设置活动日志

适用于: Tableau Advanced Management

活动日志包含您的 Tableau 部署的详细事件,您可以将其用于合规性、监控和审核。您必须完成以下步骤才能使用活动日志。

先决条件

为了使用活动日志,您必须具有以下所有各项:

  • 包含 Advanced Management 的 Tableau Cloud

  • Amazon Web Services (AWS) 帐户

    • 您需要自己的 AWS 帐户来完成这些步骤。
    • 您还需要下面步骤 3 中的 Tableau AWS 帐号 (061095916136),以便在您的 Amazon Simple Storage Service (S3) 存储桶中接收活动日志。

  • 用于接收数据的 Amazon Simple Storage Service (S3) 存储桶

  • 您在设置期间创建的 Amazon S3 存储桶的 AWS Key Management Service (KMS) 单一区域密钥。

步骤 1.创建 AWS 帐户

如果您还没有 Amazon Web Services (AWS) 帐户,您可以在 AWS 网站上注册一个 AWS 帐户(链接在新窗口中打开)

步骤 2.创建 Amazon S3 存储桶并设置权限

  1. 创建一个 Amazon S3 存储桶来接收您的日志数据。有关详细信息,请参见 AWS 网站上的创建存储桶(链接在新窗口中打开)

  2. 使用以下设置配置 Amazon S3 存储桶:

    1. “Object Ownership”(对象所有权)下,选择“ACLs disabled”(ACL 已禁用)(推荐)。这可确保存储桶拥有者是写入其中的所有对象的拥有者。

    2. “Bucket Versioning”(存储桶版本控制)下,选择“Enable”(启用)。必须启用存储桶版本控制才能复制对象。

    3. “Default encryption”(默认加密)下,选择“Enable”(启用)

    4. 选择“AWS Key Management Service (SSE-KMS)”

    5. 选择“Enter AWS KMS key ARN”(输入 AWS KMS 密钥 ARN)

    6. 单击出现的“Create key”(创建密钥)按钮以创建新的 AWS Key Management Service (KMS) 密钥。

      注意:不支持 KMS 多区域密钥。

    7. 选择“Symmetric Key”(对称密钥)类型和“Encrypt and decrypt Key usage”(加密和解密密钥使用)

    8. 使用别名为密钥命名,然后一直单击,直到显示“Review”(查看)页面。

    9. 将以下语句添加到密钥策略内的“Statement list”(语句列表)中,以授予 Tableau 访问权限以加密 S3 存储桶中的对象。

      注意:此语句允许 Tableau IAM 角色加密放置在 Amazon S3 存储桶中的对象。“kms:GenerateDataKey”用于生成数据密钥以加密对象副本。“kms:Encrypt”用于加密在目标 S3 存储桶中创建的对象副本。“Resource”: “*”仅将 KMS 密钥的权限授予复制角色,不允许角色提升其权限。有关详细信息,请参见 AWS 网站上的通过 AWS Key Management Service (SSE-KMS) 使用服务器端加密保护数据(链接在新窗口中打开)

      {
      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"
      },
      "Action": [
      "kms:GenerateDataKey",
      "kms:Encrypt"
      ],
      "Resource": "*"
      }

    10. 单击“Finish”(完成)创建 KMS 密钥。

    11. 单击“Create bucket”(创建存储桶)创建 Amazon S3 存储桶。

  3. 更新 Amazon S3 存储桶策略的权限。

    1. 打开 Amazon S3 存储桶,并单击“Permissions”(权限)选项卡。

    2. 找到“Bucket policy”(存储桶策略)部分,然后单击“Edit”(编辑)

    3. 将以下内容添加到存储桶策略的“Statement list”(语句列表)中。将 S3-BUCKET-NAME 替换为存储桶的名称。

      注意:此语句允许 Tableau IAM 角色将对象复制到存储桶中。使用“*”和“<path> /*”分别授予对指定存储桶中的所有前缀和存储桶中路径的访问权限。“s3:ReplicateObject”和“s3:ReplicateDelete”权限是成功复制对象和删除标记所需的最低权限。请参见 AWS 网站上的在源存储桶和目标存储桶由不同 AWS 帐户拥有时授予权限(链接在新窗口中打开)

      4. {
      "Sid": "TableauS3ReplicationRoleAccess",
      "Effect": "Allow",
      "Principal": {
      "AWS":
      "arn:aws:iam::061095916136:role/prod-replication-rule-role"
      },
      "Action": [

      "s3:ReplicateObject",
      "s3:ReplicateDelete"
      ],
      "Resource": [
      "arn:aws:s3:::S3-BUCKET-NAME",
      "arn:aws:s3:::S3-BUCKET-NAME/*"
      ]
      }

    4. 可选。如果您的目标存储桶具有限制通过 Amazon Virtual Private Cloud (VPC) 端点进行访问的策略,则除了刚刚添加的 TableauS3ReplicationRoleAccess 之外,您还必须更改存储桶策略。有关详细信息,请参见 AWS 网站上的如何限定只有特定 VPC 终端节点或 IP 地址才能访问 Amazon S3 存储桶?(链接在新窗口中打开)

      如果当前存储桶策略包含这样的 VPC 限制:

