Azure キーコンテナ

Tableau Server には、保存中の暗号化を有効にできるキー管理システム (KMS) のオプションが 3 つあります。このうちの 2 つは Advanced Management (旧称 Server Management Add-on) を必要とし、ローカルの 1 つは Tableau Server のすべてのインストールで使用できます。

バージョン 2019.3 以降、Tableau Server では次の KMS オプションが追加されました。

すべてのインストールで使用できるローカル KMS。詳細については、Tableau Server のキー管理システム」を参照してください。
Advanced Management の一部として提供される AWS ベースの KMS。詳細については、「AWS キー管理システム」を参照してください。

バージョン 2021.1 以降、Tableau Server では次の KMS オプションが追加されました。

Advanced Management の一部として提供される Azure ベースの KMS。これについては以下で説明します。

保存中の暗号化用の Azure キーコンテナ

Azure キーコンテナは、バージョン 2021.1.0 以降の Tableau Server で Advanced Management の一部として利用できます。詳細については、Tableau Server 上の Tableau Advanced Management についてを参照してください。

組織で保存データ抽出の暗号化を展開している場合は、Azure キーコンテナを抽出暗号化用の KMS として使用するように Tableau Server を構成することもできます。Azure キーコンテナを有効にするには、Azure に Tableau サーバーをデプロイする必要があります。Azure のシナリオでは、Tableau Server は Azure キーコンテナを使用してルートマスターキー (RMK) を暗号化します。RMK は暗号化されたすべての抽出に使用します。ただし、Azure キーコンテナ用に構成されている場合でも、Tableau Server ネイティブの Java キーストアとローカル KMS を引き続き使用して、Tableau Server 上にシークレットを安全に保存します。Azure キーコンテナは、暗号化された抽出のルートマスターキーを暗号化するためにのみ使用します。

Azure キーコンテナを使用して Tableau Server を構成する場合のキー階層

Tableau Server の暗号化された抽出用に Azure キーコンテナを構成する

Azure キーコンテナを使用して Tableau Server KMS 階層内のルートキーを暗号化するには、このセクションの説明のように Tableau Server を構成する必要があります。

開始する前に、次の要件を満たしていることを確認してください。

Tableau Server は Azure にデプロイされている必要があります。
Tableau Server は Advanced Management ライセンスを使用して構成されている必要があります。Tableau Server 上の Tableau Advanced Management についてを参照してください。
キーが存在する Azure キーコンテナに対する管理権限が必要です。

ステップ 1: Azure で Tableau サーバーのキーコンテナとキーを作成する

以下の手順は、Azure キーコンテナサービスで実行します。参照情報は Azure のドキュメントに含まれています。

Tableau Server に使用するキーコンテナを作成します。Azure のトピック「Key Vault を作成する(新しいウィンドウでリンクが開く)」を参照してください。
コンテナにキーを作成します。Azure のトピック「キーとシークレットの管理(新しいウィンドウでリンクが開く)」を参照してください。
キーは非対称の RSA タイプである必要がありますが、任意のサイズにすることができます (Tableau Server はキーのサイズを考慮しません)。最大限のセキュリティを確保するには、最小権限の原則を適用することをお勧めします。
Tableau では GET、UNWRAP KEY、および WRAP KEY コマンドを実行するためのパーミッションが必要であるため、最小権限の原則に従い、これらのコマンドを実行する場合にのみアクセスを許可することをお勧めします。Tableau Server を実行している VM にアクセスポリシーを割り当てます。
Tableau Server をマルチノードでデプロイしている場合は、アクセスポリシーをサーバークラスターのすべてのノードに割り当てる必要があります。

ステップ 2: Azure 構成パラメーターを収集する

キーコンテナ名とキー名を Azure から取得します。

ステップ 3: Azure キーコンテナ用に Tableau Server を構成する

Tableau Server で次のコマンドを実行します。このコマンドによりサーバーが再起動します。

```
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
```
オプション --vault-name と --key-name は、Azure キーコンテナから文字列を直接コピーします。
たとえば、Azure のキーコンテナの名前が tabsrv-keyvault で、キーの名前が tabsrv-sandbox-key01 の場合、コマンドは次のようになります。
tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

ステップ 4: 保存中の暗号化を有効にする

保存中の抽出の暗号化を参照してください。

ステップ 5: インストールを検証する

次のコマンドを実行します。
tsm security kms status
返される可能性のある情報は次のとおりです。
- ステータス: OK (キーコンテナが制御ノードからアクセス可能であることを示します)
- モード: Azure キーコンテナ
- コンテナ名: <key_vault_name>
- Azure キーコンテナのキー名: <key_name>
- アクティブなキーを示す、MEK で使用可能な UUID のリスト
- KMS データにアクセスできない場合のエラー情報
抽出を暗号化して復号化した後でログを表示します。
- 抽出をサイトにパブリッシュしてから暗号化します。保存中の抽出の暗号化を参照してください。
- Tableau Desktop またはブラウザーで Web 作成を使用して抽出にアクセスします (このとき、抽出は使用のために復号化されます)。
- vizqlserver_node ログファイルで AzureKeyVaultEnvelopeAccessor と AzureKeyVaultEnvelope を検索します。このログの既定の場所は /var/opt/tableau/tableau_server/data/tabsvc/logs/ です。
  Azure キーコンテナに関連するパブリッシュと抽出更新については、バックグラウンダーのログを検索します。ログの詳細については、Tableau Server ログとログファイルの場所を参照してください。

構成のトラブルシューティング

マルチノードの構成ミス

Azure キーコンテナのマルチノードセットアップでは、クラスタ内の別のノードが正しく構成されていなくても、tsm security kms status コマンドから正常 (OK) ステータスが返される場合があります。KMS のステータスチェックでは、Tableau Server 管理コントローラープロセスが実行されているノードだけが報告されます。クラスタ内の他のノードについては報告されません。既定では、Tableau Server 管理コントローラープロセスは、クラスタ内の最初のノードで実行されます。

したがって、他のノードが誤って構成されているために Tableau Server が Azure キーにアクセスできない場合、これらのノードではさまざまなサービスについてエラー状態が報告され、起動が失敗します。

KMS を「azure」モードに設定した後で一部のサービスが起動に失敗する場合は、コマンド tsm security kms set-mode local を実行してローカルモードに戻します。

Azure キーの更新

Azure で Azure キーを更新します。必須またはスケジュールされたキー更新期間はありません。キーを更新するには、Azure で新しいキーバージョンを作成します。キーコンテナ名とキー名が変更されないため、通常の Azure キーの更新シナリオでは Tableau Server で KMS 構成を更新する必要はありません。