Använda en extern nyckelhanteringstjänst för extraktkrypteringsnycklar

Gäller för: Tableau Cloud

Många organisationer kräver direkt kontroll över de krypteringsnycklar som skyddar deras affärskritiska data. Genom att använda en extern nyckelhanteringstjänst (KMS) kan kunderna behålla kontrollen över sina krypteringsnycklar hos en betrodd extern nyckelhanteringsleverantör. Detta medför en avsevärd förbättring av säkerhetsstatusen för organisationerna, särskilt för de som är oroliga för obehörig åtkomst till dessa kritiska nycklar.

För många organisationer är extern kontroll över de egna krypteringsnycklarna dessutom avgörande för att uppfylla olika lagstadgade krav och regler. Och med direkt kontroll över krypteringsnycklarna blir det enklare för organisationer att upprätthålla datasuveränitet, vilket är viktigt av juridiska såväl som geografiska skäl när det gäller datalagring och dataåtkomst.

Från och med oktober 2025 erbjuder Tableau Cloud extern nyckelhantering enbart via Amazon Web Services (AWS) KMS.

Obs! Funktionen för en extern nyckelhanteringstjänst finns bara i Tableau Cloud med Tableau+, Tableau Enterprise eller Advanced Management.

Nyckelhierarkin

Krypteringsprocessen när du använder en extern nyckelhanteringstjänst följer en tydlig nyckelhierarki för att trygga datasäkerhet och ge kunderna direkt kontroll över deras krypteringsnycklar.

Nyckelhierarkin när du använder en extern nyckelhanteringstjänst är:

  • Kundhuvudnyckel (CMK): Kundhuvudnyckeln är rotnyckeln i hierarkin, som skapas och kontrolleras av kunden inom AWS KMS. Listan över nycklar i Tableau är en lista över kundhuvudnycklarna i AWS KMS.
  • Nyckelkrypteringsnyckel (KEK): Nyckelkrypteringsnycklarna härstammar från kundhuvudnyckeln och används för att kryptera datakrypteringsnycklar (DEK:er).
  • Datakrypteringsnyckel (DEK): Datakrypteringsnycklarna härstammar från nyckelkrypteringsnycklarna och finns på den lägsta nivån i hierarkin. Datakrypteringsnycklarna är de nycklar som används direkt för att kryptera och dekryptera extrakt.

Nyckelstatus i Tableau Cloud

När du använder en extern nyckelhanteringstjänst har nycklarna i Tableau följande statusar och funktioner:

  • Väntande – Du har genererat nyckeln, men använder den inte än. Den kan inte användas för att skriva eller läsa några extrakt förrän du aktiverar den.
  • Aktiv – Nyckeln används för att skriva extrakt och för att läsa extrakt som den har skrivit.
  • Arkiverad – Nyckeln har varit aktiv tidigare, men har ersatts av en senare nyckel. Den används inte för att skriva extrakt, men används för att läsa extrakt som den har skrivit.
  • Inaktiverad – Nyckeln har varit aktiv och sedan arkiverats. Den används inte för att läsa eller skriva extrakt.

Snabbreferens för statusar och funktioner

NyckelstatusKan skriva/kryptera extraktKan läsa/dekryptera extrakt
Väntande  
Aktiv
Arkiverad 
Inaktiverad  

Konfigurationsöversikt

Stegen på sammanfattningsnivån för att använda AWS KMS med Tableau är:

  • AWS KMS: Skapa kundhuvudnyckeln (CMK).
  • Tableau Cloud: Aktivera extraktkryptering (eller migrera från kundhanterade krypteringsnycklar, som använder Salesforce KMS).
  • Tableau Cloud: Generera en nyckel i Tableau med hjälp av kundhuvudnyckelns ARN från AWS KMS.
  • AWS KMS: Lägg till JSON-filen för Tableaus nyckelpolicy i AWS-kundhuvudnyckelns policy.
  • Tableau Cloud: Aktivera nyckeln.

