Configurar registro de atividades

O registro de atividades contém eventos detalhados para sua implantação do Tableau que você pode usar para conformidade, monitoramento e auditoria. Você deve concluir as etapas a seguir para usar o registro de atividades.

Pré-requisitos

Para usar o Registro de atividade, você deve ter o seguinte:

  • Tableau Cloud com Advanced Management

  • Conta da Amazon Web Services (AWS)

    • Você precisará de sua própria conta da AWS para concluir essas etapas.
    • Você também precisará do número da conta do Tableau AWS (061095916136 ) na Etapa 3 abaixo, para receber o log de atividades em seu bucket do Amazon Simple Storage Service (S3).
  • Bucket do Amazon Simple Storage Service (S3) para receber dados

  • Chave do AWS Key Management Service (KMS) de única região para o bucket do Amazon S3 que você cria durante a configuração.

Etapa 1. Criar uma conta da AWS

Se você ainda não tiver uma conta da Amazon Web Services (AWS), poderá se inscrever para uma conta(O link abre em nova janela) da AWS no site da AWS.

Etapa 2. Criar um bucket do Amazon S3 e configurar permissões

  1. Crie um bucket do Amazon S3 para receber seus dados de registro. Para obter mais informações, consulte Criação de um bucket(O link abre em nova janela) no site da AWS.

  2. Configure o bucket do Amazon S3 com as seguintes definições:

    1. Em Propriedade do objeto, selecione ACLs desabilitadas (recomendado). Isso garante que o proprietário do bucket seja o proprietário de todos os objetos gravados nele.

    2. Em Histórico de revisões do bucket, selecione Ativar . O histórico de revisões do bucket deve ser habilitado para replicar objetos.

    3. Em Criptografia padrão, selecione Ativar.

    4. Escolha AWS Key Management Service (SSE-KMS).

    5. Escolha Inserir ARN de chave do KMS da AWS.

    6. Clique no botão Criar chave que aparece para criar uma nova chave do Key Management Service (KMS) da AWS.

      Observação: as chaves multirregionais do KMS não são compatíveis.

    7. Selecione tipo de Chave simétrica e Uso de chave criptografada e descriptografada.

    8. Nomeie a chave com um alias e clique até a página Revisão.

    9. Adicione a instrução a seguir à Lista de instruções dentro da política de chaves para conceder ao Tableau acesso para criptografar objetos no bucket do S3.

      Observação: essa instrução permite que a função do Tableau IAM criptografe os objetos colocados no bucket do Amazon S3. “kms:GenerateDataKey” é usado para gerar uma chave de dados para criptografar réplicas de objetos. “kms:Encrypt” é usado para criptografar réplicas de objetos criadas no bucket do S3 de destino. “Recurso”: “*” concede permissão para a chave KMS somente para a função de replicação e não permite que a função eleve suas permissões. Para obter mais informações, consulte Proteção de dados usando criptografia do lado do servidor com AWS Key Management Service (SSE-KMS)(O link abre em nova janela) no site da AWS.

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. Clique em Concluir para criar a chave KMS.

    11. Clique em Criar bucket para criar o bucket do Amazon S3.

  3. Atualize as permissões na política de bucket do Amazon S3.

    1. Abra o bucket do Amazon S3 e clique na guia permissões.

    2. Localize a seção Política de bucket e clique em Editar.

    3. Adicione o seguinte à lista Instruções na política de bucket. Substitua S3-BUCKET-NAME pelo nome do bucket.

      Observação: essa instrução permite que a função do Tableau IAM replique objetos no bucket. Usar "*" e "<path>/*" concede acesso a todos os prefixos no bucket e caminho especificados no bucket, respectivamente. As permissões "s3:ReplicateObject" e "s3:ReplicateDelete" são as permissões mínimas necessárias para replicar objetos e excluir marcadores com êxito. Consulte Conceder permissões quando os buckets de origem e destino pertencem a diferentes contas da AWS(O link abre em nova janela) no site da AWS.

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. Opcional. Se o seu bucket de destino tiver uma política que restrinja o acesso por meio de um endpoint Amazon Virtual Private Cloud (VPC), você deverá alterar a política do bucket além do TableauS3ReplicationRoleAccess que acabou de adicionar. Para obter mais informações, consulte Como posso restringir o acesso ao meu bucket do Amazon S3 usando endpoints VPC ou endereços IP específicos?(O link abre em nova janela) no site da AWS.

      Se a política de bucket atual contiver uma restrição de VPC como esta:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Em seguida, edite a lista “Condição” para incluir o seguinte:

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      Observação: você deve usar o RoleId "AROAQ4OMZWJUBZG3DRFW5" para a função Tableau IAM.

      A política editada deve ter a seguinte aparência:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Esta política permite explicitamente que a função do Tableau IAM seja ReplicateObject e ReplicateDelete, além de excluir a função da instrução de negação de VPC explícita existente.

