使用外部 KMS 擷取加密金鑰
許多組織需要直接控制保護其業務關鍵型資料的加密金鑰。透過採用外部金鑰管理服務 (KMS),客戶得以藉由可信賴的第三方金鑰管理供應商,持續保有對其加密金鑰的完全控制權,從而解決此問題。通過為加密密鑰提供直接控制,使用外部 KMS 可顯著增強組織的安全狀況,尤其是那些擔心未經授權訪問這些關鍵金鑰的組織。
此外,對於許多組織來說,從外部控制其加密金鑰的能力對於滿足各種法規和合規性要求至關重要。直接控制加密金鑰有助於組織維護數據主權,這對於資料存儲與存取的法律和地理注意事項非常重要。
自 2025 年 10 月起,Tableau Cloud 僅通過 Amazon Web Services (AWS) KMS 提供外部金鑰管理。
附註:外部 KMS 功能僅適用於配備Tableau+、Tableau Enterprise 或進階管理的 Tableau Cloud。
金鑰階層
使用外部 KMS 時的加密過程遵循不同的金鑰層次結構,以確保資料安全並允許客戶保持對其加密金鑰的直接控制。
使用外部 KMS 時的金鑰階層為:
- 客戶主金鑰 (CMK):CMK 是階層中的根金鑰,由客戶在 AWS KMS 中建立和控制。Tableau 中的金鑰清單是 AWS KMS 中的 CMK 清單。
- 金鑰加密的金鑰 (KEK):KEK 源自 CMK,用於加密資料加密金鑰 (DEK)。
- 資料加密金鑰 (DEK):DEK 源自 KEK,是階層中最低層級的金鑰。DEK 是直接用於加密和解密擷取的金鑰。
Tableau Cloud 中的金錀狀態
使用外部 KMS 時,Tableau 中的金鑰擁有以下狀態和功能:
- 擱置 - 已產生金鑰,但尚未使用。啟動前,不能用它寫入或讀取任何擷取。
- 使用中 - 金鑰用於寫入擷取,以及讀取它寫入的擷取。
- 已封存 - 該金鑰過去處於使用中狀態,但已被後來的金鑰取代。它不是用來寫入擷取,而是用來讀取它寫入的擷取。
- 已停用 - 金鑰處於活動狀態,然後在過去已存檔。它不用於讀取或寫入任何擷取。
狀態與功能快速參考
| 金鑰狀態 | 可以寫入/加密擷取 | 可以讀取/解密擷取 |
| 擱置 | ||
| 使用中 | ✓ | ✓ |
| 已封存 | ✓ | |
| 已停用 |
設定概述
將 AWS KMS 與 Tableau 搭配使用的摘要步驟如下:
- AWS KMS:建立客戶主金鑰 (CMK) 。
- Tableau Cloud:啟用擷取加密(或從使用 Salesforce KMS 的客戶管理的加密金鑰移轉)。
- Tableau Cloud:使用AWS KMS 中客戶主金鑰的 ARN 在 Tableau 中產生金鑰。
- AWS KMS:將 Tableau金鑰原則 JSON 新增到 AWS 客戶主金鑰的原則中。
- Tableau Cloud:啟動該金鑰。
設定詳細資訊
在 AWS KMS 中建立主金鑰
Tableau 使用的金錀加密金錀(KEK)與資料加密金鑰(DEK) 基於您在 AWS KMS(連結在新視窗開啟) 中建立的客戶主金鑰(CMK)。因此,您必須在 AWS KMS 中擁有 CMK,然後 Tableau 才能產生 KEK 和 DEK。如果需要有關在 AWS KMS 中建立金鑰的說明,請諮詢本地金鑰專業人士。
Tableau 金鑰產生對話方塊包含指向 AWS KMS(連結在新視窗開啟) 的連結。您可以在程序的該階段建立 AWS 主金鑰,也可以在 Tableau 開始金鑰產生過程前建立主金鑰。
AWS 金鑰由 Amazon 資源名稱 (ARN) 唯一識別。系統會要求您在 Tableau 金鑰產生過程中提供 CMK ARN。金鑰 ARN 的格式如下:
arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef
使用外部 KMS 啟用擷取加密
附註:啟用加密后,將無法輕鬆停用它。同樣,從客戶管理的加密金鑰(使用 Salesforce KMS)切換到外部 KMS 是永久性變更,如果沒有客戶經理的幫助,則無法復原。
要啟用外部 KMS:
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「 擷取加密 」區段下,選取「 加密擷取」。
- 選取「使用外部 KMS」。
- 若已選取「使用 Salesforce KMS」 ,則目前將使用 Salesforce KMS 的客戶管理的加密金鑰。(更多資訊參見 客戶自管加密金輪(連結在新視窗開啟)。)將設定變更為「使用外部 KMS 」將不可逆地從 Salesforce KMS 變更為外部 KMS。變更 KMS 前,請參閱從客戶管理的加密金鑰移轉到外部 KMS。
