ตั้งค่าบันทึกกิจกรรม
บันทึกกิจกรรมจะบันทึกเหตุการณ์การปรับใช้ Tableau ของคุณอย่างละเอียดเพื่อให้คุณนำไปใช้กับการปฏิบัติตามข้อกำหนด การติดตาม และการตรวจสอบ คุณต้องทำตามขั้นตอนต่อไปนี้ให้เสร็จสิ้นเพื่อใช้บันทึกกิจกรรม
ข้อกำหนดเบื้องต้น
คุณต้องมีสิ่งต่อไปนี้หากต้องการใช้บันทึกกิจกรรม
Tableau Cloud ที่มี Advanced Management
บัญชี Amazon Web Services (AWS)
- คุณจะต้องมีบัญชี AWS ของคุณเองเพื่อทำตามขั้นตอนเหล่านี้
- คุณจะต้องใช้หมายเลขบัญชี Tableau AWS (
061095916136
) ในขั้นตอนที่ 3 ด้านล่าง เพื่อรับไฟล์บันทึกกิจกรรมในบักเก็ต Amazon Simple Storage Service (S3) ของคุณ
บักเก็ต Amazon Simple Storage Service (S3) เพื่อรับข้อมูล
คุณต้องสร้างบักเก็ต Amazon S3 โดยเป็นส่วนหนึ่งของกระบวนการตั้งค่า โดยขณะนี้ Amazon S3 พร้อมรองรับตัวเลือกการส่งข้อมูลแล้ว
คุณต้องสร้างบักเก็ต Amazon S3 ในภูมิภาค AWS เดียวกันกับที่คุณโฮสต์ไซต์ Tableau Cloud หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับตำแหน่งของข้อมูล โปรดดู ความปลอดภัยใน Cloud(ลิงก์จะเปิดในหน้าต่างใหม่) และ ที่อยู่ IP ของ Tableau Cloud สำหรับการให้สิทธิ์ผู้ให้บริการข้อมูล(ลิงก์จะเปิดในหน้าต่างใหม่)
สำคัญ: พ็อดในภูมิภาคยุโรป - ไอร์แลนด์กำลังย้ายไปยังภูมิภาคยุโรป - เยอรมนี ซึ่งเป็นส่วนหนึ่งของการโยกย้ายของ Tableau Cloud ไปยัง Hyperforce หากไซต์ของคุณอยู่ในพ็อดยุโรป - ไอร์แลนด์ คุณจะต้องกำหนดค่าบันทึกกิจกรรมใหม่เพื่อใช้บัคเก็ต AWS S3 ในภูมิภาคใหม่ ยุโรป - เยอรมนี หากต้องการข้อมูลเพิ่มเติมโปรดดูการเปลี่ยนแปลงภูมิภาค AWS สำหรับไซต์ในยุโรป - พ็อดไอร์แลนด์ด้านล่าง
คีย์ภูมิภาคเดียว AWS Key Management Service (KMS) สำหรับบักเก็ต Amazon S3 ที่คุณสร้างระหว่างการตั้งค่า
ขั้นตอนที่ 1 สร้างบัญชี AWS
หากคุณยังไม่มีบัญชี Amazon Web Services (AWS) คุณสามารถ ลงชื่อสมัครใช้บัญชี AWS (ลิงก์จะเปิดในหน้าต่างใหม่)ได้ที่เว็บไซต์ AWS
สร้างบักเก็ต Amazon S3 เพื่อรับข้อมูลบันทึกของคุณ หากต้องการข้อมูลเพิ่มเติม โปรดดูการสร้างบักเก็ต(ลิงก์จะเปิดในหน้าต่างใหม่)ที่เว็บไซต์ AWS
กำหนดค่าบักเก็ต Amazon S3 ด้วยการตั้งค่าดังนี้
