客户管理的加密密钥允许您使用客户管理的站点特定密钥加密站点数据提取,从而为您提供额外的安全性。Salesforce 密钥管理系统 (KMS) 实例为在站点上启用加密的任何人存储默认的站点特定加密密钥。

加密过程

加密过程遵循密钥层次结构。首先,Tableau Cloud 对数据提取进行加密。接着,Tableau Cloud KMS 检查其密钥缓存以查找合适的数据密钥。如果未找到密钥,则由 KMS GenerateDataKey API 使用与该密钥关联的密钥策略授予的权限生成一个。AWS KMS 使用 CMK 生成数据密钥,并将明文副本和加密副本返回到 Tableau CloudTableau Cloud 使用数据密钥的明文副本对数据进行加密,并将密钥的加密副本与加密数据一起存储。

启用加密

启用加密后,Tableau Cloud 将为您站点上的每个数据提取创建一个作业以进行加密。这些作业的优先级最低。任何先前设置的数据提取作业在加密的数据提取作业之前运行。当有额外资源时,这些作业无需刷新即可对所有数据提取运行加密。

若要启用加密,请完成以下步骤。
  1. 选择“常规”选项卡。
  2. “数据提取加密”下,选中“启用数据提取刷新加密”旁边的复选框。
  3. 阅读确认消息并选择“确定”继续。
  4. 选择“保存”。将出现一条确认消息或错误消息。

注意:若要关闭数据提取加密,请联系您的客户经理。

创建密钥

创建密钥会替换并归档当前密钥。新密钥用于加密您站点上的所有未来数据提取。您可以通过下载日志来查看之前密钥的详细信息。

注意:您的密钥与您的 Tableau Cloud 区域相关联。

若要创建密钥,请完成以下步骤。
  1. 选择“常规”选项卡。
  2. “数据提取加密”下的“操作”中,选择“创建密钥”
  3. 选择“创建密钥”“取消”。将出现一条确认消息。

生成和轮换密钥

您可以按公司的计划轮换密钥以提高安全性。轮换密钥会在原始密钥的基础上创建一个新密钥。

注意:如果刷新率较长或数据提取未刷新,则使用最后一个活动密钥而不是新密钥对数据提取进行加密。

若要轮换密钥,请完成以下步骤。
  1. 选择“常规”选项卡。
  2. “数据提取加密”下的“操作”中,选择“生成并轮换密钥”
  3. 选择“生成并轮换密钥”或“取消”。将出现一条确认消息。

禁用加密

您可以联系您的客户经理关闭加密。如果您的 Advanced Management 许可证处于非活动状态,您的数据提取将保持解密状态,直到重新激活。

删除密钥(不可恢复的数据提取)

警告:如果删除密钥,则无法重新访问数据提取。

只有在发生严重的安全事件时才删除密钥。删除密钥后,您将无法访问数据提取。与已删除密钥相关的任何数据提取都将永久不可用。

注意:如果您想禁用加密并保留您的密钥,请参见“禁用加密”。

若要删除密钥,请完成以下步骤。
  1. 选择“常规”选项卡。
  2. “数据提取加密”下的“操作”中,选择“删除”
  3. 在文本字段中,输入“删除密钥”

警告:删除密钥后,您将无法访问数据提取。只有在发生严重的安全事件时才删除密钥。

4.选择“删除加密密钥”“取消”。将出现一条确认或错误消息。

审核日志

您可以下载审核日志以查看对您的密钥执行的操作,包括创建、轮换、删除、解密和下载日志。审核日志还包括以下信息。

  • 日期和时间
  • 事件类型
  • 成功或失败
  • 进行调用的服务的认证身份
  • 用户
  • 密钥名称

常见问题 (FAQ)

问:

如果我不续订 Advanced Management 许可证会怎样?

答:

如果您不续订 Advanced Management 许可证,客户管理的加密密钥功能会自动更改为禁用状态。

问:

如果我不再是 Tableau Cloud 客户,我的关键数据会发生什么情况?

答:

根据 Tableau Cloud 数据策略,在删除您的关键数据之前有 90 天的等待期。

问:

如果我搬到另一个 Tableau Cloud 区域会发生什么?

答:

关键数据位于与您的 Tableau Cloud pod 位于相同区域的 Salesforce (KMS) 实例中。如果您想搬到另一个区域,您必须先关闭该功能并运行您的数据提取。

感谢您的反馈!