ตั้งค่าบันทึกกิจกรรม

บันทึกกิจกรรมจะบันทึกเหตุการณ์การปรับใช้ Tableau ของคุณอย่างละเอียดเพื่อให้คุณนำไปใช้กับการปฏิบัติตามข้อกำหนด การติดตาม และการตรวจสอบ คุณต้องทำตามขั้นตอนต่อไปนี้ให้เสร็จสิ้นเพื่อใช้บันทึกกิจกรรม

ข้อกำหนดเบื้องต้น

คุณต้องมีสิ่งต่อไปนี้หากต้องการใช้บันทึกกิจกรรม

  • Tableau Cloud ที่มี Advanced Management

  • บัญชี Amazon Web Services (AWS)

    • คุณจะต้องมีบัญชี AWS ของคุณเองเพื่อทำตามขั้นตอนเหล่านี้
    • คุณจะต้องใช้หมายเลขบัญชี Tableau AWS (061095916136 ) ในขั้นตอนที่ 3 ด้านล่าง เพื่อรับไฟล์บันทึกกิจกรรมในบักเก็ต Amazon Simple Storage Service (S3) ของคุณ
  • บักเก็ต Amazon Simple Storage Service (S3) เพื่อรับข้อมูล

  • คีย์ภูมิภาคเดียว AWS Key Management Service (KMS) สำหรับบักเก็ต Amazon S3 ที่คุณสร้างระหว่างการตั้งค่า

ขั้นตอนที่ 1 สร้างบัญชี AWS

หากคุณยังไม่มีบัญชี Amazon Web Services (AWS) คุณสามารถ ลงชื่อสมัครใช้บัญชี AWS (ลิงก์จะเปิดในหน้าต่างใหม่)ได้ที่เว็บไซต์ AWS

ขั้นตอนที่ 2 สร้างบักเก็ต Amazon S3 แล้วตั้งค่าสิทธิ์

  1. สร้างบักเก็ต Amazon S3 เพื่อรับข้อมูลบันทึกของคุณ หากต้องการข้อมูลเพิ่มเติม โปรดดูการสร้างบักเก็ต(ลิงก์จะเปิดในหน้าต่างใหม่)ที่เว็บไซต์ AWS

  2. กำหนดค่าบักเก็ต Amazon S3 ด้วยการตั้งค่าดังนี้

    1. ใต้ความเป็นเจ้าของออบเจ็กต์ ให้เลือกปิดใช้งาน ACL (แนะนำ) เพื่อรับประกันว่าเจ้าของบักเก็ตจะเป็นเจ้าของออบเจ็กต์ทุกรายการที่เขียน

    2. ใต้ประวัติการแก้ไขบักเก็ต ให้เลือกเปิดใช้งาน ประวัติการแก้ไขบักเก็ตต้องเปิดใช้งานไว้เพื่อทำซ้ำออบเจ็กต์

    3. ใต้การเข้ารหัสบักเก็ต ให้เลือกเปิดใช้งาน

    4. เลือก AWS Key Management Service (SSE-KMS)

    5. เลือกป้อน ARN ของคีย์ AWS KMS

    6. คลิกปุ่มสร้างคีย์ที่ปรากฏขึ้นเพื่อให้สร้างคีย์ AWS Key Management Service (KMS) ใหม่

      หมายเหตุ: ไม่รองรับคีย์หลายภูมิภาคของ KMS

    7. เลือกประเภทคีย์สมมาตร และเข้ารหัสหรือถอดรหัสการใช้คีย์

    8. ตั้งชื่อคีย์โดยใช้ชื่อแทน แล้วคลิกไปจนถึงหน้าตรวจสอบ

    9. เพิ่มคำสั่งต่อไปนี้ไปยังรายการคำสั่งในนโยบายของคีย์ เพื่อให้ Tableau สามารถเข้าถึงออบเจ็กต์ที่เข้ารหัสในบักเก็ต S3 ได้

