van de beveiliging voor organisaties aanzienlijk. Dit geldt met name voor organisaties die zich zorgen maken over ongeautoriseerde toegang tot deze kritieke sleutels.

Daarnaast is extern beheer van hun versleutelingssleutels van essentieel belang om aan de verschillende wettelijke en nalevingsvereisten te kunnen voldoen. Rechtstreekse controle over versleutelingssleutels helpt organisaties ook bij het behoud van datasoevereiniteit, wat belangrijk is voor juridische en geografische overwegingen met betrekking tot dataopslag en -toegang.

Sinds oktober 2025 biedt Tableau Cloud extern sleutelbeheer uitsluitend via de Amazon Web Services (AWS) KMS.

Opmerking: de functie voor een extern sleutelbeheersysteem is alleen beschikbaar in Tableau Cloud met Tableau+, Tableau Enterprise of Advanced Management.

De sleutelhiërarchie

Het versleutelingsproces bij gebruik van een externe KMS volgt een specifieke sleutelhiërarchie om de databeveiliging te garanderen en klanten rechtstreekse controle te geven over hun versleutelingssleutels.

De sleutelhiërarchie bij gebruik van een externe KMS is:

  • Klantmastersleutel (Customer Master Key, CMK): de CMK is de hoofdsleutel in de hiërarchie, en wordt door de klant binnen de AWS KMS gemaakt en beheerd. De lijst met sleutels in Tableau is een lijst met de CMK's in de AWS KMS.
  • Sleutel-versleutelingssleutel (Key-Encrypting Key, KEK): KEK's zijn afgeleid van de CMK en worden gebruikt om de data-versleutelingssleutels (DEK's) te versleutelen.
  • Data-versleutelingssleutels (Data-Encrypting Key, DEK): DEK's zijn afgeleid van de KEK's en vormen het basissleutelniveau in de hiërarchie. De DEK's zijn de sleutels die rechtstreeks worden gebruikt om extracten te versleutelen en ontsleutelen.

De status van sleutels in Tableau Cloud

Bij gebruik van een externe KMS hebben de sleutels in Tableau de volgende statussen en mogelijkheden:

  • In behandeling - U hebt de sleutel gegenereerd, maar u gebruikt deze nog niet. U kunt er pas extracten mee schrijven of lezen nadat u de sleutel hebt geactiveerd.
  • Actief - De sleutel wordt gebruikt om extracten te schrijven en om de extracten die met de sleutel zijn geschreven, te lezen.
  • Gearchiveerd - De sleutel was in het verleden actief, maar is vervangen door een latere sleutel. De sleutel wordt niet gebruikt voor het schrijven van extracten, maar voor het lezen van extracten die ermee zijn geschreven.
  • Gedeactiveerd - De sleutel was actief en is vervolgens in het verleden gearchiveerd. De sleutel wordt niet gebruikt voor het lezen of schrijven van extracten.

Snelle referentie voor statussen en mogelijkheden

SleutelstatusKan extracten schrijven/versleutelenKan extracten lezen/ontsleutelen
In behandeling  
Actief
Gearchiveerd 
Gedeactiveerd  

Configuratieoverzicht

De stappen op samenvattingsniveau voor het gebruik van de AWS KMS met Tableau zijn:

  • AWS KMS: maak de klantmastersleutel (CMK).
  • Tableau Cloud: schakel extractversleuteling in (of migreer van door de klant beheerde versleutelingssleutels, waarbij gebruik wordt gemaakt van Salesforce KMS).
  • Tableau Cloud: genereer een sleutel in Tableau met behulp van de ARN van de klantmastersleutel uit de AWS KMS.
  • AWS KMS: voeg de JSON van het Tableau-sleutelbeleid toe aan het beleid van de AWS-klantmastersleutel.
  • Tableau Cloud: activeer de sleutel.

Instellingsdetails

Een mastersleutel maken in de AWS KMS

Sleutel-versleutelingssleutels (KEK's) en data-versleutelingssleutels (DEK's) die door Tableau worden gebruikt, zijn gebaseerd op klantmastersleutels (CMK's) die u maakt in de AWS KMS(Link wordt in een nieuw venster geopend). U moet daarom een CMK in de AWS KMS hebben voordat door Tableau KEK's en DEK's kunnen worden gegenereerd. Als u hulp nodig hebt bij het maken van een sleutel in de AWS KMS, neem dan contact op met uw lokale sleutelexpert.

Het Tableau-dialoogvenster voor het genereren van sleutels bevat een koppeling naar de AWS KMS(Link wordt in een nieuw venster geopend). U kunt de AWS-mastersleutel maken in die fase van het proces of voordat u begint met het proces voor het genereren van sleutels in Tableau.

