Azure Key Vault

Tableau Server มีตัวเลือกระบบการจัดการคีย์ (KMS) สามประการที่ช่วยให้คุณสามารถเปิดใช้งานการเข้ารหัสเมื่อจัดเก็บ มีอย่างน้อยสองรายการที่ต้องใช้ความสามารถ Advanced Management ขณะที่ในเครื่องจะพร้อมใช้งานในทุกการติดตั้งของ Tableau Server

สำคัญ: ตั้งแต่ 16 กันยายน 2024 เป็นต้นไป Advanced Management จะไม่พร้อมใช้งานเป็นตัวเลือกเสริมอิสระอีกต่อไป ความสามารถ Advanced Management จะใช้งานได้เฉพาะในกรณีที่คุณซื้อ Advanced Management ไว้ก่อนหน้านี้ หรือหากคุณซื้อใบอนุญาตบางรายการ ไม่ว่าจะเป็น Tableau Enterprise (สำหรับ Tableau Server หรือ Tableau Cloud) หรือ Tableau (สำหรับ Tableau Cloud)

ตั้งแต่เวอร์ชัน 2019.3 เป็นต้นไป Tableau Server ได้เพิ่มตัวเลือก KMS เหล่านี้: 

ตั้งแต่เวอร์ชัน 2021.1 เป็นต้นไป Tableau Server ได้เพิ่มตัวเลือก KMS อีกรายการดังนี้: 

  • KMS บน Azure ซึ่งเป็นส่วนหนึ่งของ Advanced Management ซึ่งมีการอธิบายไว้ด้านล่างนี้

Azure Key Vault สำหรับการเข้ารหัสเมื่อไม่ได้ใช้งาน

Azure Key Vault พร้อมใช้งานโดยเป็นส่วนหนึ่งของ Advanced Management to Tableau Server โดยเริ่มในเวอร์ชัน 2021.1.0 หากต้องการข้อมูลเพิ่มเติม โปรดดูเกี่ยวกับ Tableau Advanced Management ใน Tableau Server

หากองค์กรของคุณปรับใช้การเข้ารหัสการแยกข้อมูลเมื่อไม่ได้ใช้งาน คุณอาจเลือกกำหนดค่า Tableau Server เพื่อใช้ Azure Key Vault เป็น KMS สำหรับการเข้ารหัสการแยกข้อมูล ในการเปิดใช้งาน Azure Key Vault คุณต้องปรับใช้ Tableau Server ใน Azure ในกรณีของ Azure นั้น Tableau Server จะใช้ Azure Key Vault เพื่อเข้ารหัสคีย์หลักระดับรูท (RMK) สำหรับการแยกข้อมูลที่เข้ารหัสทั้งหมด อย่างไรก็ตาม แม้เมื่อกำหนดค่าสำหรับ Azure Key Vault แล้ว คีย์สโตร์ Java เนทีฟของ Tableau Server และ KMS ในเครื่องจะยังคงใช้สำหรับจัดเก็บข้อมูลลับที่ปลอดภัยบน Tableau Server Azure Key Vault ใช้เพื่อเข้ารหัสคีย์หลักรากสำหรับการแยกข้อมูลที่เข้ารหัสเท่านั้น

ลำดับชั้นของคีย์เมื่อ Tableau Server ถูกกำหนดค่าด้วย Azure Key Vault

กำหนดค่า Azure Key Vault สำหรับการแยกข้อมูลที่เข้ารหัส Tableau Server

ในการใช้ Azure Key Vault เพื่อเข้ารหัสคีย์รากในลำดับชั้น KMS ของ Tableau Server คุณต้องกำหนดค่า Tableau Server ตามที่อธิบายไว้ในส่วนนี้

ก่อนที่คุณจะเริ่มต้น โปรดยืนยันว่าคุณมีตามข้อกำหนดดังต่อไปนี้:

  • ต้องปรับใช้ Tableau Server ใน Azure
  • Tableau Server ต้องกำหนดค่าด้วยใบอนุญาต Advanced Management ดูที่ เกี่ยวกับ Tableau Advanced Management ใน Tableau Server
  • คุณต้องมีการควบคุมดูแลระบบสำหรับที่เก็บนิรภัยของคีย์ใน Azure ที่มีคีย์อยู่

