Azure Key Vault

Tableau Server har tre alternativ för nyckelhanteringssystem som gör att du kan aktivera kryptering vid vila. Två av dessa kräver Advanced Management-funktioner, medan ett lokalt system är tillgängligt med alla installationer av Tableau Server.

Viktigt: Från och med den 16 september 2024 är Advanced Management inte längre tillgängligt som ett oberoende tilläggsalternativ. Advanced Management-funktioner är endast tillgängliga om du har köpt Advanced Management tidigare eller om du köper vissa licensutgåvor – antingen Tableau Enterprise (för Tableau Server eller Tableau Cloud) eller Tableau+ (för Tableau Cloud).

Från och med version 2019.3 lade Tableau Server till följande KMS-alternativ: 

Från och med version 2021.1 lade Tableau Server till ett annat KMS-alternativ: 

  • Ett Azure-baserat KMS som ingår i Advanced Management. Detta beskrivs nedan.

Azure Key Vault för kryptering vid vila

Azure Key Vault ingår som en del av Advanced Management i Tableau Server från och med version 2021.1.0. Läs mer i Om Tableau Advanced Management på Tableau Server.

Om din organisation distribuerar kryptering av dataextrakt vid vila kan du alternativt konfigurera Tableau Server för att använda Azure Key Vault som KMS för kryptering av extrakt. Om du vill aktivera Azure Key Vault måste du distribuera Tableau Server i Azure. I Azure-scenariot använder Tableau Server Azure Key Vault för att kryptera den primära rotnyckeln (RMK) för alla krypterade extrakt. Även när den är konfigurerad för Azure Key Vault används Tableau Server inbyggda Java nyckelarkiv och lokala KMS fortfarande för säker lagring av hemligheter på Tableau Server. Azure Key Vault används endast för att kryptera huvudnyckeln för krypterade extrakt.

Nyckelhierarkin när Tableau Server är konfigurerad med Azure Key Vault

Konfigurera Azure Key Vault för krypterade extrakt på Tableau Server

Du måste anpassa Tableau Server enligt beskrivningen i det här avsnittet om du vill använda Azure Key Vault för att kryptera rotnyckeln i KMS-hierarkin för Tableau Server.

Innan du börjar måste du kontrollera att du uppfyller följande krav:

  • Tableau Server måste distribueras i Azure.
  • Tableau Server måste konfigureras med en Advanced Management-licens. Se Om Tableau Advanced Management på Tableau Server.
  • Du måste ha administrativ kontroll över nyckelvalvet i Azure där nyckeln finns.

Steg 1: Skapa ett nyckelvalv och nyckel för Tableau Server i Azure

Följande procedurer utförs i Azure Key Vault-tjänsten. Det finns hänvisningar till Azure-dokumentationen.

  1. Skapa nyckelvalvet som du kommer att använda för Tableau Server. Se Azure-ämnet Skapa ett nyckelvalv(Länken öppnas i ett nytt fönster).
  2. Skapa en nyckel i valvet. Se Azure-ämnet Hantera nycklar och hemligheter(Länken öppnas i ett nytt fönster).

    Nyckeln måste vara en asymmetrisk RSA-typ, men den kan vara av vilken storlek som helst (Tableau Server bryr sig inte om storleken på nyckeln). Vi rekommenderar att du använder principen begränsad behörighet för maximal säkerhet.

    Tableau kräver behörighet för att utföra kommandona GET, UNWRAP KEY och WRAP KEY och vi rekommenderar att du endast tillåter åtkomst för dessa åtgärder med begränsad behörighet. Tilldela åtkomstpolicyn till den VM du kör Tableau Server på.

    I en driftsättning av Tableau Server med flera noder måste åtkomstpolicyn tilldelas alla noder i serverklustret.

Steg 2: Samla in Azure-konfigurationsparametrar

Du behöver namnet på nyckelvalvet och namnet på nyckeln från Azure.

Steg 3: Konfigurera Tableau Server för Azure Key Vault

Kör följande kommando på Tableau Server. Detta kommando startar om servern:

  • tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"

    Alternativen --vault-name och --key-name kopierar en direktsträng från ditt Azure Key Vault.

    Om till exempel ditt Azure Key Vault har namnet tabsrv-keyvault och din nyckel är tabsrv-sandbox-key01 kommer kommandot att vara följande:

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

Steg 4: Aktivera kryptering vid vila

Läs mer i Extraktkryptering vid vila.

Steg 5: Validera installationen

  1. Kör följande kommando:

    tsm security kms status

    Följande uppgifter kan returneras:

    • Status: OK (indikerar att nyckelvalvet är åtkomligt för styrenhetsnoden):
    • Läge: Azure Key Vault
    • Valvnamn: <key_vault_name>
    • Azure Key Vault-nyckelnamn: <key_name>
    • Lista över tillgängliga UUID för MEK som anger vilken nyckel som är aktiv
    • Felinformation om KMS-data inte är tillgängliga
  2. Visa loggar när du har krypterat och dekrypterat extrakt:

    • Publicera extrakt på din webbplats och kryptera dem. Se Extraktkryptering vid vila.

    • Öppna extrakten med Tableau Desktop eller webbredigering i en webbläsare (detta dekrypterar extrakten som ska användas).

    • Sök efter loggfilerna från vizqlserver_node för strängarna AzureKeyVaultEnvelopeAccessor och AzureKeyVaultEnvelope. Standardplatsen för loggfilerna är /var/opt/tableau/tableau_server/data/tabsvc/logs/

      För publicering och extraktuppdateringar relaterade till Azure Key Vault söker du igenom bakgrundsprocessorns loggar. Mer information om loggfiler finns i Tableau-serverloggar och lagringsplatser för loggfiler.

Felsökning av konfiguration

Felkonfiguration på flera noder

I en inställning med flera noder för Azure Key Vault kan kommandot tsm security kms status rapportera felfri status (OK), även om en annan nod i klustret är felkonfigurerad. KMS-statuskontrollen rapporterar endast noden där administrationsstyrenheten för Tableau Server körs. Den rapporterar inte om de andra noderna i klustret. Som standard körs processen Tableau Server Administration Controller på den ursprungliga noden i klustret.

Om en annan nod är felkonfigurerad så att Tableau Server inte kan komma åt AWS Azure Key, kan dessa noder rapportera feltillstånd för olika tjänster som inte startar.

Om vissa tjänster inte startar efter att du har ställt in KMS i ”azure”-läget kör du följande kommando för att återgå till lokalt läge: tsm security kms set-mode local.

Uppdatera Azure-nyckeln

Du uppdaterar Azure-nyckeln i Azure. Det finns ingen nödvändig eller schemalagd uppdateringsperiod för nycklar. Du kan uppdatera din nyckel genom att skapa en ny nyckelversion i Azure. Eftersom nyckelvalvets namn och nyckelnamnet inte ändras behöver du inte uppdatera KMS-konfigurationen på Tableau Server för normala uppdateringsscenarier för Azure-nyckeln.

Säkerhetskopiera och återställ med Azure Key Vault

En säkerhetskopiering av server kan göras i Azure Key Vault-läge utan ytterligare konfigurationer eller procedurer. Säkerhetskopian innehåller krypterade kopior av RMK och MEK. För att dekryptera nycklarna krävs åtkomst och kontroll av Azure Key Vault.

För återställningsscenariot kan servern som återställs till vara i antingen Azure Key Vault eller lokalt KMS-läge. Det enda kravet är att servern som säkerhetskopieringen återställs till har tillgång till Azure Key Vault som själva säkerhetskopieringen använde.

Tack för din feedback!Din feedback har skickats in. Tack!