Sistema de gerenciamento de chaves do Tableau Server
O Tableau Server tem três opções de Sistema de gerenciamento de chaves (KMS) que permitem ativar a criptografia em repouso. Uma é a opção local que está disponível com todas as instalações do Tableau Server. Duas opções adicionais exigem Advanced Management (antes chamado de Server Management Add-on), mas permitem que você use um KMS diferente.
A partir da versão 2019.3, o Tableau Server adicionou essas opções KMS:
- Um KMS local que está disponível com todas as instalações. Isso está descrito abaixo.
- Um KMS baseado em AWS, que vem como parte do Advanced Management. Para obter detalhes, consulte Sistema de gerenciamento de chaves da AWS.
A partir da versão 2021.1, o Tableau Server adicionou outra opção de KMS:
- Um KMS baseado em Azure, que vem como parte do Advanced Management. Para obter detalhes, consulte Azure Key Vault.
KMS local do Tableau Server
O KMS local do Tableau Server usa o recurso de armazenamento de segredos descrito em Gerenciar segredos do servidor para criptografar e armazenar a chave principal de extração. Nesse cenário, o repositório de chaves Java atua como a raiz da hierarquia de chaves. O repositório de chaves Java é instalado com o Tableau Server. O acesso à chave principal é gerenciado por mecanismos de autorização do sistema de arquivos nativos pelo sistema operacional. Na configuração padrão, o KMS local do Tableau Server é usado para extrações criptografadas. A hierarquia de chaves do KMS local e as extrações criptografadas são ilustradas aqui:
Solucionar problemas de configuração
Configuração incorreta em vários nós
Em uma configuração de vários nós para o AWS KMS, o comando tsm security kms status
pode relatar status íntegro (OK), mesmo que outro nó no cluster esteja configurado incorretamente. A verificação de status KMS relata apenas sobre o nó em que o processo do Controlador de administração do Tableau Server está sendo executado e não relata os outros nós do cluster. Por padrão, o processo do Controlador de administração do Tableau Server é executado no nó inicial do cluster.
Portanto, se outro nó estiver configurado incorretamente, de modo que o Tableau Server não possa acessar a AWS CMK, esses nós podem relatar estados de erro para vários serviços, que não seriam iniciados.
Se alguns serviços não iniciarem após definir o KMS como modo AWS, execute o comando a seguir para reverter para o modo local: tsm security kms set-mode local
.
Gerar novamente a RMK e a MEK no Tableau Server
Para gerar novamente a chave principal raiz e as chaves principais de criptografia no Tableau Server, execute o comando tsm security regenerate-internal-tokens
.