Tableau Server-Schlüsselverwaltungssystem
Tableau Server verfügt über drei Schlüsselverwaltungsoptionen, mit denen Sie die Verschlüsselung im Ruhezustand aktivieren können. Eine ist eine lokale Option, die bei allen Installationen von Tableau Server verfügbar ist. Für zwei zusätzliche Optionen ist das Advanced Management (zuvor das Server Management Add-on) erforderlich. Sie können jedoch ein anderes Schlüsselverwaltungssystem verwenden.
Ab Version 2019.3 verfügt Tableau Server über die folgenden Schlüsselverwaltungsoptionen:
- Eine lokale Schlüsselverwaltungsoption, das für alle Installationen verfügbar ist. Dies wird im Folgenden beschrieben.
- Ein AWS-basiertes Schlüsselverwaltungssystem, das als Teil des Advanced Management verwendet wird. Weitere Informationen finden Sie unter AWS-Schlüsselverwaltungssystem (KMS).
Ab Version 2021.1 verfügt Tableau Server über eine weitere Schlüsselverwaltungsoption:
- Ein Azure-basiertes Schlüsselverwaltungssystem, das als Teil des Advanced Management verwendet wird. Weitere Informationen finden Sie unter Azure Key Vault.
Tableau Server lokales KMS
Der lokale KMS von Tableau Server verwendet die in Verwalten von Servergeheimnissen beschriebene Speicherfunktion für Geheimnisse, um den primären Extraktschlüssel (Master Extract Key, MEK) zu verschlüsseln und zu speichern. In diesem Szenario dient der Java-Schlüsselspeicher als Wurzel der Schlüsselhierarchie. Der Java Keystore wird mit Tableau Server installiert. Der Zugriff auf den primären Schlüssel wird durch native Autorisierungsmechanismen des Dateisystems von dem Betriebssystem verwaltet. In der Standardkonfiguration wird das lokale KMS von Tableau Server für verschlüsselte Extrakte verwendet. Die Schlüsselhierarchie für lokale KMS und verschlüsselte Extrakte ist hier dargestellt:
Fehlerbehebung bei der Konfiguration
Multi-Node Fehlkonfiguration
In einem Multi-Kern-Setup für AWS KMS kann der tsm security kms status
Befehl einen gesunden (OK-)Status melden, auch wenn ein anderer Knoten im Cluster falsch konfiguriert ist. Die KMS-Statusprüfung meldet nur den Knoten, auf dem der Prozess "Tableau Server Administration Controller" läuft, und nicht die anderen Knoten im Cluster. Standardmäßig läuft der Prozess "Tableau Server Administration Controller" auf dem Anfangsknoten im Cluster.
Wenn also ein anderer Knoten so falsch konfiguriert ist, dass Tableau Server nicht auf AWS CMK zugreifen kann, können diese Knoten Fehlerzustände für verschiedene Dienste melden, die nicht starten können.
Wenn einige Dienste nicht starten können, nachdem Sie KMS auf den AWS-Modus eingestellt haben, führen Sie den folgenden Befehl aus, um in den lokalen Modus zurückzukehren: tsm security kms set-mode local
.
RMK und MEK in Tableau Server neu generieren
Um den primären Root-Schlüssel (RMK) und die primären Verschlüsselungsschlüssel (MEK) in Tableau Server erneut zu generieren, führen Sie den Befehl tsm security regenerate-internal-tokens
aus.