設定活動記錄

活動記錄包含 Tableau 部署的詳細事件,可用於合規性、監控和稽核。必須完成以下步驟方可使用活動記錄。

必要條件

必須滿足以下條件方可使用活動記錄:

  • 配備 Advanced Management 的 Tableau Cloud

  • Amazon Web Services (AWS) 帳戶

    • 需要自己的 AWS 帳戶來完成這些步驟。
    • 還需要在下面的第 3 步中提供 Tableau AWS 帳號 (061095916136),以便在 Amazon Simple Storage Service (S3) 貯體中接收活動記錄檔。
  • 用於接收資料的 Amazon Simple Storage Service (S3) 貯體

  • 設定過程中建立的 Amazon S3 貯體的 AWS Key Management Service (KMS) 單一區域金鑰。

步驟 1.建立 AWS 帳戶

如果還沒有 Amazon Web Services (AWS) 帳戶,則可以在 AWS 網站上註冊 AWS 帳戶(連結在新視窗開啟)

步驟 2.建立 Amazon S3 貯體並設定權限

  1. 建立 Amazon S3 貯體接收您的記錄資料。更多資訊請參閱 AWS 網站上的 建立貯體(連結在新視窗開啟)

  2. 使用以下設定配置 Amazon S3 貯體:

    1. 「物件擁有者」下選取「停用的 ACL」 (推薦)。這可確保貯體擁有者是寫入其中的所有物件的擁有者。

    2. 「貯體版本設定」下選取「啟用」。必須啟用貯體版本設定才能複制物件。

    3. 「預設加密」下選取「啟用」

    4. 選擇「AWS 金鑰管理服務 (SSE-KMS)」

    5. 選擇「輸入 AWS KMS 金鑰 ARN」

    6. 按一下出現的「建立金輪」按鈕建立新的 AWS 金輪管理服務 (KMS) 金鑰。

      附註:不支援 KMS 多區域金鑰。

    7. 選取「對稱金輪」類型和「加密和解密金輪」 用法。

    8. 使用別名命名密鑰,然後單擊直到「檢閱」頁面。

    9. 將以下陳述式新增至金鑰原則內的「陳述式清單」中,以授予 Tableau 存取權限,加密 S3 貯體中的物件。

      附註:Tableau IAM 角色可以使用此陳述式加密放置在 Amazon S3 貯體中的物件。「kms:GenerateDataKey」用於生成資料金輪以加密物件副本。「kms:Encrypt」用於加密在目標 S3 貯體中建立的物件副本。「資源」:「*」僅將 KMS 金鑰的權限授予複製角色,不允許角色提升其權限。更多資訊請參閱 AWS 網站上的透過 AWS 金輪管理服務 (SSE-KMS) 使用服務器端加密保護資料(連結在新視窗開啟)

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. 按一下「完成」建立 KMS 金鑰。

    11. 按一下「建立貯體」建立 Amazon S3 貯體。

  3. 更新 Amazon S3 貯體原則的權限。

    1. 開啟 Amazon S3 貯體並按一下「權限」索引標籤。

    2. 找到「貯體原則」區段,然後按一下「編輯」

    3. 將以下內容新增至貯體原則的「陳述式清單」中。使用貯體名稱替換 S3-BUCKET-NAME

      附註:Tableau IAM 角色可使用此陳述式將物件複製到貯體中。使用「*」和「<path> /*」分別授予對指定貯體中的所有前綴和貯體中路徑的存取權限。「s3:ReplicateObject」和「s3:ReplicateDelete」權限是成功複製物件和刪除標記所需的最低權限。請參閱 AWS 網站上的在源貯體和目標貯體由不同 AWS 帳戶擁有時授予權限(連結在新視窗開啟)

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. 可選。如果您的目標貯體含限制透過 Amazon Virtual Private Cloud (VPC) 端點存取的原則,則除了剛剛新增的 TableauS3ReplicationRoleAccess 外,還必須變更貯體原則。更多資訊,請參閱 AWS 網站中的如何使用特定 VPC 終端節點或 IP 地址限制對我的 Amazon S3 貯體存取?(連結在新視窗開啟)

      如果當前貯體原則包含這樣的 VPC 限制:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      然後編輯「條件」清單以包括以下內容:

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      附註:如果是 Tableau IAM 角色,則必須使用 "AROAQ4OMZWJUBZG3DRFW5" RoleId。

      編輯後的原則如下所示:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      此原則明確允許 Tableau IAM 角色使用 ReplicateObject 和 ReplicateDelete,並且還從現有的顯式 VPC 拒絕陳述式中排除該角色。

