Usar um KMS externo para chaves de criptografia de extração

Aplica-se a: Tableau Cloud

Muitas organizações exigem controle direto sobre as chaves de criptografia que protegem seus dados críticos para os negócios. O uso de um serviço de gerenciamento de chaves externo (KMS) resolve isso permitindo que os clientes mantenham o controle de suas chaves de criptografia com um fornecedor confiável do gerenciamento de chaves externo. Ao fornecer controle direto sobre chaves de criptografia, o uso de um KMS externo melhora significativamente a postura de segurança para as organizações, particularmente aquelas preocupadas com o acesso não autorizado a essas chaves críticas.

Além disso, para muitas organizações, a capacidade de controlar suas chaves de criptografia externamente é crucial para atender a vários mandatos normativos e de conformidade. E o controle direto sobre as chaves de criptografia auxilia as organizações a manter a soberania dos dados, o que é importante para considerações legais e geográficas de armazenamento e acesso aos dados.

A partir de outubro de 2025, o Tableau Cloud oferece gerenciamento de chaves externo exclusivamente por meio do KMS do Amazon Web Services (AWS).

Observação: o recurso KMS externo só está disponível no Tableau Cloud com o Tableau+, no Tableau Enterprise ou no Advanced Management.

A hierarquia de chaves

O processo de criptografia ao usar um KMS externo segue uma hierarquia de chaves distinta para garantir a segurança dos dados e permitir que os clientes mantenham o controle direto sobre suas chaves de criptografia.

A hierarquia de chaves ao usar um KMS externo é:

  • Chave principal do cliente (CMK): a CMK é a chave raiz na hierarquia, criada e controlada pelo cliente dentro do KMS do AWS. A lista de chaves no Tableau é uma lista de CMKs no KMS do AWS.
  • Chave de criptografia de chaves (KEK): KEKs são descendentes da CMK e são usadas para criptografar as chaves de criptografia de dados (DEKs).
  • Chave de criptografia de dados (DEK): DEKs são descendentes das KEKs e são chaves de nível mais baixo na hierarquia. As DEKs são as chaves usadas diretamente para criptografar e descriptografar extrações.

Estados de chave no Tableau Cloud

Ao usar um KMS externo, as chaves no Tableau têm os seguintes estados e recursos:

  • Pendente - Você gerou a chave, mas ainda não a está usando. Ela não pode ser usada para gravar ou ler nenhuma extração até que você a ative.
  • Ativa - A chave está sendo usada para gravar extrações e ler extrações que ela gravou.
  • Arquivada - A chave estava ativa no passado, mas foi substituída por uma chave posterior. Ela não está sendo usada para gravar extrações, mas está sendo usada para ler extrações que gravou.
  • Desativada - A chave estava ativa e arquivada no passado. Ela não está sendo usada para ler ou gravar nenhuma extração.

Referência rápida de estado e capacidade

Status da chavePode gravar/criptografar extraçõesPode ler/descriptografar extrações
Pendente  
Active
Arquivada 
Desativada  

Visão geral da configuração

As etapas de nível de resumo para usar o KMS do AWS com o Tableau são:

  • KMS do AWS: crie a chave principal do cliente (CMK).
  • Tableau Cloud: habilite a criptografia de extração (ou migre de chaves de criptografia gerenciadas pelo cliente, que usam o KMS do Salesforce).
  • Tableau Cloud: gere uma chave no Tableau, usando o ARN da chave principal do cliente do KMS do AWS.
  • KMS do AWS: adicione o JSON da política de chave do Tableau à política da chave principal do cliente do AWS.
  • Tableau Cloud: ative a chave.

Detalhes da instalação

Criar uma chave principal no AWS do KMS

As chaves de criptografia de chaves (KEKs) e as chaves de criptografia de dados (DEKs) que o Tableau usa são baseadas nas chaves principais do cliente (CMKs) criadas no KMS do AWS(O link abre em nova janela). Portanto, você deve ter uma CMK no KMS do AWS para que o Tableau possa gerar KEKs e DEKs. Se precisar de ajuda para criar uma chave no KMS do AWS, consulte seu especialista local.

A caixa de diálogo de geração de chaves do Tableau contém um link para o KMS do AWS(O link abre em nova janela). É possível criar a chave principal do AWS nesse ponto do processo ou criá-la antes de iniciar o processo de geração de chaves no Tableau.

As chaves do AWS são identificadas exclusivamente por um nome de recurso da Amazon (ARN). Você será solicitado a fornecer o ARN da CMK durante o processo de geração de chave do Tableau. Os ARNs principais são formatados como:

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

Habilitar a criptografia de extração com um KMS externo

Observação: depois de habilitar a criptografia, não será possível desabilitá-la facilmente. Da mesma forma, a mudança de chaves de criptografia gerenciadas pelo cliente (usando o KMS do Salesforce) para um KMS externo é permanente e não pode ser desfeita sem a ajuda do gerente de conta.

