Hyperforce への移行に伴う Tableau Cloud アクティビティ ログの変更

メンテナンス開始日までに必要な対応

Hyperforce への移行後も AWS S3 バケットへのアクティビティ ログ データのレプリケーションが中断しないよう、以下の変更点を確認してください。これらの変更は、下の表に記載されているメンテナンス開始予定日までに完了させる必要があります。

• AWS S3 ポリシーの変更
  お客様は S3 バケットのポリシーを更新して、新しい Hyperforce Identity and Access Management (IAM) ロールがアクティビティ ログ データをバケットに書き込めるようにする必要があります。サービス継続性を確保するため、メンテナンスが完了するまでは、旧ロールへのアクセスを許可する既存のポリシーはそのまま残してください。新しい IAM ロールはリージョン固有になりました。詳細は以下の表を参照してください。このドキュメントの末尾に参考用の例があります。
  
  

  • VPC を使用して S3 バケットへのアクセスを制限している場合は、以下の IAM ロールによるリクエストが拒否されないように、S3 ポリシーも併せて更新してください。このドキュメントの末尾に参考用の例があります。
    

• AWS KMS ポリシーの変更
  S3 レプリケーションを有効にしていて、ターゲット S3 バケット内のオブジェクトを暗号化しているお客様は、新しい Hyperforce IAM ロールがバケット内でアクティビティ ログ データを引き続き受信できるよう、使用している KMS キーのポリシーも更新する必要があります。S3 ポリシーと同様に、メンテナンスが完了するまでは古いロールを削除しないでください。

メンテナンス ウィンドウ終了後に必要な対応

移行期間が終了したら以下の対応を実施して、すべての機能が正しく動作し、新しいフォルダー構造やイベントプロパティに対応できる状態にしてください。

• アクティビティ ログの再有効化
  メンテナンス後は、サイトの設定ページでアクティビティ ログが無効になります。 こちらに記載されている手順に従って、再度有効化されていることを確認してください。AWS S3 バケットの詳細情報を再入力する必要があります。

• イベント ファイル配信の確認
  サイト設定でアクティビティ ログを再有効化した後、Tableau Cloud サイトで複数の操作 (ログイン、ダッシュボードへのアクセス、公開、ログアウトなど) を実行し、S3 バケットの適切なフォルダーに新しいイベント ファイルが配信されていることを確認してください。イベントが反映されるまで十分な時間を確保するため、15 分ほど待ってください。

その他の重要な変更点

Tableau Cloud のアクティビティ ログ データの Hyperforce への移行後に発生する以下の変更点を慎重に確認し、このデータに関連する連携やユースケースが引き続き機能することを確認してください。

• メンテナンス中のデータギャップ - メンテナンス ウィンドウの開始から、メンテナンス終了後にアクティビティ ログを再有効化するまでの間、S3 バケットに書き込まれるイベント ログに欠落 (監査上の空白) が生じる可能性があります。必要に応じて、不足分のログは新しい REST API エンドポイントを使用してダウンロードし、S3 バケットにコピーすることで復元できます。

• フォルダー構造の変更
  サイトレベルのイベント用 S3 バケット内のファイル構成が変更されます。以下に、お客様の S3 バケットに複製される新旧の構造を比較して示します。このデータを取り込むシステムによっては、継続性を確保するため、事前にマッピングの見直しが必要になる場合があります。

• 新しいイベント プロパティ - 新規に書き込まれるすべてのアクティビティ ログのイベントに、新しい eventProcessedTime プロパティが追加されます。これは、イベント レコードが外部で利用可能になったおおよそのタイムスタンプを表します。必要に応じて、このデータを取り込むシステムを更新し、この新しいプロパティに対応してください。

変更の実施スケジュール

以下の表は、Tableau Cloud のアクティビティ ログ データについて、ポッドおよびリージョンごとの Hyperforce 移行スケジュールと、各リージョンで使用する新しい IAM ロールを示しています。最新情報 (予期しないスケジュール変更を含む) を把握できるように、このナレッジ記事をブックマークし、定期的にチェックしてください。

移行の開始から完了までの所要時間

Tableau Cloud のアクティビティ ログ機能の移行は、上の表に記載されている該当リージョンの移行期間開始時刻から 6 時間以内に完了する見込みです。

詳細情報の入手方法

不明な点がある場合や追加のサポートが必要な場合は、Salesforce ヘルプからサポートケースを登録してください。

S3 ポリシーと KMS ポリシーの変更例

Tableau Cloud ヘルプ ページの「アクティビティ ログの設定」を参照すると、KMS キーおよび S3 バケットのポリシーに、IAM ロールがファイルをバケットに複製できるようにするための、次のような行があることが確認できます。

"Principal": {

"AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

},

変更に対応するため、上の表を参照して該当リージョンの新しい IAM ロール (例: Hyperforce リージョン us-west-2 の場合は arn:aws:iam::675003682462:role/prod-replication-rule-role) を特定し、以下のようにポリシーに追加してください。

"Principal": {[

"AWS":["arn:aws:iam::061095916136:role/prod-replication-rule-role",

"arn:aws:iam::675003682462:role/prod-replication-rule-role"]}

メンテナンスが完了し、すべての機能が正常に動作することを確認した後、古い IAM ロールを削除してください。

S3 での VPC ポリシー変更例:

Tableau Cloud のアクティビティ ログの設定に関するヘルプ ページを参照すると、S3 バケットに設定されている既存の VPC ポリシーはおおむね以下のような内容です。

{

  "Sid":"Restricted VPC Access",

  "Effect":"Deny",

  "Principal": "*",

  "Action": "s3:",

  "Resource": [

    "arn:aws:s3:::",

    "arn:aws:s3:::/*"

  ],

  "Condition": {

    "StringNotLike": {

      "aws:userId": [

        "AROAQ4OMZWJUBZG3DRFW5:*"

      ]

    },

    "StringNotEquals": {

      "aws:SourceVpc": "vpc-"

    }

  }

}

メンテナンス ウィンドウの開始までに、該当リージョンの Hyperforce IAM ロールがこのポリシーの条件に含まれるよう、以下のように追加してください。

{

  "Sid":"Restricted VPC Access",

  "Effect":"Deny",

  "Principal": "*",

  "Action": "s3:",

  "Resource": [

    "arn:aws:s3:::",

    "arn:aws:s3:::/*"

  ],

  "Condition": {

    "StringNotLike": {

      "aws:userId": [

        "AROAQ4OMZWJUBZG3DRFW5:*"

      ]

    },

    "ArnNotLike": {

      "aws:PrincipalArn": "arn:aws:iam:::role/"

    },

    "StringNotEquals": {

      "aws:SourceVpc": "vpc-"

    }

  }

}

前述した他のポリシー変更と同様に、旧 AWS ユーザーからのアクセスを許可していた古い「aws:userId」ステートメントは、メンテナンス ウィンドウが終了し、すべての機能が正常に動作していることを確認した後に削除してください。