Sistema di gestione delle chiavi AWS
Tableau Server dispone di tre opzioni del sistema di gestione delle chiavi (KMS) che consentono di abilitare la crittografia a riposo. Due di queste richiedono Advanced Management (precedentemente chiamato Server Management Add-on), mentre una locale è disponibile con tutte le installazioni di Tableau Server.
A partire dalla versione 2019.3, Tableau Server ha aggiunto queste opzioni di KMS:
- KMS locale disponibile con tutte le installazioni. Per informazioni dettagliate, consulta Sistema di gestione delle chiavi di Tableau Server.
- KMS basato su AWS, fornito come parte di Advanced Management. È descritto di seguito.
A partire dalla versione 2021.1, Tableau Server ha aggiunto un’altra opzione di KMS:
- KMS basato su Azure, fornito come parte di Advanced Management. Per informazioni dettagliate, consulta Azure Key Vault.
Con il rilascio della versione 2019.3, Tableau Server supporta il sistema di gestione delle chiavi (KMS) AWS come parte di Advanced Management.
AWS KMS per la crittografia a riposo
AWS KMS è disponibile come parte di Advanced Management in Tableau Server. Per maggiori informazioni, consulta Informazioni su Tableau Advanced Management su Tableau Server.
Se la tua organizzazione adotta la crittografia dell’estrazione dei dati inattiva, volendo puoi configurare Tableau Server per utilizzare AWS come KMS per la crittografia dell’estrazione. Per abilitare AWS KMS è necessario distribuire Tableau Server in AWS EC2. Nello scenario AWS, Tableau Server utilizza la chiave master del cliente (CMK) di AWS KMS per generare una chiave di dati AWS(Il collegamento viene aperto in una nuova finestra). Tableau Server utilizza la chiave dati di AWS come chiave master radice per tutte le estrazioni crittografate. Tuttavia, anche se configurati per AWS KMS, l’archivio delle chiavi Java nativo e il KMS locale vengono ancora utilizzati per l’archiviazione sicura dei segreti su Tableau Server. AWS KMS viene utilizzato solo per crittografare la chiave master radice per le estrazioni crittografate.
L’utilizzo di AWS per crittografare la chiave master radice offre una migliore sicurezza, in quanto la chiave master non viene archiviata sotto le stesse autorizzazioni delle estrazioni.
La gerarchia delle chiavi quando Tableau Server è configurato con AWS KMS
Configurare AWS KMS per le estrazioni crittografate di Tableau Server
Per utilizzare la chiave master del cliente (CMK) di AWS per crittografare la chiave radice nella gerarchia del KMS di Tableau Server, è necessario configurare Tableau Server come descritto in questa sezione.
Prima di iniziare, verifica di essere in possesso dei seguenti requisiti:
- Tableau Server deve essere distribuito in AWS EC2
- Tableau Server deve essere configurato con una licenza di Advanced Management. Vedi Informazioni su Tableau Advanced Management su Tableau Server.
- È necessario disporre del controllo amministrativo di una chiave master del cliente (CMK) creata nel servizio Gestione chiavi di AWS
Passaggio 1: crea una CMK e imposta i criteri delle chiavi per Tableau Server in AWS
Nel servizio AWS KMS vengono eseguite le seguenti procedure. I riferimenti sono inclusi nella documentazione di AWS.
- Crea la CMK da utilizzare per Tableau Server. Consulta la documentazione di AWS Creare una chiave(Il collegamento viene aperto in una nuova finestra).
- Aggiorna il ruolo IAM dell’istanza del server.
Tableau Server deve poter effettuare l’autenticazione con AWS KMS utilizzando il ruolo IAM dell’istanza. Il ruolo deve essere associato a un criterio. Il criterio deve fornire all’istanza le autorizzazioni per effettuare chiamate alle azioni "GenerateDataKey" e "Decrypt" sulla CMK. Consulta Ruoli IAM per Amazon EC2(Il collegamento viene aperto in una nuova finestra).
In una distribuzione multi-nodo di Tableau Server, tutti i nodi del server devono essere in esecuzione con ruoli a cui è associato questo criterio (o un criterio equivalente). Puoi assegnare lo stesso ruolo a tutti i nodi nel cluster.