- 選取「產生金錀」。
- 如果要從 Salesforce KMS 移轉到外部 KMS,請閱讀警告,然後選取 切換到外部 KMS。
產生金鑰
您必須產生金鑰,然後啟動它以寫入加密的擷取。如果您已經有一個使用中的金鑰,則可產生另一個金鑰,作為替換當前活動金鑰的第一步。
要在 Tableau 中產生金鑰:
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「 擷取加密 」區段下,選取 「產生金鑰」。
- 如果要為站台產生第一個金鑰,則會看到「設定 AWS KMS」對話方塊。若已有使用中的金鑰,請首先繼續「產生金鑰 」確認對話方塊。
- 選取「啟動 AWS KMS」。如果尚未登入 AWS,則會提示您登入。
- 在 AWS KMS 中,建立新金鑰或尋找現有金鑰,然後複製金鑰 ARN。
- 返回 Tableau「設定AWS KMS」對話方塊,並在 AWS 金鑰 ARN 欄位中貼上金鑰 ARN。
- (可選)輸入「描述」。
- 選取「下一步 」(如果這是站台的第一個金鑰,則選取 「啟用加密」)。
- 選取「完成」以稍後在 AWS KMS 中新增金鑰原則 JSON,或立即按照使用外部 KMS 擷取加密金鑰作業。
在 AWS KMS 中新增金鑰原則 JSON 並啟動它前,金鑰不能用於讀取或寫入擷取。
在 KMS 金錀原則中新增金鑰原則 JSON
新產生的金鑰的狀態為「擱置」,在將金鑰原則 JSON 新增至 AWS KMS 原則並啟動它之前,無法用於寫入或讀取擷取。
要查看金鑰原則 JSON,請繼續產生金鑰程序。
或者,如果您沒有繼續該程序:
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「擷取加密 」區段下,選取相應「擱置 」金鑰旁邊的動作功能表 (...)。
- 選取「金錀原則」。
要將金鑰原則 JSON 新增至 AWS KMS 原則中,您需要將相關 Statement 物件從 Tableau 複製到 AWS KMS 中的原則 JSON。您只需要完整 JSON 文字的一部分。選取「複製金鑰原則」、在文字編輯器中貼上並在那裡操作 JSON 可能比在對話方塊中工作更容易。
從 JSON 文字中,複製陣列中的 Statement 物件。然後,在 AWS KMS 金鑰的原則中,按照標準 JSON 語法將複製的文字新增至陳述式陣列中。(在新增 JSON 前,可能必須在現有 AWS KMS 陳述式的末尾添加逗號。)
醒目提示的部分是要新增至 AWS KMS 原則的部分:
{
"Version": "2012-10-17",
"Id": "sfdc-key-access-policy",
"Statement": [
啟用金鑰
啟用金鑰,使用它讀取和寫入新擷取。「啟用金鑰」動作僅適用於「擱置」的金鑰。
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「擷取加密 」區段下,選取相應「擱置 」金鑰旁邊的動作功能表 (...)。
- 選取「產生金錀...」。
若已有使用中的金鑰,則啟用新金鑰會將現有金鑰的狀態變更為「已封存」。封存的金鑰僅用於讀取它寫入的擷取。該新金鑰將變為「使用中」狀態,並且將用於寫入新擷取和讀取它寫入的擷取。
附註:在站台上啟用加密並啟動第一個金鑰後,Tableau Cloud 會為站台上的每個擷取建立一個擷取加密背景作業。將這些作業的優先順序設定為最低,即它們僅在有額外資源時執行。在加密擷取之前執行現有擷取重新整理作業。
其他動作
封存金鑰
封存的金鑰可以讀取他們編寫的擷取,但不用於編寫新的擷取。封存金鑰的唯一方法是啟動新金鑰。請參閱啟用金鑰。
停用金鑰
停用封存的金鑰,使其無法用於讀取或寫入任何擷取。如果金鑰已洩露,則可能需要執行此動作。「已停用金鑰」動作僅適用於已封存 的金鑰。
停用金鑰後,不能用它讀取其寫入的擷取(與封存的金鑰相反,後者可以讀取它寫入的擷取)。這意味著,某些基於擷取的內容如果尚未使用有效金鑰進行加密,則可能會停止工作。如果需要保留對使用舊金鑰的基於擷取的內容的存取權限,請確保在停用舊金鑰前使用活動金鑰重新整理擷取。
附註:需要時可以還原已停用的金鑰。還原金鑰會將其從「已停用 」變更為 「已封存」。請參閱還原金鑰。
要停用金鑰:
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在 「擷取加密 」區段下,選取相應已封存金鑰旁邊的動作功能表 (...)。