    6. Clique em Salvar alterações.

Etapa 3. Configurar Tableau Cloud

  1. Navegue até o site do Tableau.

  2. Na página Configurações do seu site, selecione a guia Integrações.

  3. Na seção Registro de atividades , selecione o botão Ativar.

  4. Na caixa de diálogo Configurar conexão, insira estas informações:

    1. Na caixa Número da conta da AWS, insira o número da conta da AWS de 12 dígitos. Este é o número da conta da AWS associado ao seu local de bucket do Amazon S3.

    2. Na caixa Nome do bucket do S3, insira o nome do bucket do Amazon S3 em que os arquivos de Registro de atividade serão entregues. Este é o bucket do Amazon S3 que você criou na Etapa 2. Criar um bucket do Amazon S3 e configurar permissões. Ele deve ser um nome válido de acordo com os requisitos de nome de bucket da AWS.

    3. Na caixa ARN da chave KMS, insira o nome de recurso da Amazon (ARN) da chave KMS que você criou na Etapa 2. Criar um bucket do Amazon S3 e configurar permissões.Etapa 2. Criar um bucket do Amazon S3 e configurar permissões. O número da conta no ARN deve corresponder ao número de conta da AWS fornecido e ter um formato válido (ou seja, arn:aws:kms:<region>:<account-id>:key/<key-id>).

  5. Clique em Enviar.

    A coluna de status da conexão mostrará Em andamento conforme o sistema tenta replicar um arquivo de texto para o bucket do Amazon S3 de destino para testar a conexão.

    Depois que o arquivo for replicado com sucesso para o bucket do Amazon S3 de destino, a coluna de status da conexão indicará Verificação pendente e exibirá um widget para inserir “Tentar conteúdo do arquivo”. Talvez seja necessário atualizar a página para ver as atualizações.

Verificar a replicação do arquivo de segurança

  1. Vá para o bucket do Amazon S3 de destino e localize a pasta que começa com siteLuid (o restante do nome é o identificador exclusivo do site).

  2. Encontre o arquivo de texto chamado SECURITY_VERIFICATION_FILE.txt.

  3. Baixe e abra o arquivo de texto.

  4. Copie o conteúdo dentro do arquivo.

  5. Retorne à página Configurações e cole o conteúdo do texto no campo de entrada Conteúdo do arquivo de texto e clique em Enviar.

  6. Se o conteúdo enviado estiver correto, o status da conexão muda para Ativo. O registro de atividades agora está habilitado e os dados começarão a ser replicados para o bucket do Amazon S3 de destino.

  7. Se o conteúdo enviado estiver incorreto, uma mensagem de erro será exibida. Verifique se o conteúdo foi copiado corretamente sem caracteres ou espaços extras.

Solução de problemas

O arquivo de verificação de segurança não aparece?

Outras configurações necessárias para que os arquivos de registro alcancem o bucket do Amazon S3

  • O bucket do Amazon S3 tem o Controle de versão do bucket habilitado (em Propriedades > Controle de versão do bucket).

  • O bucket do Amazon S3 tem Bloquear todo o acesso público habilitado (em Permissões > Bloquear acesso público [configurações de bucket] ).

  • O bucket do Amazon S3 tem as seguintes permissões de ACL apenas para “Proprietário do bucket” (em Permissões > Lista de controle de acesso [ACL]):

    • Objetos: listar, escrever

    • ACL de bucket: ler, escrever

  • A política de permissões de chave KMS contém a instrução na Etapa 2. Criar um bucket do Amazon S3 e configurar permissões, etapa 2. i. (em Propriedades > Criptografia padrão, clique no ARN em ARN da chave AWS KMS para acessar a política de chaves KMS).

  • O bucket do Amazon S3 tem criptografia padrão habilitada e chave de bucket habilitada (em Propriedades > Criptografia padrão).

  • A política de permissões de bucket do Amazon S3 (em Permissões > Política do bucket) corresponde exatamente àquela nas instruções. Certifique-se de ter substituído o valor de exemplo “S3-BUCKET-NAME” pelo bucket do Amazon S3 que você acabou de criar.

Mudança de região da AWS para sites na Europa - Pods da Irlanda

De agosto a dezembro de 2024, o Tableau Cloud migrará para o Hyperforce(O link abre em nova janela) do Salesforce por pod. Como parte da migração, os grupos na região Europa - Irlanda estão se mudando para a região Europa - Alemanha. Se o seu site estiver em um pod Europa - Irlanda, você precisará reconfigurar o Activity Log para usar um bucket AWS S3 na nova região, Europa - Alemanha.

Para obter mais informações sobre a migração e quando os grupos Europa-Irlanda estão se mudando, consulte o artigo da base de conhecimento Migração do Tableau Cloud para Hyperforce(O link abre em nova janela).