Tableau Server には、保存中の暗号化を有効にできるキー管理システム (KMS) のオプションが 3 つあります。1 つは、Tableau Server のすべてのインストールで使用できるローカル オプションです。2 つの追加オプションには、Server Management アドオンが必要ですが、別の KMS を使用できます。

バージョン 2019.3 以降、Tableau Server では次の KMS オプションが追加されました。 

  • すべてのインストールで使用できるローカル KMS。 これについては以下で説明します。
  • Server Management add-on の一部として提供される AWS ベースの KMS詳細については、「AWS キー管理システム」を参照してください。

バージョン 2021.1 以降、Tableau Server では次の KMS オプションが追加されました。 

  • Server Management のアドオンの一部として提供される Azure ベースの KMS。詳細については、Azure キー コンテナを参照してください。

Tableau Server のローカル KMS

Tableau Server のローカル KMS は、サーバー シークレットの管理で説明されているシークレット保存機能を使用してマスター抽出キーの暗号化と保存を行います。このシナリオで、Java キーストアはキー階層のルートとして機能します。Java キーストアは Tableau Server と共にインストールされます。マスター キーへのアクセスは、オペレーティング システムのネイティブ ファイル システム認可メカニズムによって管理されます。既定の構成では、暗号化された抽出には Tableau Server のローカル KMS が使用されます。ローカル KMS と暗号化された抽出のキー階層は次のとおりです。

構成のトラブルシューティング

マルチノードの構成ミス

AWS KMS のマルチノード セットアップでは、クラスタ内の別のノードが正しく構成されていなくても、tsm security kms status コマンドから正常 (OK) ステータスが返される場合があります。KMS のステータス チェックでは、Tableau Server 管理コントローラー プロセスが実行されているノードだけが報告され、クラスタ内の他のノードは報告されません。既定では、Tableau Server 管理コントローラー プロセスは、クラスタ内の最初のノードで実行されます。

したがって、他のノードが誤って構成されているために Tableau Server が AWS CMK にアクセスできない場合、これらのノードではさまざまなサービスについてエラー状態が報告され、起動が失敗します。

KMS を AWS モードに設定した後で一部のサービスが起動に失敗する場合は、コマンド tsm security kms set-mode local を実行してローカル モードに戻します。

Tableau Server で RMK と MEK を再生成する

Tableau Server でルート マスター キーとマスター暗号化キーを再生成するには、tsm security regenerate-internal-tokens コマンドを実行します。

ありがとうございます!