      {
      "Sid": "Restricted VPC Access",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:",
      "Resource": [
      "arn:aws:s3:::<S3-BUCKET-NAME>",
      "arn:aws:s3:::<S3-BUCKET-NAME>/*"
      ],
      "Condition": {
      "StringNotEquals": {
      "aws:SourceVpc": "vpc-<ID>"
      }
      }
      }

      然后编辑“Condition”列表以包括以下内容:

      "StringNotLike": {
      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
      }

      注意:对于 Tableau IAM 角色,您必须使用“AROAQ4OMZWJUBZG3DRFW5”RoleId。

      编辑后的策略应该如下所示:

      {
      "Sid": "Restricted VPC Access",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:",
      "Resource": [
      "arn:aws:s3:::<S3-BUCKET-NAME>",
      "arn:aws:s3:::<S3-BUCKET-NAME>/*"
      ],
      "Condition": {
      "StringNotLike": {
      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]
      },
      "StringNotEquals": {
      "aws:SourceVpc": "vpc-<ID>"
      }
      }
      }

      此策略明确允许 Tableau IAM 角色使用 ReplicateObject 和 ReplicateDelete,并且还从现有显式 VPC 拒绝语句中排除该角色。

    5. 单击“Save changes”(保存更改)

步骤 3.配置 Tableau Cloud

  1. 导航到您的 Tableau 站点。

  2. “设置”页面上,选择“集成”选项卡。

  3. “活动日志”部分,选择“启用”按钮。

  4. “设置连接”对话框中输入以下信息:

    1. “AWS 帐号”框中,输入 12 位的 AWS 帐号。这是与您的 Amazon S3 存储桶位置关联的 AWS 帐号。

    2. “S3 存储桶名称”框中,输入将在其中传送活动日志文件的 Amazon S3 存储桶的名称。这是您在步骤 2.创建 Amazon S3 存储桶并设置权限中创建的 Amazon S3 存储桶。这必须是根据 AWS 存储桶名称要求有效的名称。

    3. “KMS 密钥 ARN”框中,输入您在步骤 2.创建 Amazon S3 存储桶并设置权限中创建的 KMS 密钥 Amazon 资源名称 (ARN)。ARN 中的帐号必须与提供的 AWS 帐号匹配,并且格式有效(即 arn:aws:kms:<区域>:<帐户 id>:key/<密钥 id>)。

  5. 单击“提交”

    当系统尝试将文本文件复制到目标 Amazon S3 存储桶以测试连接时,连接状态列将显示“正在进行”。

    文件成功复制到目标 Amazon S3 存储桶后,连接状态列将显示“待验证”,并显示一个小部件以输入“测试文件内容”。您可能需要刷新页面才能看到更新。

验证安全文件复制

  1. 转到目标 Amazon S3 存储桶并找到以 siteLuid 开头的文件夹(名称的其余部分是站点的唯一标识符)。

  2. 找到名为 SECURITY_VERIFICATION_FILE.txt 的文本文件。

  3. 下载并打开该文本文件。

  4. 将文本内容复制到文件中:

  5. 返回“设置”页面,将文本内容粘贴到“文本文件内容”输入字段中,然后单击“提交”

  6. 如果提交的内容正确,则连接状态变为“活动”。活动日志现已启用,数据将开始复制到目标 Amazon S3 存储桶。

  7. 如果提交的内容不正确,将显示错误消息。检查内容是否正确复制,没有多余的字符或空格。

疑难解答

没有出现安全验证文件?

日志文件到达 Amazon S3 存储桶所需的其他设置

  • Amazon S3 存储桶启用了“存储桶版本控制”(在“属性”>“存储桶版本控制”下)。

  • Amazon S3 存储桶已启用“阻止所有公共访问” (在“权限”>“阻止公共访问(存储桶设置)”下)。

  • Amazon S3 存储桶仅对“存储桶所有者”具有以下 ACL 权限(在“权限”>“访问控制列表 (ACL)”下):

    • 对象:列出、写入

    • 存储桶 ACL:读取、写入

  • KMS 密钥权限策略包含步骤 2.创建 Amazon S3 存储桶并设置权限中的语句,步骤 2. i.(在“属性”>“默认加密”下,单击“AWS KMS 密钥 ARN”下的 ARN 以转到 KMS 密钥策略)。

  • Amazon S3 存储桶启用了默认加密并启用了存储桶密钥(在“属性”>“默认加密”下)。

  • Amazon S3 存储桶权限策略(在“权限” >“存储桶策略”下)与说明中的完全匹配。确保您已将示例值“S3-BUCKET-NAME”替换为您刚刚创建的 Amazon S3 存储桶。

欧洲 - 爱尔兰 Pod 上站点的 AWS 区域变更

从 2024 年 8 月到 12 月,Tableau Cloud 将按 pod 迁移到 Salesforce 的Hyperforce(链接在新窗口中打开) 。作为迁移的一部分,欧洲 - 爱尔兰区域的 pod 将迁移到欧洲 - 德国区域。如果您的站点位于欧洲 - 爱尔兰 pod,则需要重新配置活动日志以使用新区域欧洲 - 德国中的 AWS S3 存储桶。

有关迁移以及欧洲-爱尔兰 pod 何时迁移的详细信息,请参见 Tableau Cloud 迁移到 Hyperforce(链接在新窗口中打开) 知识文章。

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!