      หมายเหตุ: คำสั่งนี้อนุญาตให้บทบาท IAM ของ Tableau เข้ารหัสออบเจ็กต์ที่อยู่ในบักเก็ต Amazon S3 “kms:GenerateDataKey” ใช้เพื่อสร้างคีย์ข้อมูลเพื่อเข้ารหัสออบเจ็กต์ที่ทำซ้ำ “kms:Encrypt” ใช้เพื่อเข้ารหัสออบเจ็กต์ที่ทำซ้ำซึ่งสร้างขึ้นในบักเก็ต S3 เป้าหมาย “Resource”: “*” ให้สิทธิแก่คีย์ KMS เพื่อบทบาทการทำซ้ำเท่านั้นและไม่อนุญาตให้ยกระดับสิทธิ หากต้องการข้อมูลเพิ่มเติม โปรดดู การปกป้องข้อมูลโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ด้วย AWS Key Management Service (SSE-KMS)(ลิงก์จะเปิดในหน้าต่างใหม่) ที่เว็บไซต์ AWS

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. คลิกเสร็จสิ้นเพื่อสร้างคีย์ KMS

    11. คลิกสร้างบักเก็ตเพื่อสร้างบักเก็ต Amazon S3

  3. อัปเดตสิทธิ์ในนโยบายของบักเก็ต Amazon S3

    1. เปิดบักเก็ต Amazon S3 แล้วคลิกที่แท็บสิทธิ์

    2. ค้นหาส่วนนโยบายของบักเก็ต แล้วคลิกที่แก้ไข

    3. เพิ่มรายการคำสั่งต่อไปนี้ในนโยบายของบักเก็ต แทนที่ S3-BUCKET-NAME ด้วยชื่อของบักเก็ต

      หมายเหตุ: คำสั่งนี้อนุญาตให้บทบาท IAM ของ Tableau ทำซ้ำออบเจ็กต์ในบักเก็ต การใช้ "*" และ "<path>/*" เพื่อให้สิทธิ์การเข้าถึงคำนำหน้าทั้งหมดในบักเก็ตและพาธที่ระบุตามลำดับ สิทธิ์ "s3:ReplicateObject" และ "s3:ReplicateDelete" คือสิทธิ์ขั้นต่ำที่จำเป็นในการทำซ้ำออบเจ็กต์และลบเครื่องหมายให้เสร็จสิ้น ดู การให้สิทธิเมื่อบัคเก็ตต้นทางและปลายทางเป็นของบัญชี AWS ที่แตกต่างกัน(ลิงก์จะเปิดในหน้าต่างใหม่) ที่เว็บไซต์ AWS

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. ไม่บังคับ หากบักเก็ตปลายทางของคุณมีนโยบายที่จำกัดการเข้าถึงผ่านตำแหน่งข้อมูล Amazon Virtual Private Cloud (VPC) คุณต้องเปลี่ยนนโยบายบักเก็ตเพิ่มเติมจาก TableauS3ReplicationRoleAccess ที่คุณเพิ่งเพิ่มเข้าไป หากต้องการข้อมูลเพิ่มเติม โปรดดูฉันจะจำกัดการเข้าถึงบักเก็ต Amazon S3 ของฉันโดยใช้ตำแหน่งข้อมูล VPC หรือที่อยู่ IP ที่เฉพาะเจาะจงได้อย่างไร(ลิงก์จะเปิดในหน้าต่างใหม่)ที่เว็บไซต์ AWS

      หากนโยบายบักเก็ตปัจจุบันมีข้อจำกัด VPC ดังต่อไปนี้

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      จากนั้นแก้ไขรายการ "เงื่อนไข" เพื่อรวมรายการต่อไปนี้

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      หมายเหตุ: คุณต้องใช้ ID บทบาท "AROAQ4OMZWJUBZG3DRFW5" สำหรับบทบาท Tableau IAM

      นโยบายที่แก้ไขแล้วควรมีลักษณะดังนี้

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      นโยบายนี้อนุญาตอย่างชัดเจนให้บทบาท Tableau IAM เป็น ReplicateObject และ ReplicateDelete และไม่รวมบทบาทเพิ่มเติมจากคำสั่งปฏิเสธ VPC ที่ชัดเจนที่มีอยู่