Para habilitar um KMS externo:

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Criptografia de extração, selecione Criptografar extrações.
  5. Selecione Usar um KMS externo.
  6. Selecione Gerar chave.
    • Se você estiver migrando do KMS do Salesforce para um KMS externo, leia o aviso e selecione Alternar para o KMS externo.

Gerar uma chave

Você deve gerar uma chave e ativá-la para gravar extrações criptografadas. Se você já tiver uma chave ativa, gere outra chave como um primeiro passo para substituir a chave ativa no momento.

Para gerar uma chave no Tableau:

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Criptografia de extração, selecione Gerar chave.
  5. Se você estiver gerando a primeira chave para um site, verá a caixa de diálogo Configurar o KMS do AWS. Se você já tiver uma chave ativa, passe primeiro pela caixa de diálogo de confirmação Gerar chave.
  6. Selecione Iniciar o KMS do AWS. Você será solicitado a fazer logon do AWS se ainda não tiver feito.
  7. No KMS do AWS, crie uma nova chave ou encontre uma existente, em seguida, copie o ARN da chave.
  8. Retorne à caixa de diálogo Configurar o KMS do AWS do Tableau e cole o ARN da chave no campo ARN da chave no AWS.
  9. Como opção, insira uma Descrição.
  10. Selecione Avançar (ou Habilitar criptografia, se esta for a primeira chave para o site).
  11. Selecione Concluído para adicionar o JSON de política de chave ao KMS do AWS posteriormente ou siga Usar um KMS externo para chaves de criptografia de extração para fazer isso agora.

A chave não pode ser usada para ler ou gravar extrações até que você adicione o JSON de política de chave à política de KMS do AWS e depois a ative.

Adicionar JSON de política de chave à política de chave do KMS

Uma chave recém-gerada tem o status Pendente e não pode ser usada para gravar ou ler extrações até que você adicione JSON de política de chave à política do KMS do AWS e a ative.

Para ver o JSON de política de chave, continue no processo Gerar uma chave.

Ou, se você não estiver continuando a partir desse processo:

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Criptografia de extração, selecione o menu de ações (...) ao lado da chave Pendente apropriada.
  5. Selecione Política de chave.

Para adicionar o JSON de política de chave à política de KMS do AWS, você precisa copiar o objeto relevante Statement do Tableau para o JSON de política no KMS do AWS. Você só precisa de parte do texto JSON completo. Selecionar Copiar política de chave, colar em um editor de texto e manipular o JSON pode ser mais fácil do que trabalhar na caixa de diálogo.

No texto do JSON, copie o objeto na matriz Statement. Em seguida, na política de chave do KMS do AWS, adicione o texto copiado à matriz Instrução, seguindo a sintaxe JSON padrão. (Provavelmente, será necessário adicionar uma vírgula ao final da Instrução do KMS do AWS existente antes de adicionar o novo JSON.)

Exemplo:

A parte destacada é a seção a ser adicionada à política do KMS do AWS:

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [

        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }

    ]
}

Ativar uma chave

Ative uma chave para ler e gravar novas extrações. A ação Ativar chave só está disponível em uma chave Pendente.

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Criptografia de extração, selecione o menu de ações (...) ao lado da chave Pendente apropriada.
  5. Selecione Ativar chave....

Se você já tiver uma chave ativa, a ativação de uma nova chave vai alterar a chave existente para o status Arquivada. Uma chave arquivada é usada apenas para ler extrações que ela gravou. A nova chave se tornará Ativa e será usada para gravar novas extrações e ler extrações que ela escreveu.

Observação: depois de você habilitar a criptografia e ativar a primeira chave em um site, o Tableau Cloud cria um trabalho em segundo plano de criptografia de extração para cada extração em seu site. Esses trabalhos são definidos como a prioridade mais baixa, o que significa que são executados somente quando há recursos adicionais. Os trabalhos de atualização de extração existentes são executados antes que as extrações sejam criptografadas.

Outras ações

Arquivar uma chave

As chaves arquivadas podem ler extrações que gravaram, mas não são usadas para gravar novas extrações. A única maneira de arquivar uma chave é ativando uma nova chave. Consulte Ativar uma chave.

Desativar uma chave

Desative uma chave arquivada para torná-la inutilizável para leitura ou gravação de extrações. Talvez seja conveniente fazer isso se a chave tiver sido comprometida. A ação Desativar chave só está disponível em uma chave Arquivada.

Quando você desativa uma chave, ela não pode ser usada para ler extrações que ela gravou (em contraste com uma chave arquivada, que pode ler extrações que ela gravou). Isso significa que parte do conteúdo baseado em extração pode parar de funcionar caso não tenha sido criptografado com uma chave ativa. Se você precisar manter o acesso ao conteúdo baseado em extrações que usa a chave antiga, certifique-se de que as extrações sejam atualizadas com uma chave ativa antes de desativar a antiga.

Observação: é possível Restaurar uma chave desativada, se necessário. A restauração de uma chave a mudará de Desativada para Arquivada. Consulte Restaurar uma chave.

Para desativar uma chave:

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Extrair criptografia, selecione o menu de ações (...) ao lado da chave Arquivada apropriada.
  5. Selecione Desativar chave....
  6. Digite “Desativar esta chave” no campo de texto para confirmar sua ação.
  7. Selecione Desativar chave.

