客户管理的加密密钥
客户管理的加密密钥允许您使用客户管理的站点特定密钥加密站点数据提取,从而为您提供额外的安全性。Salesforce Key Management System (KMS) 实例为在站点上启用加密的任何人存储特定于站点的默认加密密钥。
若要使用外部密钥管理系统而不是 Salesforce 的系统,请参见为数据提取加密密钥使用外部 KMS。
加密过程
加密过程遵循密钥层次结构。首先,Tableau Cloud 对数据提取进行加密。接着,Tableau Cloud KMS 检查其密钥缓存以查找合适的数据密钥。如果未找到密钥,则由 KMS GenerateDataKey API 使用与该密钥关联的密钥策略授予的权限生成一个密钥。KMS 使用 CMK 生成数据密钥,并将明文副本和加密副本返回到 Tableau Cloud。Tableau Cloud 使用数据密钥的明文副本对数据进行加密,并将密钥的加密副本与加密数据一起存储。
启用加密
启用加密后,Tableau Cloud 将为您站点上的每个数据提取创建一个作业以进行加密。这些作业的优先级最低。任何先前设置的数据提取作业在加密的数据提取作业之前运行。当有额外资源时,这些作业无需刷新即可对所有数据提取运行加密。
若要启用加密,请完成以下步骤。
- 登录到您的 Tableau Cloud 站点。
- 在左侧导航窗格中选择“设置”
- 选择“安全”选项卡。
- 在“数据提取加密”部分下,选择“加密数据提取”。
- 选择“使用 Salesforce KMS”。
- 阅读有关启用加密的警告,然后选择“启用加密”。
注意:若要关闭数据提取加密,请联系您的客户经理。
生成和轮换密钥
您可以按公司的计划轮换密钥以提高安全性。轮换密钥会在原始密钥的基础上创建一个密钥。
注意:如果刷新率较长或数据提取未刷新,则使用最后一个活动密钥而不是新密钥对数据提取进行加密。
若要轮换密钥,请完成以下步骤。
- 选择“安全”选项卡。
- 在“数据提取加密”下,选择“生成密钥”。
禁用加密
您可以联系您的客户经理关闭加密。如果您的 Advanced Management 许可证处于非活动状态,您的数据提取将保持解密状态,直到重新激活。
删除密钥(不可恢复的数据提取)
警告:如果删除密钥,则无法重新访问数据提取。
只有在发生严重的安全事件时才删除密钥。删除密钥后,您将无法访问数据提取。与已删除密钥相关的任何数据提取都将永久不可用。
注意:如果您想禁用加密并保留您的密钥,请参见“禁用加密”。
若要删除密钥,请完成以下步骤。
- 选择“安全”选项卡。
- 在“数据提取加密”下的“操作”中,选择“删除密钥...”。
- 在文本字段中,输入“删除密钥”。
警告:删除密钥后,您将无法访问数据提取。只有在发生严重的安全事件时才删除密钥。
- 选择“删除密钥”或“取消”。
审核日志
您可以下载审核日志以查看对您的密钥执行的操作,包括创建、轮换、删除、解密和下载日志。审核日志还包括以下信息。
- 日期和时间
- 事件类型
- 成功或失败
- 进行调用的服务的认证身份
- 用户
- 密钥名称
常见问题 (FAQ)
问:
如果我不续订 Advanced Management 许可证会怎样?
答:
如果您不续订 Advanced Management 许可证,客户管理的加密密钥功能会自动更改为禁用状态。
问:
如果我不再是 Tableau Cloud 客户,我的关键数据会发生什么情况?
答:
根据 Tableau Cloud 数据策略,在删除您的关键数据之前有 90 天的等待期。
问:
如果我搬到另一个 Tableau Cloud 区域会发生什么?
答:
关键数据位于与您的 Tableau Cloud pod 位于相同区域的 Salesforce (KMS) 实例中。如果您想搬到另一个区域,您必须先关闭该功能并运行您的数据提取。