AWS-sleutels worden geïdentificeerd met een unieke Amazon Resource Name (ARN). U wordt bij het genereren van de Tableau-sleutel gevraagd om de ARN van de CMK op te geven. ARN's voor sleutels hebben de volgende notatie:

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

Extractversleuteling inschakelen met een externe KMS

Opmerking: zodra u versleuteling hebt ingeschakeld, kunt u die niet gemakkelijk uitschakelen. Ook de overstap van door de klant beheerde versleutelingssleutels (met behulp van Salesforce KMS) naar een externe KMS is permanent en kan alleen ongedaan worden gemaakt met de hulp van uw accountmanager.

Een externe KMS inschakelen:

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer Extracten versleutelen onder de sectie Extractversleuteling.
  5. Selecteer Gebruik een externe KMS.
  6. Selecteer Sleutel genereren.
    • Als u migreert van de Salesforce KMS naar een externe KMS, lees dan de waarschuwing en selecteer Overschakelen op externe KMS.

Een sleutel genereren

U moet een sleutel genereren en deze vervolgens activeren om versleutelde extracten te kunnen schrijven. Als u al een actieve sleutel hebt, genereert u een nieuwe sleutel als eerste stap om de op dat moment actieve sleutel te vervangen.

Een sleutel genereren in Tableau:

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer Sleutel genereren onder de sectie Extractversleuteling.
  5. Als u de eerste sleutel voor een site genereert, wordt het dialoogvenster De AWS KMS configureren weergegeven. Als u al een actieve sleutel hebt, gaat u eerst verder met het bevestigingsdialoogvenster Sleutel genereren.
  6. Selecteer De AWS KMS starten. U wordt gevraagd om in te loggen bij AWS als u dat nog niet hebt gedaan.
  7. Maak een nieuwe sleutel in de AWS KMS of zoek een bestaande sleutel en kopieer vervolgens de ARN van de sleutel.
  8. Ga terug naar het dialoogvenster De AWS KMS configureren en plak de ARN van de sleutel in het veld Sleutel-ARN uit AWS.
  9. U kunt desgewenst een beschrijving invoeren.
  10. Selecteer Volgende (of Versleuteling inschakelen als dit de eerste sleutel voor de site is).
  11. Selecteer Gereed als u de JSON van het sleutelbeleid later aan de AWS KMS wilt toevoegen, of volg de instructies in Een externe KMS gebruiken voor extractversleutelingssleutels om dit nu te doen.

De sleutel kan pas worden gebruikt om extracten te lezen of te schrijven nadat u de JSON van het sleutelbeleid hebt toegevoegd aan het AWS KMS-beleid en dit vervolgens activeert.

JSON van sleutelbeleid toevoegen aan KMS-sleutelbeleid

Een nieuw gegenereerde sleutel heeft de status In behandeling en kan pas worden gebruikt om extracten te schrijven of te lezen nadat u de JSON van het sleutelbeleid hebt toegevoegd aan het AWS KMS-beleid en dit vervolgens activeert.

Als u de JSON van het sleutelbeleid wilt zien, gaat u verder vanaf het proces Een sleutel genereren.

Als u niet vanaf dat proces wilt doorgaan, doet u het volgende:

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer onder de sectie Extractversleuteling het actiemenu (...) naast de relevante sleutel met de status In behandeling.
  5. Selecteer Sleutelbeleid.

U kunt de JSON van het sleutelbeleid toevoegen aan het AWS KMS-beleid door het relevante Statement-object te kopiëren van Tableau naar de JSON van het beleid in de AWS KMS. U hebt maar een deel van de volledige JSON-tekst nodig. Het kan gemakkelijker zijn om Sleutelbeleid kopiëren te selecteren, het in een teksteditor te plakken en de JSON in die teksteditor te manipuleren dan dit te doen in het dialoogvenster.

Kopieer het object in de Statement-array in de JSON-tekst. Voeg daarna de gekopieerde tekst toe aan de instructie-array in het beleid van de AWS KMS-sleutel, en volg daarbij de standaard JSON-syntaxis. (U moet waarschijnlijk een komma toevoegen aan het einde van de bestaande AWS KMS-instructie voordat u de nieuwe JSON toevoegt.)

Voorbeeld:

Het gedeelte dat u aan het AWS KMS-beleid moet toevoegen, is hieronder gehighlight:

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [

        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }

    ]
}

Een sleutel activeren

Activeer een sleutel om deze te gebruiken voor het lezen en schrijven van nieuwe extracten. De actie Sleutel activeren is alleen beschikbaar voor een sleutel met de status In behandeling.