- Alle impostazioni minime, la CMK deve disporre di un criterio chiave in cui
Effect
sia impostato suAllow
per consentire al ruoloPrinicpal
(il ruolo IAM associato alle istanze del server) di eseguireAction
:GenerateDataKey
eDecrypt
. Consulta Utilizzo dei criteri delle chiavi in AWS KMS(Il collegamento viene aperto in una nuova finestra).
Passaggio 2: raccogli i parametri di configurazione di AWS
È necessario disporre dell’intera stringa ARN da AWS KMS. Questa stringa si trova nella sezione "Configurazione generale" delle pagine di gestione di AWS KMS. La stringa ARN presenta questo formato: arn:aws:kms:<regione>:<account>:key/<ID_CMK>, ad esempio arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567
.
Sarà inoltre necessario specificare la regione di AWS, anch’essa inclusa nella stringa ARN. Nell’esempio in alto, la regione è us-west-2
. La regione è il luogo in cui risiede la tua istanza di KMS. Nel passaggio successivo sarà necessario specificare una regione come mostrato nella colonna Regione nella tabella Amazon API Gateway(Il collegamento viene aperto in una nuova finestra).
Passaggio 3: configura Tableau Server per AWS KMS
Esegui il comando indicato di seguito su Tableau Server. Questo comando riavvierà il server:
tsm security kms set-mode aws --aws-region "<region>" --key-arn "arn:aws:kms:<region>:<account_number>:key/<CMK_ID>"
L’opzione
--key-arn
consente di acquisire una copia diretta della stringa dall’ARN nella sezione "Configurazione generale" delle pagine di gestione di AWS KMS.Ad esempio, se l’istanza di AWS KMS è in esecuzione nella regione us-west-2, il numero di account è 867530990073 e la chiave CMK è 1abc23de-fg45-6hij-7k89-1l0mn1234567, il comando sarà il seguente:
tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"
Passaggio 4: abilita la crittografia a riposo
Consulta Crittografia dell'estrazione inattiva.
Passaggio 5: convalida l’installazione
Esegui questo comando:
tsm security kms status
Vengono restituite le seguenti informazioni:
- La stringa ARN (ID) della chiave master del cliente (CMK)
- La regione in cui si trova la CMK
- L’ID della chiave master radice (RMK) in uso. La RMK è una chiave che viene crittografata dalla CMK. Tableau Server decrittografa la CMK effettuando chiamate ad AWS KMS. L’RMK viene quindi utilizzata per crittografare/decrittografare la chiave master di estrazione (MEK). L’RMK può cambiare, ma ce ne sarà solo una alla volta.
- KMS memorizza una raccolta di chiavi master delle estrazioni (MEK). Ogni MEK ha:
- Un ID, ad esempio 8ddd70df-be67-4dbf-9c35-1f0aa2421521
- Uno stato "chiave di crittografia o decrittografia" o "chiave di sola decrittografia". Se una chiave è "di crittografia o decrittografia", Tableau Server crittograferà i nuovi dati con questa. In caso contrario, la chiave sarà usata solo per la decrittografia
- Un timestamp della creazione, ad esempio "Data di creazione: 2019-05-29T23:46:54Z."
- Prima transizione alla crittografia e alla decrittografia: un timestamp che indica quando la chiave è diventata di crittografia o decrittografia.
- Transizione a solo di decrittografia: un timestamp che indica quando la chiave è passata alla sola decrittografia.
Visualizzare i log dopo aver crittografato e decrittografato le estrazioni:
Pubblica le estrazioni sul sito, quindi procedi a crittografarle. Consulta Crittografia dell'estrazione inattiva.
Accedi alle estrazioni con Tableau Desktop o con Creazione Web su un browser (questa operazione decrittograferà le estrazioni per l’uso).