Restaurar uma chave

Restaure uma chave desativada para torná-la utilizável para a leitura de extrações que ela gravou. A ação Restaurar chave só está disponível em uma chave Desativada e a altera para Arquivada.

Quando você restaura uma chave para o estado arquivado, ela não é usada para gravar nenhuma extração. Ela é usada apenas para ler extrações que gravou.

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Extrair criptografia, selecione o menu de ações (...) ao lado da chave Desativada apropriada.
  5. Selecione Restaurar chave....
  6. Selecione Restaurar chave.

Excluir uma chave

Não é possível excluir chaves no Tableau Cloud. Uma chave só pode ser arquivada (que mantém a capacidade de ler o conteúdo que gravou) ou desativada (que não pode ler nem gravar). Consulte Estados de chave no Tableau Cloud.

Observação: se você desabilitar a chave principal do cliente (CMK) no KMS do AWS, as chaves do Tableau derivadas dela deixarão de funcionar para criptografia ou descriptografia. Da mesma forma, se você remover a cláusula gerada pelo Tableau da política da CMK no KMS do AWS, as chaves do Tableau derivadas dela vão param de funcionar.

Consultar a política de chaves

A caixa de diálogo Política de chave mostra o JSON de política de chave a ser adicionado à política de chave do KMS do AWS. O JSON de política de chave pode ser adicionado durante o processo Gerar uma chave ou posteriormente.

Para obter mais informações, consulte Usar um KMS externo para chaves de criptografia de extração.

Para ver a política que deve ser adicionada à política da chave do KMS do AWS:

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Criptografia de extração, selecione o menu de ações (...) ao lado da chave apropriada.
  5. Selecione Política de chave.

Consultar o histórico de chaves

Cada linha da tabela do histórico de chaves mostra um evento, o status da chave após o evento e a data e hora do evento.

Para ver o histórico de uma chave:

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Criptografia de extração, selecione o menu de ações (...) ao lado da chave apropriada.
  5. Selecione Histórico de chaves.

Testar a configuração

Use a ação Testar configuração em uma chave pendente para determinar se ela pode ser ativada. Use a ação Testar configuração nas chaves com outros status para mostrar se elas estão funcionando, devem funcionar ou não funcionarão.

Para testar a configuração de uma chave:

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Criptografia de extração, selecione o menu de ações (...) ao lado da chave apropriada.
  5. Selecione Testar a configuração....

Sucesso:

  • A chave pode ser usada para criptografar extrações. Se a chave está pendente, é seguro ativá-la. Se a chave já está ativa, ela está funcionando.

Erros:

  • POLICY_DENIED - O KMS externo não tem uma política que permita essa chave. Confirme se você copiou a política desta chave para o KMS externo.
  • KEY_NOT_FOUND - A chave não foi encontrada ou a chave está desativada no Tableau. Confirme a política e o ARN da chave do KMS do AWS.
  • UNKNOWN - Ocorreu um erro desconhecido. Certifique-se de que a chave não esteja desabilitada no KMS do AWS e tente novamente.

Observação: se você desabilitar a chave principal do cliente (CMK) no KMS do AWS, as chaves do Tableau derivadas dela deixarão de funcionar para criptografia ou descriptografia. Da mesma forma, se você remover a cláusula gerada pelo Tableau da política da CMK no KMS do AWS, as chaves do Tableau derivadas dela vão param de funcionar.

Migrar de chaves de criptografia gerenciadas pelo cliente para KMS externo

Observação: a mudança de chaves de criptografia gerenciadas pelo cliente para um KMS externo é permanente e não pode ser desfeita sem a ajuda do gerente da conta.

A migração de chaves de criptografia gerenciadas pelo cliente (que usam o KMS do Salesforce) para um KMS externo é simples, mas é permanente e não pode ser desfeita sem a ajuda do seu gerente de conta. Após a alteração, você gerenciará suas chaves no KMS externo em vez do KMS do Salesforce. Certifique-se de entender como executar funções de chave básicas no KMS externo antes de migrar de chaves de criptografia gerenciadas pelo cliente para um KMS externo.

Após a migração, a chave derivada do KMS externo vai gravar novas extrações. A chave do KMS do Salesforce continuará a ler as extrações que gravou, até que as extrações sejam atualizadas usando a chave externa baseada no KMS.

Para obter mais informações sobre as chaves de criptografia gerenciadas pelo cliente e o KMS do Salesforce, consulte Chaves de criptografia gerenciadas pelo cliente(O link abre em nova janela).

Para migrar de chaves de criptografia gerenciadas pelo cliente para um KMS externo:

  1. Faça logon no site do Tableau Cloud.
  2. Selecione Configurações no painel de navegação esquerdo
  3. Selecione a guia Segurança.
  4. Na seção Criptografia de extração, altere a seleção de Usar o KMS do Salesforce para Usar um KMS externo.
  5. Leia o aviso e selecione Alternar para KMS externo.
Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!