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer onder de sectie Extractversleuteling het actiemenu (...) naast de relevante sleutel met de status In behandeling.
  5. Selecteer Sleutel activeren....

Als u al een actieve sleutel hebt, leidt het activeren van een nieuwe sleutel ertoe dat de status van de bestaande sleutel verandert in Gearchiveerd. Een gearchiveerde sleutel wordt alleen gebruikt om extracten te lezen die met de sleutel zelf zijn geschreven. De nieuwe sleutel wordt Actief en wordt gebruikt om nieuwe extracten te schrijven en extracten te lezen die ermee zijn geschreven.

Opmerking: nadat u versleuteling hebt ingeschakeld en de eerste sleutel op een site hebt geactiveerd, maakt Tableau Cloud voor elk extract op uw site een achtergrondjob voor extractversleuteling. Deze jobs worden ingesteld op de laagste prioriteit. Dat wil zeggen dat ze alleen worden uitgevoerd als er extra bronnen beschikbaar zijn. Bestaande extractvernieuwingsjobs worden uitgevoerd voordat extracten worden versleuteld.

Andere acties

Een sleutel archiveren

Gearchiveerde sleutels kunnen extracten lezen die met de sleutel zijn geschreven, maar worden niet gebruikt om nieuwe extracten te schrijven. De enige manier om een sleutel te archiveren is om een nieuwe sleutel te activeren. Zie Een sleutel activeren.

Een sleutel deactiveren

Deactiveer een gearchiveerde sleutel zodat deze niet meer gebruikt kan worden voor het lezen of schrijven van extracten. Dit kan nodig zijn als de sleutel is gecompromitteerd. De actie Sleutel deactiveren is alleen beschikbaar voor een sleutel die is gearchiveerd.

Wanneer u een sleutel deactiveert, kunt u deze niet meer gebruiken om extracten te lezen die met deze sleutel zijn geschreven (in tegenstelling tot een gearchiveerde sleutel, die extracten die ermee zijn geschreven wel kan lezen). Dit betekent dat bepaalde op extracten gebaseerde inhoud mogelijk niet meer werkt als deze niet met een actieve sleutel is versleuteld. Als u toegang wilt behouden tot op extracten gebaseerde inhoud waarvoor de oude sleutel wordt gebruikt, zorg er dan voor dat de extracten worden vernieuwd met een actieve sleutel voordat u de oude sleutel deactiveert.

Opmerking: u kunt een gedeactiveerde sleutel zo nodig herstellen. Als u een sleutel herstelt, wordt de status van de sleutel gewijzigd van Gedeactiveerd in Gearchiveerd. Zie Een sleutel herstellen.

Een sleutel deactiveren:

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer onder de sectie Extractversleuteling het actiemenu (...) naast de relevante sleutel met de status Gearchiveerd.
  5. Selecteer Sleutel deactiveren....
  6. Typ 'Deze sleutel deactiveren' in het tekstveld om de actie te bevestigen.
  7. Selecteer Sleutel deactiveren.

Een sleutel herstellen

U kunt een gedeactiveerde sleutel herstellen zodat deze kan worden gebruikt voor het lezen van de extracten die met de sleutel zijn geschreven. De actie Sleutel herstellen is alleen beschikbaar voor een sleutel met de status Gedeactiveerd en verandert de status in Gearchiveerd.

Wanneer u een sleutel herstelt naar de gearchiveerde status, wordt deze niet meer gebruikt om extracten te schrijven. De sleutel wordt dan alleen gebruikt om fragmenten te lezen die met de sleutel zelf zijn geschreven.

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer onder de sectie Extractversleuteling het actiemenu (...) naast de relevante sleutel met de status Gedeactiveerd.
  5. Selecteer Sleutel herstellen....
  6. Selecteer Sleutel herstellen.

Een sleutel verwijderen

U kunt geen sleutels verwijderen in Tableau Cloud. Een sleutel kan alleen worden gearchiveerd (waarbij de inhoud die ermee is geschreven, nog steeds kan worden gelezen) of gedeactiveerd (waarbij de sleutel niet kan worden gelezen of geschreven). Zie De status van sleutels in Tableau Cloud.

Opmerking: als u de klantmastersleutel (Customer Master Key, CMK) in de AWS KMS uitschakelt, werken de Tableau-sleutels die hiervan zijn afgeleid niet meer voor versleuteling of ontsleuteling. Hetzelfde geldt als u de door Tableau gegenereerde clausule verwijdert uit het CMK-beleid in de AWS KMS: ook dan werken de Tableau-sleutels die hiervan zijn afgeleid niet meer.