Cerca i file di log vizqlserver_node per le stringhe
AwsKmsEncryptionEnvelopeAccessor
eAwsKmsEncryptionEnvelope
. La posizione predefinita dei log è in/var/opt/tableau/tableau_server/data/tabsvc/logs/
Esempi di voci di log che indicano una configurazione riuscita includono quanto segue:
- Decrittografata la chiave RMK con ID 1abc23de-fg45-6hij-7k89-1l0mn1234567 utilizzando la CMK con ARN arn:aws:kms:kms:us-west-2:867530990073:key/1234567d-a6ba-451b-adf6-3179911b760f
- Utilizzo dell’RMK con ID 1abc23de-fg45-6hij-7k89-1l0mn1234567 per decrittografare l’archivio KMS
Per la pubblicazione e gli aggiornamenti delle estrazioni relativi a KMS, cerca i log del processo di selezione background. Per ulteriori informazioni sui log, consulta Log di Tableau Server e percorsi dei file di log.
Risoluzione dei problemi di configurazione
Configurazione multi-nodo errata
In una configurazione multi-nodo per AWS KMS, il comando tsm security kms status
può riportare uno stato di integrità (OK) anche se un altro nodo del cluster non è configurato correttamente. Il controllo dello stato di KMS riporta solo gli eventi sul nodo in cui è in esecuzione il processo controller di amministrazione di Tableau Server e non sugli altri nodi nel cluster. Per impostazione predefinita, il processo controller di amministrazione di Tableau Server viene eseguito sul nodo iniziale nel cluster.
Pertanto, se un altro nodo è configurato in modo errato e impedisce a Tableau Server di accedere alla CMK di AWS, questi nodi potrebbero riportare stati di errore per vari servizi che non riusciranno ad avviarsi.
Se alcuni servizi non si avviano dopo aver impostato KMS in modalità AWS, esegui il seguente comando per tornare alla modalità locale: tsm security kms set-mode local
.
Aggiornare la CMK di AWS
L’aggiornamento della CMK di AWS è un’operazione che si esegue con AWS. Per impostazione predefinita, la CMK di AWS viene aggiornata una volta all’anno. Consulta la sezione di AWS Come funziona la rotazione automatica delle chiavi(Il collegamento viene aperto in una nuova finestra). Poiché la stringa ARN e la regione non cambiano, non è necessario aggiornare la configurazione di KMS su Tableau Server per i normali scenari di aggiornamento della CMK.
Dopo l’aggiornamento della CMK di AWS è necessario rigenerare le chiavi RMK e MEK su Tableau Server. È inoltre necessario crittografare nuovamente tutte le estrazioni con la nuova CMK:
- Esegui il comando
tsm security regenerate-internal-tokens
per rigenerare tutte le chiavi interne in Tableau Server, comprese RMK e MEK utilizzate per la crittografia delle estrazioni. - Esegui
tabcmd reencryptextracts <site-name>
per crittografare nuovamente le estrazioni su un sito specifico. Esegui questo comando su ogni sito in cui sono presenti estrazioni crittografate archiviate. A seconda del numero di estrazioni crittografate sul sito, questa operazione potrebbe consumare un notevole carico di elaborazione del server. Considera l’esecuzione di questa operazione al di fuori del normale orario di lavoro. Consulta Crittografia dell'estrazione inattiva.
Rigenerare le chiavi RMK e MEK su Tableau Server
Per rigenerare la chiave master radice e le chiavi master di crittografia su Tableau Server, esegui il comando tsm security regenerate-internal-tokens
.
Backup e ripristino con AWS KMS
Un backup del server può essere effettuato in modalità AWS senza configurazioni o procedure aggiuntive. Il backup contiene copie crittografate delle chiavi RMK e MEK. La decrittografia delle chiavi richiede l’accesso e il controllo della CMK di AWS.
Per lo scenario di ripristino, il server da ripristinare può essere in modalità KMS, inclusa quella locale. L’unico requisito è che il server su cui viene ripristinato il backup abbia decrittografato l’accesso alla CMK e il backup stesso utilizzato.
Al momento del ripristino, le chiavi MEK dal backup vengono importate come chiavi di sola decrittografia. La chiave RMK non viene migrata. Viene generata una nuova chiave RMK come parte del processo di installazione/ripristino.