ใต้ความเป็นเจ้าของออบเจ็กต์ ให้เลือกปิดใช้งาน ACL (แนะนำ) เพื่อรับประกันว่าเจ้าของบักเก็ตจะเป็นเจ้าของออบเจ็กต์ทุกรายการที่เขียน
ใต้ประวัติการแก้ไขบักเก็ต ให้เลือกเปิดใช้งาน ประวัติการแก้ไขบักเก็ตต้องเปิดใช้งานไว้เพื่อทำซ้ำออบเจ็กต์
ใต้การเข้ารหัสบักเก็ต ให้เลือกเปิดใช้งาน
เลือก AWS Key Management Service (SSE-KMS)
เลือกป้อน ARN ของคีย์ AWS KMS
คลิกปุ่มสร้างคีย์ที่ปรากฏขึ้นเพื่อให้สร้างคีย์ AWS Key Management Service (KMS) ใหม่
หมายเหตุ: ไม่รองรับคีย์หลายภูมิภาคของ KMS
เลือกประเภทคีย์สมมาตร และเข้ารหัสหรือถอดรหัสการใช้คีย์
ตั้งชื่อคีย์โดยใช้ชื่อแทน แล้วคลิกไปจนถึงหน้าตรวจสอบ
เพิ่มคำสั่งต่อไปนี้ไปยังรายการคำสั่งในนโยบายของคีย์ เพื่อให้ Tableau สามารถเข้าถึงออบเจ็กต์ที่เข้ารหัสในบักเก็ต S3 ได้
หมายเหตุ: คำสั่งนี้อนุญาตให้บทบาท IAM ของ Tableau เข้ารหัสออบเจ็กต์ที่อยู่ในบักเก็ต Amazon S3 “kms:GenerateDataKey” ใช้เพื่อสร้างคีย์ข้อมูลเพื่อเข้ารหัสออบเจ็กต์ที่ทำซ้ำ “kms:Encrypt” ใช้เพื่อเข้ารหัสออบเจ็กต์ที่ทำซ้ำซึ่งสร้างขึ้นในบักเก็ต S3 เป้าหมาย “Resource”: “*” ให้สิทธิแก่คีย์ KMS เพื่อบทบาทการทำซ้ำเท่านั้นและไม่อนุญาตให้ยกระดับสิทธิ หากต้องการข้อมูลเพิ่มเติม โปรดดู การปกป้องข้อมูลโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ด้วย AWS Key Management Service (SSE-KMS)(ลิงก์จะเปิดในหน้าต่างใหม่) ที่เว็บไซต์ AWS
{
"Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*"
}
คลิกเสร็จสิ้นเพื่อสร้างคีย์ KMS
คลิกสร้างบักเก็ตเพื่อสร้างบักเก็ต Amazon S3
อัปเดตสิทธิ์ในนโยบายของบักเก็ต Amazon S3
เปิดบักเก็ต Amazon S3 แล้วคลิกที่แท็บสิทธิ์
ค้นหาส่วนนโยบายของบักเก็ต แล้วคลิกที่แก้ไข
เพิ่มรายการคำสั่งต่อไปนี้ในนโยบายของบักเก็ต แทนที่ S3-BUCKET-NAME ด้วยชื่อของบักเก็ต
หมายเหตุ: คำสั่งนี้อนุญาตให้บทบาท IAM ของ Tableau ทำซ้ำออบเจ็กต์ในบักเก็ต การใช้ "*" และ "<path>/*" เพื่อให้สิทธิ์การเข้าถึงคำนำหน้าทั้งหมดในบักเก็ตและพาธที่ระบุตามลำดับ สิทธิ์ "s3:ReplicateObject" และ "s3:ReplicateDelete" คือสิทธิ์ขั้นต่ำที่จำเป็นในการทำซ้ำออบเจ็กต์และลบเครื่องหมายให้เสร็จสิ้น ดู การให้สิทธิเมื่อบัคเก็ตต้นทางและปลายทางเป็นของบัญชี AWS ที่แตกต่างกัน(ลิงก์จะเปิดในหน้าต่างใหม่) ที่เว็บไซต์ AWS