    6. คลิกบันทึกการเปลี่ยนแปลง

ขั้นตอนที่ 3 กำหนดค่า Tableau Cloud

  1. นำทางสู่ไซต์ Tableau ของคุณ

  2. ในหน้าการตั้งค่า ให้เลือกแท็บการผสาน

  3. ในส่วนบันทึกกิจกรรม ให้เลือกปุ่มเปิดใช้งาน

  4. ให้ป้อนข้อมูลต่อไปนี้ลงในกล่องโต้ตอบตั้งค่าการเชื่อมต่อ

    1. ในกล่องหมายเลขบัญชี AWS ให้ป้อนหมายเลขบัญชี AWS 12 หลัก นี่คือหมายเลขบัญชี AWS ที่เชื่อมโยงกับตำแหน่งบักเก็ต Amazon S3 ของคุณ

    2. ในกล่องชื่อบักเก็ต S3 ให้ป้อนชื่อบักเก็ต Amazon S3 ที่ซึ่งจะนำส่งไฟล์บันทึกกิจกรรม นี่คือบักเก็ต Amazon S3 ที่คุณสร้างในขั้นตอนที่ 2 สร้างบักเก็ต Amazon S3 แล้วตั้งค่าสิทธิ์ ซึ่งต้องเป็นชื่อที่ถูกต้องตามข้อกำหนดของชื่อบักเก็ต AWS

    3. ในกล่อง ARN ของคีย์ KMS ให้ป้อน Amazon Resource Name (ARN) ของคีย์ KMS ที่คุณสร้างในขั้นตอนที่ 2 สร้างบักเก็ต Amazon S3 แล้วตั้งค่าสิทธิ์ หมายเลขบัญชีใน ARN ต้องตรงกับหมายเลขบัญชี AWS ที่ระบุไว้โดยต้องจัดเรียงในรูปแบบที่ถูกต้อง (เช่น arn:aws:kms:<region>:<account-id>:key/<key-id>)

  5. คลิกส่ง

    คอลัมน์สถานะการเชื่อมต่อจะแสดงข้อความ กำลังดำเนินการ เมื่อระบบพยายามทำซ้ำไฟล์ข้อความไปยังบักเก็ต Amazon S3 เพื่อทดสอบการเชื่อมต่อ

    หลังจากที่คัดลอกไฟล์ไปยังบักเก็ต Amazon S3 เป้าหมายเรียบร้อยแล้ว คอลัมน์สถานะจะระบุว่าอยู่ระหว่างการตรวจสอบยืนยันและแสดงวิดเจ็ตเพื่ออินพุต ‘เนื้อหาไฟล์ทดสอบ’ คุณอาจต้องรีเฟรชหน้าเพื่อดูอัปเดต

ตรวจสอบการทำซ้ำไฟล์การรักษาความปลอดภัย

  1. ไปที่บักเก็ต Amazon S3 เป้าหมายแล้วค้นหาโฟลเดอร์ที่ขึ้นต้นด้วย siteLuid (ส่วนที่เหลือของชื่อของตัวระบุที่ไม่ซ้ำกันของไซต์)

  2. ค้นหาไฟล์ข้อความที่มีชื่อว่า SECURITY_VERIFICATION_FILE.txt

  3. ดาวน์โหลดและเปิดไฟล์ข้อความ

  4. คัดลอกเนื้อหาข้อความภายในไฟล์

  5. กลับสู่หน้าการตั้งค่า แล้ววางเนื้อหาข้อความลงในฟิลด์อินพุตเนื้อหาไฟล์ข้อความ แล้วคลิกส่ง

  6. หากเนื้อหาที่ส่งนั้นถูกต้อง สถานะการเชื่อมต่อจะเปลี่ยนเป็นทำงานอยู่ โดยตอนนี้ได้เปิดใช้งานบันทึกกิจกรรมแล้ว และข้อมูลจะเริ่มทำซ้ำไปยังบักเก็ต Amazon S3 เป้าหมาย