Konfigurationsinformation

Skapa en huvudnyckel i AWS KMS

Nyckelkrypteringsnycklar och datakrypteringsnycklar som Tableau använder bygger på kundhuvudnycklar som du skapar i AWS KMS(Länken öppnas i ett nytt fönster). Därför måste du ha en kundhuvudnyckel i AWS KMS innan Tableau kan generera nyckelkrypteringsnycklar och datakrypteringsnycklar. Om du behöver hjälp med att skapa en nyckel i AWS KMS kontaktar du den lokala nyckelexperten.

Dialogrutan för nyckelgenerering i Tableau innehåller en länk till AWS KMS(Länken öppnas i ett nytt fönster). Du kan skapa AWS-huvudnyckeln vid den punkten i processen eller så kan du skapa den innan du påbörjar processen för att generera nycklar i Tableau.

En AWS-nyckel har en unik identifierare i sitt ARN (Amazon Resource Name). Du ombeds ange kundhuvudnyckelns ARN när Tableau-nyckeln genereras. Nyckel-ARN formateras så här:

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

Aktivera extraktkryptering med en extern nyckelhanteringstjänst

Obs! När du väl har aktiverat kryptering är det inte helt enkelt att inaktivera det. På samma sätt är bytet från kundhanterade krypteringsnycklar (med Salesforce KMS) till en extern nyckelhanteringstjänst permanent och det går inte att ångra det utan hjälp från den kontoansvarige.

Så här aktiverar du en extern nyckelhanteringstjänst:

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du Kryptera extrakt.
  5. Välj Använd en extern nyckelhanteringstjänst.
  6. Välj Generera nyckel.
    • Om du migrerar från Salesforce KMS till en extern nyckelhanteringstjänst läser du varningen och väljer sedan Växla till extern nyckelhanteringstjänst.

Generera en nyckel

Du måste generera en nyckel och sedan aktivera den för att skriva krypterade extrakt. Om du redan har en aktiv nyckel genererar du en annan nyckel som ett första steg mot att ersätta den aktiva nyckeln.

Så här genererar du en nyckel i Tableau:

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du Generera nyckel.
  5. Om du genererar den första nyckeln för en plats visas dialogrutan Konfigurera AWS KMS. Om du redan har en aktiv nyckel går du först igenom bekräftelsedialogrutan Generera nyckel.
  6. Välj Starta AWS KMS. Du uppmanas att logga in via AWS om du inte redan är inloggad.
  7. I AWS KMS skapar du en ny nyckel eller letar upp en befintlig och kopierar sedan nyckelns ARN.
  8. Gå tillbaka till dialogrutan Konfigurera AWS KMS i Tableau och klistra in nyckelns ARN i fältet Nyckel-ARN från AWS.
  9. Du kan också ange en Beskrivning.
  10. Välj Nästa (eller Aktivera kryptering om detta är den första nyckeln för platsen).
  11. Välj Klart om du vill lägga till nyckelpolicyns JSON-fil i AWS KMS senare eller följ Använda en extern nyckelhanteringstjänst för extraktkrypteringsnycklar om du vill göra det nu.

Nyckeln kan inte användas för att läsa eller skriva extrakt förrän du lägger till nyckelpolicyns JSON-fil i AWS KMS-policyn och aktiverar den.

Lägga till nyckelpolicyns JSON-fil i KMS-nyckelpolicyn

En nyskapad nyckel har statusen Väntande och kan inte användas för att läsa eller skriva extrakt förrän du lägger till nyckelpolicyns JSON-fil i AWS KMS-policyn och aktiverar den.

Om du vill se nyckelpolicyns JSON-fil fortsätter du från processen Generera en nyckel.

Om du inte fortsätter från den processen:

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du åtgärdsmenyn (...) bredvid relevant väntande nyckel.
  5. Välj Nyckelpolicy.

Om du vill lägga till nyckelpolicyns JSON-fil i AWS KMS-policy måste du kopiera det relevanta Statement-objektet från Tableau till policyns JSON-fil i AWS KMS. Du behöver bara en del av den fullständiga JSON-texten. Det kan vara enklare att välja Kopiera nyckelpolicy, klistra in i en textredigerare och ändra JSON-filen där i stället för att använda dialogrutan.