ไม่บังคับ หากบักเก็ตปลายทางของคุณมีนโยบายที่จำกัดการเข้าถึงผ่านตำแหน่งข้อมูล Amazon Virtual Private Cloud (VPC) คุณต้องเปลี่ยนนโยบายบักเก็ตเพิ่มเติมจาก TableauS3ReplicationRoleAccess ที่คุณเพิ่งเพิ่มเข้าไป หากต้องการข้อมูลเพิ่มเติม โปรดดูฉันจะจำกัดการเข้าถึงบักเก็ต Amazon S3 ของฉันโดยใช้ตำแหน่งข้อมูล VPC หรือที่อยู่ IP ที่เฉพาะเจาะจงได้อย่างไร(ลิงก์จะเปิดในหน้าต่างใหม่)ที่เว็บไซต์ AWS
หากนโยบายบักเก็ตปัจจุบันมีข้อจำกัด VPC ดังต่อไปนี้
{
"Sid": "Restricted VPC Access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:",
"Resource": [
"arn:aws:s3:::<S3-BUCKET-NAME>",
"arn:aws:s3:::<S3-BUCKET-NAME>/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-<ID>"
}
}
}
จากนั้นแก้ไขรายการ "เงื่อนไข" เพื่อรวมรายการต่อไปนี้
"StringNotLike": {
"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
}
หมายเหตุ: คุณต้องใช้ ID บทบาท "AROAQ4OMZWJUBZG3DRFW5" สำหรับบทบาท Tableau IAM
นโยบายที่แก้ไขแล้วควรมีลักษณะดังนี้
{
"Sid": "Restricted VPC Access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:",
"Resource": [
"arn:aws:s3:::<S3-BUCKET-NAME>",
"arn:aws:s3:::<S3-BUCKET-NAME>/*"
],
"Condition": {
"StringNotLike": {
"aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
},
"StringNotEquals": {
"aws:SourceVpc": "vpc-<ID>"
}
}
}
นโยบายนี้อนุญาตอย่างชัดเจนให้บทบาท Tableau IAM เป็น ReplicateObject และ ReplicateDelete และไม่รวมบทบาทเพิ่มเติมจากคำสั่งปฏิเสธ VPC ที่ชัดเจนที่มีอยู่
คลิกบันทึกการเปลี่ยนแปลง
{
"Sid": "TableauS3ReplicationRoleAccess",
"Effect": "Allow",
"Principal": {
"AWS":
"arn:aws:iam::061095916136:role/prod-replication-rule-role"
},
"Action": [
"s3:ReplicateObject",
"s3:ReplicateDelete"
],
"Resource": [
"arn:aws:s3:::S3-BUCKET-NAME",
"arn:aws:s3:::S3-BUCKET-NAME/*"
]
}
Tableau Cloud
ขั้นตอนที่ 3 กำหนดค่านำทางสู่ไซต์ Tableau ของคุณ
ในหน้าการตั้งค่า ให้เลือกแท็บการผสาน
ในส่วนบันทึกกิจกรรม ให้เลือกปุ่มเปิดใช้งาน
ให้ป้อนข้อมูลต่อไปนี้ลงในกล่องโต้ตอบตั้งค่าการเชื่อมต่อ