Sleutelbeleid bekijken

In het dialoogvenster Sleutelbeleid wordt de JSON van het sleutelbeleid weergegeven die moet worden toegevoegd aan het beleid van de AWS KMS-sleutel. De JSON van het sleutelbeleid kan tijdens het proces Een sleutel genereren of later worden toegevoegd.

Zie Een externe KMS gebruiken voor extractversleutelingssleutels voor meer informatie.

U kunt als volgt zien welk beleid moet worden toegevoegd aan het AWS KMS-sleutelbeleid:

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer onder de sectie Extractversleuteling het actiemenu (...) naast de relevante sleutel.
  5. Selecteer Sleutelbeleid.

Sleutelgeschiedenis bekijken

Elke rij van de tabel met de sleutelgeschiedenis bevat een gebeurtenis, de sleutelstatus na de gebeurtenis en de datum en tijd van de gebeurtenis.

De geschiedenis van een sleutel weergeven:

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer onder de sectie Extractversleuteling het actiemenu (...) naast de relevante sleutel.
  5. Selecteer Sleutelgeschiedenis.

Configuratie testen

Gebruik de actie Configuratie testen voor een sleutel met de status In behandeling om te bepalen of deze geactiveerd kan worden. Gebruik de actie Configuratie testen voor sleutels met andere statussen om weer te geven of deze werken, zouden moeten werken of niet zullen werken.

De configuratie voor een sleutel testen:

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Selecteer onder de sectie Extractversleuteling het actiemenu (...) naast de relevante sleutel.
  5. Selecteer Configuratie testen....

Succes:

  • De sleutel kan worden gebruikt om extracten te versleutelen. Als de sleutel de status In behandeling heeft, kan deze veilig worden geactiveerd. Als de sleutel al actief is, betekent dit dat de sleutel werkt.

Fouten:

  • POLICY_DENIED - De externe KMS heeft geen beleid dat deze sleutel toestaat. Controleer of u het beleid van deze sleutel naar de externe KMS hebt gekopieerd.
  • KEY_NOT_FOUND - De sleutel is niet gevonden of de sleutel is gedeactiveerd in Tableau. Bevestig de ARN en het beleid van de AWS KMS-sleutel.
  • UNKNOWN - Er is een onbekende fout opgetreden. Verzeker u ervan dat de sleutel niet is uitgeschakeld in de AWS KMS en probeer het opnieuw.

Opmerking: als u de klantmastersleutel (Customer Master Key, CMK) in de AWS KMS uitschakelt, werken de Tableau-sleutels die hiervan zijn afgeleid niet meer voor versleuteling of ontsleuteling. Hetzelfde geldt als u de door Tableau gegenereerde clausule verwijdert uit het CMK-beleid in de AWS KMS: ook dan werken de Tableau-sleutels die hiervan zijn afgeleid niet meer.

Migreren van door de klant beheerde versleutelingssleutels naar een externe KMS

Let op: de overstap van door de klant beheerde versleutelingssleutels naar een externe KMS is permanent en kan alleen ongedaan worden gemaakt met de hulp van uw accountmanager.

De migratie van door de klant beheerde versleutelingssleutels (die gebruikmaken van de Salesforce KMS) naar een externe KMS is eenvoudig, maar wel permanent en kan niet ongedaan worden gemaakt zonder de hulp van uw accountmanager. Na de wijziging beheert u uw sleutels in de externe KMS in plaats van in de KMS van Salesforce. Zorg ervoor dat u begrijpt hoe u basissleutelfuncties in de externe KMS moet uitvoeren voordat u migreert van door de klant beheerde versleutelingssleutels naar een externe KMS.

Na de migratie schrijft de sleutel die is afgeleid van de externe KMS nieuwe extracten. De Salesforce KMS-sleutel blijft extracten lezen die met deze sleutel zijn geschreven, totdat de extracten worden vernieuwd met behulp van de sleutel in de externe KMS.

Zie Door de klant beheerde versleutelingssleutels(Link wordt in een nieuw venster geopend) voor meer informatie over door de klant beheerde versleutelingssleutels en de Salesforce KMS.

Migreren van door de klant beheerde versleutelingssleutels naar een externe KMS:

  1. Log in bij uw Tableau Cloud-site.
  2. Selecteer Instellingen in het navigatiedeelvenster links.
  3. Selecteer het tabblad Beveiliging.
  4. Wijzig onder de sectie Extractversleuteling de selectie van Gebruik de KMS van Salesforce in Gebruik een externe KMS.
  5. Lees de waarschuwing en selecteer vervolgens Overstappen op externe KMS.
Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.