ขั้นตอนที่ 1: สร้างที่เก็บนิรภัยของคีย์และคีย์สำหรับ Tableau Server ใน Azure

ขั้นตอนต่อไปนี้ดำเนินการในบริการ Azure Key Vault ข้อมูลอ้างอิงรวมอยู่ในเอกสารของ Azure

  1. สร้างที่เก็บนิรภัยของคีย์ที่คุณจะใช้สำหรับ Tableau Server ดูหัวข้อ Azure สร้างที่เก็บนิรภัยของคีย์(ลิงก์จะเปิดในหน้าต่างใหม่)
  2. สร้างคีย์ในที่เก็บนิรภัย ดูหัวข้อ Azure จัดการคีย์และข้อมูลลับ(ลิงก์จะเปิดในหน้าต่างใหม่)

    คีย์ต้องเป็นประเภท RSA แบบอสมมาตร แต่สามารถมีขนาดใดก็ได้ (Tableau Server ไม่สนใจขนาดคีย์) เราขอแนะนำให้คุณใช้หลักการสิทธิ์ขั้นต่ำเพื่อให้มีความปลอดภัยสูงสุด

    Tableau ต้องการสิทธิ์เพื่อดำเนินการคำสั่ง GET, UNWRAP KEY และ WRAP KEY และเราขอแนะนำให้คุณอนุญาตการเข้าถึงสำหรับการดำเนินการเหล่านี้เท่านั้นสำหรับสิทธิ์ขั้นต่ำ กำหนดนโยบายการเข้าถึงให้กับ VM ที่คุณใช้งาน Tableau Server

    ในการปรับใช้หลายโหนดของ Tableau Server นโยบายการเข้าถึงต้องถูกกำหนดให้กับโหนดทั้งหมดของคลัสเตอร์เซิร์ฟเวอร์

ขั้นตอนที่ 2: รวบรวมพารามิเตอร์การกำหนดค่า Azure

คุณจะต้องใช้ชื่อที่เก็บนิรภัยของคีย์และชื่อคีย์จาก Azure

ขั้นตอนที่ 3: กำหนดค่า Tableau Server สำหรับ Azure Key Vault

เรียกใช้คำสั่งต่อไปนี้บน Tableau Server คำสั่งนี้จะรีสตาร์ทเซิร์ฟเวอร์:

  • tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"

    ตัวเลือก --vault-name และ --key-name จะคัดลอกสตริงโดยตรงจาก Azure Key Vault ของคุณ

    ตัวอย่างเช่น หาก Azure Key Vault ของคุณชื่อ tabsrv-keyvault และคีย์ของคุณคือ tabsrv-sandbox-key01 คำสั่งจะเป็นดังนี้

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

ขั้นตอนที่ 4: เปิดใช้การเข้ารหัสเมื่อจัดเก็บ

โปรดดูการเข้ารหัสการแยกข้อมูลเมื่อจัดเก็บ

ขั้นตอนที่ 5: ตรวจสอบความถูกต้องของการติดตั้ง

  1. เรียกใช้คำสั่งต่อไปนี้:

    tsm security kms status

    ระบบอาจส่งคืนข้อมูลดังต่อไปนี้:

    • สถานะ: ตกลง (ระบุว่าที่เก็บนิรภัยของคีย์สามารถเข้าถึงได้โดยโหนดตัวควบคุม)
    • Azure Key Vault
    • ชื่อที่เก็บนิรภัย: <key_vault_name>
    • ชื่อคีย์ Azure Key Vault: <key_name>
    • รายการ UUID ที่พร้อมใช้งานสำหรับ MEK ซึ่งระบุว่าคีย์ใดทำงานอยู่
    • ข้อมูลข้อผิดพลาดหากข้อมูล KMS ไม่สามารถเข้าถึงได้
  2. ดูบันทึกหลังจากที่คุณเข้ารหัสและถอดรหัสการแยกข้อมูล:

    • เผยแพร่การแยกข้อมูลไปยังไซต์ของคุณ จากนั้นจึงถอดรหัสการแยกข้อมูลนั้น ดูที่ การเข้ารหัสการแยกข้อมูลเมื่อจัดเก็บ