ในกล่องหมายเลขบัญชี AWS ให้ป้อนหมายเลขบัญชี AWS 12 หลัก นี่คือหมายเลขบัญชี AWS ที่เชื่อมโยงกับตำแหน่งบักเก็ต Amazon S3 ของคุณ
ในกล่องชื่อบักเก็ต S3 ให้ป้อนชื่อบักเก็ต Amazon S3 ที่ซึ่งจะนำส่งไฟล์บันทึกกิจกรรม นี่คือบักเก็ต Amazon S3 ที่คุณสร้างในขั้นตอนที่ 2 สร้างบักเก็ต Amazon S3 แล้วตั้งค่าสิทธิ์ ซึ่งต้องเป็นชื่อที่ถูกต้องตามข้อกำหนดของชื่อบักเก็ต AWS
ในกล่อง ARN ของคีย์ KMS ให้ป้อน Amazon Resource Name (ARN) ของคีย์ KMS ที่คุณสร้างในขั้นตอนที่ 2 สร้างบักเก็ต Amazon S3 แล้วตั้งค่าสิทธิ์ หมายเลขบัญชีใน ARN ต้องตรงกับหมายเลขบัญชี AWS ที่ระบุไว้โดยต้องจัดเรียงในรูปแบบที่ถูกต้อง (เช่น arn:aws:kms:<region>:<account-id>:key/<key-id>)
คลิกส่ง
คอลัมน์สถานะการเชื่อมต่อจะแสดงข้อความ กำลังดำเนินการ เมื่อระบบพยายามทำซ้ำไฟล์ข้อความไปยังบักเก็ต Amazon S3 เพื่อทดสอบการเชื่อมต่อ
หลังจากที่คัดลอกไฟล์ไปยังบักเก็ต Amazon S3 เป้าหมายเรียบร้อยแล้ว คอลัมน์สถานะจะระบุว่าอยู่ระหว่างการตรวจสอบยืนยันและแสดงวิดเจ็ตเพื่ออินพุต ‘เนื้อหาไฟล์ทดสอบ’ คุณอาจต้องรีเฟรชหน้าเพื่อดูอัปเดต
ตรวจสอบการทำซ้ำไฟล์การรักษาความปลอดภัย
ไปที่บักเก็ต Amazon S3 เป้าหมายแล้วค้นหาโฟลเดอร์ที่ขึ้นต้นด้วย siteLuid (ส่วนที่เหลือของชื่อของตัวระบุที่ไม่ซ้ำกันของไซต์)
ค้นหาไฟล์ข้อความที่มีชื่อว่า
SECURITY_VERIFICATION_FILE.txt
ดาวน์โหลดและเปิดไฟล์ข้อความ
คัดลอกเนื้อหาข้อความภายในไฟล์
กลับสู่หน้าการตั้งค่า แล้ววางเนื้อหาข้อความลงในฟิลด์อินพุตเนื้อหาไฟล์ข้อความ แล้วคลิกส่ง
หากเนื้อหาที่ส่งนั้นถูกต้อง สถานะการเชื่อมต่อจะเปลี่ยนเป็นทำงานอยู่ โดยตอนนี้ได้เปิดใช้งานบันทึกกิจกรรมแล้ว และข้อมูลจะเริ่มทำซ้ำไปยังบักเก็ต Amazon S3 เป้าหมาย
หากเนื้อหาที่ส่งไปนั้นไม่ถูกต้อง ข้อความแสดงข้อผิดพลาดจะปรากฏขึ้น ให้ตรวจสอบว่าได้คัดลอกเนื้อหาอย่างถูกต้องโดยไม่มีตัวอักษรหรือช่องว่างใดๆ เพิ่มเติม
การแก้ปัญหา
ไฟล์การตรวจสอบความปลอดภัยไม่ปรากฏขึ้นใช่หรือไม่
คุณอาจต้องรอประมาณ 15 นาทีเพื่อให้ไฟล์ปรากฏขึ้นในบักเก็ต Amazon S3 เป้าหมายเนื่องจากข้อจำกัดของ Amazon S3
หากสถานะการเชื่อมต่อระบุว่า "กำลังดำเนินการ" หมายความว่าไฟล์ยังคงดำเนินการทำซ้ำอยู่ หากต้องการข้อมูลเพิ่มเติม โปรดดูการแก้ไขปัญหาการทำซ้ำ(ลิงก์จะเปิดในหน้าต่างใหม่)ที่เว็บไซต์ AWS