Kopiera objektet i Statement-matrisen i JSON-texten. I AWS KMS-nyckelpolicyn lägger du sedan till den kopierade texten i Statement-matrisen enligt JSON-standardsyntaxen. (Du måste förmodligen lägga till ett kommatecken i slutet av den befintliga AWS KMS-satsen innan du lägger till den nya JSON-texten.)

Exempel:

Den markerade delen är den del som ska läggas till i AWS KMS-policyn:

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [

        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }

    ]
}

Aktivera en nyckel

Aktivera en nyckel om du vill använda den för att läsa och skriva nya extrakt. Åtgärden Aktivera nyckel är bara tillgänglig för en väntande nyckel.

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du åtgärdsmenyn (...) bredvid relevant väntande nyckel.
  5. Välj Aktivera nyckel ....

Om du redan har en aktiv nyckel ändras den befintliga nyckelns status till Arkiverad när du aktiverar en ny nyckel. En arkiverad nyckel används bara för att läsa extrakt som den har skrivit. Den nya nyckeln blir aktiv och används för att skriva nya extrakt och läsa extrakt som den har skrivit.

Obs! När du har aktiverat kryptering och aktiverat den första nyckeln på en plats skapar Tableau Cloud ett bakgrundsjobb för extraktkryptering för varje extrakt på platsen. De här jobben har lägst prioritet, vilket innebär att de bara körs när det finns extra resurser. Befintliga extraktuppdateringsjobb körs innan extrakten krypteras.

Andra åtgärder

Arkivera en nyckel

Arkiverade nycklar kan läsa extrakt de har skrivit, men de används inte för att skriva nya extrakt. Det enda sättet att arkivera en nyckel är att aktivera en ny nyckel. Läs mer i Aktivera en nyckel.

Inaktivera en nyckel

Inaktivera en arkiverad nyckel om du vill göra den oanvändbar för att läsa eller skriva extrakt. Du kan till exempel göra detta om nyckeln har äventyrats. Åtgärden Inaktivera nyckel är bara tillgänglig för en arkiverad nyckel.

När du inaktiverar en nyckel kan den inte användas för att läsa extrakt som den har skrivit (till skillnad från en arkiverad nyckel, som kan läsa extrakt som den har skrivit). Det innebär att en del extraktbaserat innehåll kan sluta fungera om det inte har krypterats med en aktiv nyckel. Om du behöver behålla tillgången till extraktbaserat innehåll som använder den gamla nyckeln försäkrar du dig om att extrakten uppdateras med en aktiv nyckel innan du inaktiverar den gamla.

Obs! Du kan återställa en inaktiverad nyckel om det behövs. När du återställer en nyckel ändras den från Inaktiverad till Arkiverad. Läs mer i Återställa en nyckel.

Så här inaktiverar du en nyckel:

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du åtgärdsmenyn (...) bredvid relevant Arkiverad nyckel.
  5. Välj Inaktivera nyckel ....
  6. Skriv ”Inaktivera den här nyckeln” i textfältet för att bekräfta åtgärden.
  7. Välj Inaktivera nyckel.

Återställa en nyckel

Återställ en inaktiverad nyckel om du vill att den ska kunna användas för att läsa extrakt som den har skrivit. Åtgärden Återställ nyckel är bara tillgänglig för en inaktiverad nyckel och ändrar den till Arkiverad.

När du återställer en nyckel till arkiverad status används den inte för att skriva några extrakt. Den används bara för att läsa extrakt som den har skrivit.

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du åtgärdsmenyn (...) bredvid relevant Inaktiverad nyckel.
  5. Välj Återställ nyckel ....
  6. Välj Återställ nyckel.

Ta bort en nyckel

Du kan inte ta bort nycklar i Tableau Cloud. En nyckel kan bara arkiveras (kan även fortsättningsvis läsa innehåll som den skrivit) eller inaktiveras (kan varken läsa eller skriva). Läs mer i Nyckelstatus i Tableau Cloud.

Obs! Om du inaktiverar kundhuvudnyckeln i AWS KMS slutar de Tableau-nycklar som härstammar från den att fungera för kryptering eller dekryptering. Och om du tar bort den Tableau-genererade satsen från kundhuvudnyckelns policy i AWS KMS slutar de Tableau-nycklar som härstammar från den också att fungera.

