Sistema de administración de claves de Tableau Server

Tableau Server tiene tres opciones del sistema de administración de claves (KMS) que le permiten habilitar el cifrado en reposo. Una es una opción local que está disponible con todas las instalaciones de Tableau Server. Dos opciones adicionales requieren capacidades de Advanced Management, pero le permiten usar un KMS diferente.

Importante: A partir del 16 de septiembre de 2024, Advanced Management ya no está disponible como opción complementaria independiente. Las capacidades de Advanced Management solo están disponibles si compró previamente Advanced Managemet o si compra ciertas ediciones con licencia: Tableau Enterprise (para Tableau Server o Tableau Cloud) o Tableau+ (para Tableau Cloud).

A partir de la versión 2019.3, Tableau Server añadió estas opciones de KMS: 

  • Un KMS local que está disponible con todas las instalaciones. Esto se describe a continuación.
  • Un KMS basado en AWS incluido como parte de Advanced Management. Para obtener más información, consulte Sistema de administración de claves de AWS.

A partir de la versión 2021.1, Tableau Server agregó otra opción de KMS: 

  • Un KMS basado en Azure que viene como parte de Advanced Management. Para obtener más información, consulte Azure Key Vault.

KMS local de Tableau Server

El KMS local de Tableau Server utiliza la capacidad de almacenamiento de secretos descrita en Administrar secretos del servidor para cifrar y almacenar la clave maestra de extracción. En esta situación, el almacén de claves de Java sirve como raíz de la jerarquía de claves. El almacén de claves de Java se instala con Tableau Server. El acceso a la clave maestra lo administra el sistema operativo mediante mecanismos de autorización del sistema de archivos nativo. En la configuración predeterminada se utiliza el KMS local de Tableau Server para las extracciones cifradas. Aquí se ilustra la jerarquía de claves para el KMS local y las extracciones cifradas:

Solución de problemas de configuración

Error de configuración multinodo

En una configuración multinodo para AWS KMS tsm security kms status, el comando puede comunicar un estado correcto (OK) aunque otro nodo en el clúster esté mal configurado. La comprobación de estado de KMS solo informa sobre el nodo en el que se ejecuta el proceso del controlador de administración de Tableau Server, no sobre los demás nodos del clúster. De forma predeterminada, el proceso del controlador de administración de Tableau Server se ejecuta en el nodo inicial del clúster.

Por lo tanto, si otro nodo está mal configurado de tal manera que Tableau Server no pueda acceder al AWS CMK, esos nodos pueden comunicar estados de Error en varios servicios (que no se podrán iniciar).

Si algunos servicios no logran iniciarse después de configurar KMS en el modo AWS, ejecute el siguiente comando para volver al modo local: tsm security kms set-mode local.

Regenerar RMK y MEK en Tableau Server

Para regenerar la clave maestra raíz y las claves maestras de cifrado en Tableau Server, ejecute el comando tsm security regenerate-internal-tokens.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!