    • การเข้าถึงการแยกข้อมูลด้วย Tableau Desktop หรือการเขียนเว็บในเบราว์เซอร์ (การทำเช่นนี้จะถอดรหัสการแยกข้อมูลเพื่อการใช้งาน)

    • ค้นหาไฟล์บันทึก vizqlserver_node สำหรับสตริง AzureKeyVaultEnvelopeAccessor และ AzureKeyVaultEnvelope ตำแหน่งที่เป็นค่าเริ่มต้นของบันทึกต่าง ๆ อยู่ที่ /var/opt/tableau/tableau_server/data/tabsvc/logs/

      สำหรับการเผยแพร่และการรีเฟรชการแยกข้อมูลที่เกี่ยวข้องกับ Azure Key Vault ให้ค้นหาบันทึกแบ็กกราวเดอร์ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับบันทึก โปรดดู บันทึก Tableau Server และตำแหน่งไฟล์บันทึก

แก้ปัญหาการกำหนดค่า

การกำหนดค่าที่ไม่ถูกต้องในหลายโหนด

ในการตั้งค่าหลายโหนดสำหรับ Azure Key Vault คำสั่ง tsm security kms status อาจรายงานสถานะปกติ (ตกลง) แม้ว่าโหนดอื่นในคลัสเตอร์จะได้รับการกำหนดค่าไม่ถูกต้อง สถานะ KMS จะตรวจสอบเฉพาะรายงานของโหนดที่กระบวนการตัวควบคุมการดูแลระบบ Tableau Server ทำงานอยู่ ไม่รายงานเกี่ยวกับโหนดอื่นในคลัสเตอร์ ตามค่าเริ่มต้น กระบวนการตัวควบคุมการดูแลระบบ Tableau Server จะทำงานในโหนดตั้งต้นของคลัสเตอร์

ดังนั้น หากมีการกำหนดค่าโหนดอื่นผิดพลาดเพื่อให้ Tableau Server ไม่สามารถเข้าถึงคีย์ Azure ได้ โหนดเหล่านั้นอาจรายงานสถานะข้อผิดพลาดสำหรับบริการต่างๆ ซึ่งจะไม่สามารถเริ่มทำงานได้

หากบริการใดเริ่มต้นทำงานล้มเหลวหลังจากที่คุณกำหนดให้ KMS เป็นโหมด "azure" แล้ว ให้รันคำสั่งต่อไปนี้เพื่อย้อนกลับไปใช้โหมดในเครื่อง: tsm security kms set-mode local

รีเฟรชคีย์ Azure

คุณรีเฟรชคีย์ Azure ใน Azure ไม่มีช่วงเวลาการรีเฟรชคีย์ที่กำหนดหรือกำหนดไว้ คุณสามารถรีเฟรชคีย์ของคุณได้โดยการสร้างเวอร์ชันคีย์ใหม่ใน Azure เนื่องจากชื่อที่เก็บนิรภัยของคีย์และชื่อคีย์ไม่เปลี่ยนแปลง คุณไม่จำเป็นต้องอัปเดตการกำหนดค่า KMS บน Tableau Server สำหรับสถานการณ์การรีเฟรช Azure Key ปกติ

สำรองและกู้คืนด้วย Azure Key Vault

การสำรองข้อมูลเซิร์ฟเวอร์สามารถทำได้ในโหมด Azure Key Vault โดยไม่มีการกำหนดค่าหรือขั้นตอนเพิ่มเติม การสำรองข้อมูลมีสำเนาที่เข้ารหัสของ RMK และ MEK การถอดรหัสคีย์ต้องมีการเข้าถึงและควบคุม Azure Key Vault

สำหรับสถานการณ์การกู้คืนเซิร์ฟเวอร์ที่กำลังกู้คืนสามารถอยู่ใน Azure Key Vault หรือโหมด KMS ภายใน ข้อกำหนดเพียงอย่างเดียวคือเซิร์ฟเวอร์ที่มีการกู้คืนข้อมูลสำรองมีการเข้าถึง Azure Key Vault ที่ตัวสำรองใช้เอง

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