สถานะการเชื่อมต่อที่ล้มเหลวหมายความไฟล์ไม่สามารถทำซ้ำให้เสร็จสิ้นได้
โปรดยืนยันว่าสิทธิ์ของนโยบายบักเก็ต Amazon S3 และนโยบายของคีย์ AWS Key Management Service (KMS) มีคำสั่งที่เหมาะสม หากต้องการข้อมูลเพิ่มเติม โปรดดูหัวข้อต่อไปนี้ที่เว็บไซต์ AWS
การตั้งค่าอื่นๆ ที่จำเป็นสำหรับไฟล์บันทึกเพื่อเข้าถึงบักเก็ต Amazon S3
บักเก็ต Amazon S3 เปิดใช้งานการควบคุมเวอร์ชันบักเก็ต (ในหัวข้อพร็อพเพอร์ตี้ > การควบคุมเวอร์ชันบักเก็ต)
บักเก็ต Amazon S3 เปิดใช้งานบล็อกการเข้าถึงสาธารณะทั้งหมด (ในหัวข้อสิทธิ์ > บล็อกการเข้าถึงสาธารณะ (การตั้งค่าบักเก็ต))
บักเก็ต Amazon S3 มีสิทธิ์ ACL ต่อไปนี้สำหรับ “เจ้าของบักเก็ต” เท่านั้น (ในหัวข้อสิทธิ์ > รายการควบคุมการเข้าถึง (ACL)):
ออบเจกต์: รายการ, เขียน
บักเก็ต ACL: อ่าน, เขียน
นโยบายสิทธิ์ของคีย์ KMS มีคำสั่งในขั้นตอนที่ 2 สร้างบักเก็ต Amazon S3 แล้วตั้งค่าสิทธิ์ ขั้นตอนที่ 2 i. (ในหัวข้อพร็อพเพอร์ตี้ > การเข้ารหัสเริ่มต้น คลิกที่ ARN ในหัวข้อ AWS KMS Key ARN เพื่อไปที่นโยบายคีย์ KMS)
บักเก็ต Amazon S3 เปิดใช้งานการเข้ารหัสเริ่มต้นและเปิดใช้งานคีย์บักเก็ต (ในหัวข้อพร็อพเพอร์จี้ > การเข้ารหัสเริ่มต้น)
นโยบายสิทธิ์บักเก็ตของ Amazon S3 (ในหัวข้อสิทธิ์ > นโยบายบักเก็ต) ตรงกับนโยบายในคำแนะนำทุกประการ ตรวจสอบให้แน่ใจว่าคุณได้แทนที่ค่าตัวอย่าง “S3-BUCKET-NAME” ด้วยบักเก็ต Amazon S3 ที่คุณเพิ่งสร้างขึ้น
การเปลี่ยนแปลงภูมิภาค AWS สำหรับไซต์ในยุโรป - พ็อดไอร์แลนด์
ตั้งแต่เดือนสิงหาคมถึงธันวาคม 2024 เป็นต้นไป Tableau Cloud จะมีการย้ายไปยัง Hyperforce(ลิงก์จะเปิดในหน้าต่างใหม่) ของ Salesforce โดยพ็อด เป็นส่วนหนึ่งของการย้าย พ็อดในภูมิภาคยุโรป - ไอร์แลนด์กำลังย้ายไปยังภูมิภาคยุโรป - เยอรมนี หากไซต์ของคุณอยู่ในพ็อดยุโรป - ไอร์แลนด์ คุณจะต้องกำหนดค่าบันทึกกิจกรรมใหม่เพื่อใช้บัคเก็ต AWS S3 ในภูมิภาคใหม่ ยุโรป - เยอรมนี
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการย้าย รวมถึงเวลาที่พ็อดยุโรป - ไอร์แลนด์ของคุณจะย้าย โปรดดูบทความในฐานข้อมูลการย้าย Tableau Cloud ไปยัง Hyperforce(ลิงก์จะเปิดในหน้าต่างใหม่)