    6. 按一下「儲存變更」

步驟 3.設定 Tableau Cloud

  1. 巡覽至您的 Tableau 站台。

  2. 「設定」頁面中選取「整合」索引標籤。

  3. 「活動記錄」區段選取「啟用」按鈕。

  4. 「設定連線」對話方塊中輸入以下資訊:

    1. 「AWS 帳號」方塊中輸入您的 12 位的 AWS 帳號。這是與您的 Amazon S3 貯體位置關聯的 AWS 帳號。

    2. 「S3 貯體名稱」方塊中,輸入存儲活動記錄襠的 Amazon S3 貯體名稱。這是您在步驟 2.建立 Amazon S3 貯體並設定權限 中建立的 Amazon S3 貯體。步驟 2.建立 Amazon S3 貯體並設定權限。這必須是滿足 AWS 貯體名稱要求的有效名稱。

    3. 「KMS 金鑰 ARN」方塊中,輸入您在步驟 2.建立 Amazon S3 貯體並設定權限中建立的 KMS 金鑰 Amazon 資源名稱 (ARN)。步驟 2.建立 Amazon S3 貯體並設定權限。ARN 中的帳號必須與所提供之 AWS 帳號匹配,並且格式有效(即 arn:aws:kms:<region>:<account-id>:key/<key-id>)。

  5. 按一下「提交」

    系統嘗試將文本檔案複製到目標 Amazon S3 貯體以測試連線時,連線狀態欄將顯示「進行中」。

    將檔案成功複製到目標 Amazon S3 貯體後,連線狀態欄將顯示為「擱置驗證」狀態,並顯示一個小工具以輸入「測試文件內容」。您可能需要重新整理頁面才能看到更新。

驗證安全性檔案複寫

  1. 移至目標 Amazon S3 貯體,找到以 siteLuid 開頭的資料夾(名稱的其餘部分是站台的唯一識別碼)。

  2. 找到名為 SECURITY_VERIFICATION_FILE.txt 的文字檔。

  3. 下載並開啟該文字檔。

  4. 複製該檔案的文本內容。

  5. 返回「設定」頁面,在「文字檔內容」輸入欄位貼上該文字內容,然後按一下「提交」

  6. 如果提交的內容正確,則連線狀態會變更為「使用中」 。現已啟用活動記錄,資料將開始複寫到目標 Amazon S3 貯體。

  7. 如果提交的內容不正確,將顯示錯誤消息。檢查內容是否正確複製,沒有多餘的字元或空格。

疑難排解

沒有出現安全性驗證檔案?

要求記錄檔到達 Amazon S3 貯體所需的其他設定

  • Amazon S3 貯體啟用了貯體版本控制(在屬性 > 貯體版本設定下)。

  • Amazon S3 貯體已啟用「封鎖全部公用存取」 (在權限 > 封鎖全部公用存取(貯體設定)下)。

  • Amazon S3 貯體僅對“貯體所有者”具有以下 ACL 權限(在權限>存取控制清單 (ACL ) 下):

    • 對象:List,Write

    • 貯體 ACL:Read,Write

  • KMS 密鑰權限原則包含步驟 2.建立 Amazon S3 貯體並設定權限,步驟 2.i。 (在屬性 > 預設加密中按一下AWS KMS Key ARN下的 ARN 以轉到 KMS 金輪原則)。

  • Amazon S3 貯體啟用了預設加密,並啟用了貯體金輪(在「屬性」>「預設加密」下)。

  • Amazon S3 貯體權限原則(在「權限 > 貯體原則」下)與說明中的完全匹配。確保已使用剛剛建立的 Amazon S3 貯體取代示例值「S3-BUCKET-NAME」。

歐洲 - 愛爾蘭 Pod 上站台的 AWS 區域變更

從 2024 年 8 月到 12 月,Tableau Cloud 將透過 Pod 移轉到 Salesforce 的 Hyperforce(連結在新視窗開啟)。作為移轉的一部分,歐洲 - 愛爾蘭地區的 Pod 正在移轉到歐洲 - 德國地區。若您的站台駐留在歐洲 - 愛爾蘭 Pod 上,需要重新設定活動記錄檔,以使用新區域(歐洲 - 德國)中的 AWS S3 儲存貯體。

有關移轉以及歐洲 - 愛爾蘭 Pod 何時移轉的詳細資訊,請參閱 Tableau Cloud 移轉到 Hyperforce(連結在新視窗開啟) Knowledge 文章。