Système de gestion de clés Tableau Server
Tableau Server dispose de trois options KMS (Key Management System, ou système de gestion de clés) pour activer le cryptage au repos. L’une est une option locale disponible avec toutes les installations de Tableau Server. Les deux autres options nécessitent les capacités Advanced Management, mais vous permettent d’utiliser un KMS différent.
Important : depuis le 16 septembre 2024, Advanced Management n’est plus disponible en tant qu’option de module complémentaire indépendant. Les fonctionnalités Advanced Management ne sont disponibles que si vous aviez acheté Advanced Management précédemment ou si vous achetez des éditions de licence spécifiques, à savoir Tableau Enterprise (pour Tableau Server ou Tableau Cloud) ou bien Tableau+ (pour Tableau Cloud).
Depuis la version 2019.3, Tableau Server a ajouté ces options KMS :
- KMS local disponible avec toutes les installations. Ce système est décrit ci-dessous.
- KMS basé sur AWS qui fait partie du module Advanced Management. Pour plus de détails, consultez Système de gestion de clés AWS.
Depuis la version 2021.1, Tableau Server a ajouté une autre option KMS :
- KMS basé sur Azure qui fait partie du module Advanced Management. Pour plus de détails, consultez Azure Key Vault.
Système KMS local de Tableau Server
Le système KMS local de Tableau Server utilise la capacité de stockage secrète décrite dans Gérer les secrets de serveur pour crypter et stocker la clé d’extrait principale. Dans ce scénario, le keystore Java sert de racine à la hiérarchie des clés. Le keystore Java est installé avec Tableau Server. L’accès à la clé principale est géré via les mécanismes d’autorisation du système de fichiers natif par le système d’exploitation. Dans la configuration par défaut, le KMS local Tableau Server est utilisé pour les extraits cryptés. La hiérarchie des clés pour les KMS locaux et les extraits cryptés est illustrée ici :
Dépannage de la configuration
Configuration multinœud incorrecte
Dans une configuration multinœud pour AWS KMS, la commande tsm security kms status peut signaler un état sain (OK), même si un autre nœud du cluster est mal configuré. Le contrôle d’état de KMS ne crée des rapports que sur le nœud sur lequel le processus Contrôleur d’administration Tableau Server s’exécute, sans créer de rapports sur les autres nœuds du cluster. Par défaut, le service Contrôleur d’administration Tableau Server s’exécute sur le nœud initial du cluster.
Par conséquent, si un autre nœud est incorrectement configuré et que Tableau Server ne peut pas accéder à AWS KMS, ces nœuds peuvent signaler des états d’erreur pour divers services, qui ne démarreront pas.
Si certains services ne démarrent pas après que vous avez défini KMS sur le mode AWS, exécutez la commande suivante pour revenir au mode local : tsm security kms set-mode local.
Regénérer RMK et MEK sur Tableau Server
Pour regénérer la clé racine principale et les clés de cryptage principales sur Tableau Server, exécutez la commande tsm security regenerate-internal-tokens.