  7. หากเนื้อหาที่ส่งไปนั้นไม่ถูกต้อง ข้อความแสดงข้อผิดพลาดจะปรากฏขึ้น ให้ตรวจสอบว่าได้คัดลอกเนื้อหาอย่างถูกต้องโดยไม่มีตัวอักษรหรือช่องว่างใดๆ เพิ่มเติม

การแก้ปัญหา

ไฟล์การตรวจสอบความปลอดภัยไม่ปรากฏขึ้นใช่หรือไม่

การตั้งค่าอื่นๆ ที่จำเป็นสำหรับไฟล์บันทึกเพื่อเข้าถึงบักเก็ต Amazon S3

  • บักเก็ต Amazon S3 เปิดใช้งานการควบคุมเวอร์ชันบักเก็ต (ในหัวข้อพร็อพเพอร์ตี้ > การควบคุมเวอร์ชันบักเก็ต)

  • บักเก็ต Amazon S3 เปิดใช้งานบล็อกการเข้าถึงสาธารณะทั้งหมด (ในหัวข้อสิทธิ์ > บล็อกการเข้าถึงสาธารณะ (การตั้งค่าบักเก็ต))

  • บักเก็ต Amazon S3 มีสิทธิ์ ACL ต่อไปนี้สำหรับ “เจ้าของบักเก็ต” เท่านั้น (ในหัวข้อสิทธิ์ > รายการควบคุมการเข้าถึง (ACL)):

    • ออบเจกต์: รายการ, เขียน

    • บักเก็ต ACL: อ่าน, เขียน

  • นโยบายสิทธิ์ของคีย์ KMS มีคำสั่งในขั้นตอนที่ 2 สร้างบักเก็ต Amazon S3 แล้วตั้งค่าสิทธิ์ ขั้นตอนที่ 2 i. (ในหัวข้อพร็อพเพอร์ตี้ > การเข้ารหัสเริ่มต้น คลิกที่ ARN ในหัวข้อ AWS KMS Key ARN เพื่อไปที่นโยบายคีย์ KMS)

  • บักเก็ต Amazon S3 เปิดใช้งานการเข้ารหัสเริ่มต้นและเปิดใช้งานคีย์บักเก็ต (ในหัวข้อพร็อพเพอร์จี้ > การเข้ารหัสเริ่มต้น)

  • นโยบายสิทธิ์บักเก็ตของ Amazon S3 (ในหัวข้อสิทธิ์ > นโยบายบักเก็ต) ตรงกับนโยบายในคำแนะนำทุกประการ ตรวจสอบให้แน่ใจว่าคุณได้แทนที่ค่าตัวอย่าง “S3-BUCKET-NAME” ด้วยบักเก็ต Amazon S3 ที่คุณเพิ่งสร้างขึ้น

การเปลี่ยนแปลงภูมิภาค AWS สำหรับไซต์ในยุโรป - พ็อดไอร์แลนด์

ตั้งแต่เดือนสิงหาคมถึงธันวาคม 2024 เป็นต้นไป Tableau Cloud จะมีการย้ายไปยัง Hyperforce(ลิงก์จะเปิดในหน้าต่างใหม่) ของ Salesforce โดยพ็อด เป็นส่วนหนึ่งของการย้าย พ็อดในภูมิภาคยุโรป - ไอร์แลนด์กำลังย้ายไปยังภูมิภาคยุโรป - เยอรมนี หากไซต์ของคุณอยู่ในพ็อดยุโรป - ไอร์แลนด์ คุณจะต้องกำหนดค่าบันทึกกิจกรรมใหม่เพื่อใช้บัคเก็ต AWS S3 ในภูมิภาคใหม่ ยุโรป - เยอรมนี

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการย้าย รวมถึงเวลาที่พ็อดยุโรป - ไอร์แลนด์ของคุณจะย้าย โปรดดูบทความในฐานข้อมูลการย้าย Tableau Cloud ไปยัง Hyperforce(ลิงก์จะเปิดในหน้าต่างใหม่)