Visa nyckelpolicy

Dialogrutan Nyckelpolicy visar nyckelpolicyns JSON-fil för tillägg i AWS KMS-nyckelpolicyn. Nyckelpolicyns JSON-fil kan läggas till i processen Generera en nyckel eller senare.

Mer information finns i Använda en extern nyckelhanteringstjänst för extraktkrypteringsnycklar.

Så här visar du den policy som ska läggas till i AWS KMS-nyckelpolicyn:

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du åtgärdsmenyn (...) bredvid relevant nyckel.
  5. Välj Nyckelpolicy.

Visa nyckelhistorik

Varje rad i tabellen över nyckelhistorik visar en händelse, nyckelstatus efter händelsen samt datum och tid för händelsen.

Så här visar du historiken för en nyckel:

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du åtgärdsmenyn (...) bredvid relevant nyckel.
  5. Välj Nyckelhistorik.

Testa konfiguration

Använd åtgärden Testa konfiguration på en väntande nyckel för att avgöra om den kan aktiveras. Använd åtgärden Testa konfiguration på nycklar med andra statusar för att se om de fungerar, borde fungera eller inte fungerar.

Så här testar du konfigurationen för en nyckel:

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering väljer du åtgärdsmenyn (...) bredvid relevant nyckel.
  5. Välj Testa konfiguration ....

Klart:

  • Nyckeln kan användas för att kryptera extrakt. Om nyckeln är väntande är det riskfritt att aktivera. Om nyckeln redan är aktiv fungerar den.

Fel:

  • POLICY_DENIED – Den externa nyckelhanteringstjänsten har ingen policy som tillåter den här nyckeln. Bekräfta att du har kopierat policyn från den här nyckeln till den externa nyckelhanteringstjänsten.
  • KEY_NOT_FOUND – Nyckeln hittades inte eller så har nyckeln inaktiverats i Tableau. Bekräfta AWS KMS-nyckels ARN och policy.
  • UNKNOWN – Ett okänt fel har inträffat. Kontrollera att nyckeln inte har inaktiverats i AWS KMS och försök igen.

Obs! Om du inaktiverar kundhuvudnyckeln i AWS KMS slutar de Tableau-nycklar som härstammar från den att fungera för kryptering eller dekryptering. Och om du tar bort den Tableau-genererade satsen från kundhuvudnyckelns policy i AWS KMS slutar de Tableau-nycklar som härstammar från den också att fungera.

Migrera från kundhanterade krypteringsnycklar till en extern nyckelhanteringstjänst

Obs! Bytet från kundhanterade krypteringsnycklar till en extern nyckelhanteringstjänst är permanent och det går inte att ångra det utan hjälp från den kontoansvarige.

Bytet från kundhanterade krypteringsnycklar (som använder Salesforce KMS) till en extern nyckelhanteringstjänst är enkelt, men det är permanent och det går inte att ångra det utan hjälp från den kontoansvarige. Efter ändringen hanterar du dina nycklar i den externa nyckelhanteringstjänsten i stället för i Salesforces KMS. Se till att du förstår hur du utför grundläggande nyckelfunktioner i den externa nyckelhanteringstjänsten innan du migrerar från kundhanterade krypteringsnycklar.

Efter migreringen skriver den nyckel som härletts från den externa nyckelhanteringstjänsten nya extrakt. Salesforce KMS-nyckeln fortsätter att läsa extrakt som den har skrivit tills extrakten uppdateras med nyckeln från den externa nyckelhanteringstjänsten.

Mer information om kundhanterade krypteringsnycklar och Salesforce KMS finns i Kundhanterade krypteringsnycklar(Länken öppnas i ett nytt fönster).

Så här migrerar du från kundhanterade krypteringsnycklar till en extern nyckelhanteringstjänst:

  1. Logga in på Tableau Cloud-platsen.
  2. Välj Inställningar i den vänstra navigeringsrutan.
  3. Välj fliken Säkerhet.
  4. I avsnittet Extraktkryptering ändrar du valet från Använd Salesforce KMS till Använd en extern nyckelhanteringstjänst.
  5. Läs varningen och välj sedan Växla till extern nyckelhanteringstjänst.
Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!