- 選取「停用金鑰...」。
- 在文字欄位中輸入「Deactive Key」以確認您的動作。
- 選取「停用金鑰」。
還原金鑰
還原停用的金鑰,使其可用於讀取它寫入的擷取。還原金鑰動作僅適用於已停用的金鑰,並將其變更為已封存。
將金鑰還原為已封存狀態後,不會使用它寫入任何擷取。只會用它讀取其編寫的擷取。
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「擷取加密 」區段下,選取相應「已停用 」金鑰旁邊的動作功能表 (...)。
- 選取「還原金鑰...」。
- 選取「還原金鑰」。
刪除金錀
您無法刪除 Tableau Cloud 中的金鑰。金鑰只能封存(保留讀取其寫入內容的能力)或停用(既不能讀取也不能寫入)。請參閱 Tableau Cloud 中的金錀狀態。
附註:如果在 AWS KMS 中停用客戶主金鑰 (CMK),則將停止使用其衍生的 Tableau 金鑰進行加密或解密。同樣,如果從 AWS KMS 的 CMK 原則中刪除 Tableau 產生的子句,則其衍生的 Tableau 金鑰將停止工作。
參閱金鑰原則
金鑰原則對話方塊顯示用於新增到 AWS KMS 金鑰原則的金鑰原則 JSON。可以在產生金鑰程序中或之後新增金鑰原則 JSON。
有關詳情,請參閱使用外部 KMS 擷取加密金鑰。
要查看應新增至 AWS KMS 金鑰原則中的原則:
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「擷取加密 」區段下,選取適當金鑰旁邊的動作功能表 (...)。
- 選取「金錀原則」。
參閱金鑰歷程記錄
金鑰歷程記錄資料表的每一行都顯示一個事件、事件後的金鑰狀態以及事件的日期和時間。
要查看金鑰的歷史記錄,請:
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「擷取加密 」區段下,選取適當金鑰旁邊的動作功能表 (...)。
- 選取「金鑰歷程記錄」。
測試設定
對擱置的金鑰使用「測試設定 」動作來確定其是否可以啟動。對具有其他狀態的金鑰使用「測試設定 」動作以顯示其是否正常工作、應該工作或無法工作。
要測試金鑰的設定:
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「擷取加密 」區段下,選取適當金鑰旁邊的動作功能表 (...)。
- 選取「測試設定...」。
成功:
- 金鑰可用於加密擷取。如果金鑰處於擱置狀態,則可以安全地啟動。如果金鑰已處於使用中狀態,則表示它正在工作。
錯誤:
- POLICY_DENIED - 外部 KMS 沒有允許此金鑰的原則。確認已將原則從此金鑰複製到外部 KMS。
- KEY_NOT_FOUND - 找不到金鑰,或者已在 Tableau 中停用。確認 AWS KMS 金鑰 ARN 與原則。
- 未知 - 出現未知錯誤。請確保在 AWS KMS 中未停用該金鑰,然後再試一次。
附註:如果在 AWS KMS 中停用客戶主金鑰 (CMK),則將停止使用其衍生的 Tableau 金鑰進行加密或解密。同樣,如果從 AWS KMS 的 CMK 原則中刪除 Tableau 產生的子句,則其衍生的 Tableau 金鑰將停止工作。
從客戶管理的加密金鑰移轉到外部 KMS
附註:從客戶管理的加密金鑰切換到外部 KMS 是永久性變更,如果沒有客戶經理的幫助,則無法復原。
從客戶管理的加密金鑰(使用 Salesforce 的 KMS)移轉到外部 KMS 很簡單,但這是永久性的,如果沒有客戶經理的幫助,就無法復原。變更後,您將在外部 KMS 而不是 Salesforce 的 KMS 中管理金鑰。從客戶管理的加密金鑰移轉到外部 KMS 前,請確保瞭解如何在外部 KMS 中執行基本金鑰功能。
移轉後,從外部 KMS 派生的金鑰將寫入新的擷取。Salesforce KMS 金鑰將繼續讀取其寫入的擷取,直到使用基於外部 KMS 的金鑰重新整理擷取。
有關客戶管理的加密金鑰和 Salesforce KMS 的更多資訊,請參閱 客戶自管加密金輪(連結在新視窗開啟)。
要從客戶管理的加密金鑰移轉至外部 KMS:
- 登入 Tableau Cloud 站台。
- 在左側瀏覽窗格中選取「設定」
- 選取「安全」索引標籤。
- 在「擷取加密 」區段下,將選取從「使用 Salesforce KMS 」變更為「使用外部 KMS」。
- 閱讀警告,然後選取「切換到外部 KMS」。