Azure Key Vault
Tableau Server มีตัวเลือกระบบการจัดการคีย์ (KMS) สามประการที่ช่วยให้คุณสามารถเปิดใช้งานการเข้ารหัสเมื่อจัดเก็บ มีอย่างน้อยสองรายการที่ต้องใช้ความสามารถ Advanced Management ขณะที่ในเครื่องจะพร้อมใช้งานในทุกการติดตั้งของ Tableau Server
สำคัญ: ตั้งแต่ 16 กันยายน 2024 เป็นต้นไป Advanced Management จะไม่พร้อมใช้งานเป็นตัวเลือกเสริมอิสระอีกต่อไป ความสามารถ Advanced Management จะใช้งานได้เฉพาะในกรณีที่คุณซื้อ Advanced Management ไว้ก่อนหน้านี้ หรือหากคุณซื้อใบอนุญาตบางรายการ ไม่ว่าจะเป็น Tableau Enterprise (สำหรับ Tableau Server หรือ Tableau Cloud) หรือ Tableau (สำหรับ Tableau Cloud)
ตั้งแต่เวอร์ชัน 2019.3 เป็นต้นไป Tableau Server ได้เพิ่มตัวเลือก KMS เหล่านี้:
- KMS ในเครื่องที่พร้อมใช้งานกับทุกการติดตั้ง ดูรายละเอียดที่ ระบบการจัดการคีย์ Tableau Server
- KMS บน AWS ซึ่งเป็นส่วนหนึ่งของ Advanced Management ดูรายละเอียดที่ ระบบการจัดการคีย์ AWS
ตั้งแต่เวอร์ชัน 2021.1 เป็นต้นไป Tableau Server ได้เพิ่มตัวเลือก KMS อีกรายการดังนี้:
- KMS บน Azure ซึ่งเป็นส่วนหนึ่งของ Advanced Management ซึ่งมีการอธิบายไว้ด้านล่างนี้
Azure Key Vault สำหรับการเข้ารหัสเมื่อไม่ได้ใช้งาน
Azure Key Vault พร้อมใช้งานโดยเป็นส่วนหนึ่งของ Advanced Management to Tableau Server โดยเริ่มในเวอร์ชัน 2021.1.0 หากต้องการข้อมูลเพิ่มเติม โปรดดูเกี่ยวกับ Tableau Advanced Management ใน Tableau Server
หากองค์กรของคุณปรับใช้การเข้ารหัสการแยกข้อมูลเมื่อไม่ได้ใช้งาน คุณอาจเลือกกำหนดค่า Tableau Server เพื่อใช้ Azure Key Vault เป็น KMS สำหรับการเข้ารหัสการแยกข้อมูล ในการเปิดใช้งาน Azure Key Vault คุณต้องปรับใช้ Tableau Server ใน Azure ในกรณีของ Azure นั้น Tableau Server จะใช้ Azure Key Vault เพื่อเข้ารหัสคีย์หลักระดับรูท (RMK) สำหรับการแยกข้อมูลที่เข้ารหัสทั้งหมด อย่างไรก็ตาม แม้เมื่อกำหนดค่าสำหรับ Azure Key Vault แล้ว คีย์สโตร์ Java เนทีฟของ Tableau Server และ KMS ในเครื่องจะยังคงใช้สำหรับจัดเก็บข้อมูลลับที่ปลอดภัยบน Tableau Server Azure Key Vault ใช้เพื่อเข้ารหัสคีย์หลักรากสำหรับการแยกข้อมูลที่เข้ารหัสเท่านั้น
ลำดับชั้นของคีย์เมื่อ Tableau Server ถูกกำหนดค่าด้วย Azure Key Vault
กำหนดค่า Azure Key Vault สำหรับการแยกข้อมูลที่เข้ารหัส Tableau Server
ในการใช้ Azure Key Vault เพื่อเข้ารหัสคีย์รากในลำดับชั้น KMS ของ Tableau Server คุณต้องกำหนดค่า Tableau Server ตามที่อธิบายไว้ในส่วนนี้
ก่อนที่คุณจะเริ่มต้น โปรดยืนยันว่าคุณมีตามข้อกำหนดดังต่อไปนี้:
- ต้องปรับใช้ Tableau Server ใน Azure
- Tableau Server ต้องกำหนดค่าด้วยใบอนุญาต Advanced Management ดูที่ เกี่ยวกับ Tableau Advanced Management ใน Tableau Server
- คุณต้องมีการควบคุมดูแลระบบสำหรับที่เก็บนิรภัยของคีย์ใน Azure ที่มีคีย์อยู่
ขั้นตอนที่ 1: สร้างที่เก็บนิรภัยของคีย์และคีย์สำหรับ Tableau Server ใน Azure
ขั้นตอนต่อไปนี้ดำเนินการในบริการ Azure Key Vault ข้อมูลอ้างอิงรวมอยู่ในเอกสารของ Azure
- สร้างที่เก็บนิรภัยของคีย์ที่คุณจะใช้สำหรับ Tableau Server ดูหัวข้อ Azure สร้างที่เก็บนิรภัยของคีย์(ลิงก์จะเปิดในหน้าต่างใหม่)
- สร้างคีย์ในที่เก็บนิรภัย ดูหัวข้อ Azure จัดการคีย์และข้อมูลลับ(ลิงก์จะเปิดในหน้าต่างใหม่)
คีย์ต้องเป็นประเภท RSA แบบอสมมาตร แต่สามารถมีขนาดใดก็ได้ (Tableau Server ไม่สนใจขนาดคีย์) เราขอแนะนำให้คุณใช้หลักการสิทธิ์ขั้นต่ำเพื่อให้มีความปลอดภัยสูงสุด
Tableau ต้องการสิทธิ์เพื่อดำเนินการคำสั่ง GET, UNWRAP KEY และ WRAP KEY และเราขอแนะนำให้คุณอนุญาตการเข้าถึงสำหรับการดำเนินการเหล่านี้เท่านั้นสำหรับสิทธิ์ขั้นต่ำ กำหนดนโยบายการเข้าถึงให้กับ VM ที่คุณใช้งาน Tableau Server
ในการปรับใช้หลายโหนดของ Tableau Server นโยบายการเข้าถึงต้องถูกกำหนดให้กับโหนดทั้งหมดของคลัสเตอร์เซิร์ฟเวอร์
ขั้นตอนที่ 2: รวบรวมพารามิเตอร์การกำหนดค่า Azure
คุณจะต้องใช้ชื่อที่เก็บนิรภัยของคีย์และชื่อคีย์จาก Azure
ขั้นตอนที่ 3: กำหนดค่า Tableau Server สำหรับ Azure Key Vault
เรียกใช้คำสั่งต่อไปนี้บน Tableau Server คำสั่งนี้จะรีสตาร์ทเซิร์ฟเวอร์:
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
ตัวเลือก
--vault-name
และ--key-name
จะคัดลอกสตริงโดยตรงจาก Azure Key Vault ของคุณตัวอย่างเช่น หาก Azure Key Vault ของคุณชื่อ
tabsrv-keyvault
และคีย์ของคุณคือtabsrv-sandbox-key01
คำสั่งจะเป็นดังนี้tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"
ขั้นตอนที่ 4: เปิดใช้การเข้ารหัสเมื่อจัดเก็บ
โปรดดูการเข้ารหัสการแยกข้อมูลเมื่อจัดเก็บ
ขั้นตอนที่ 5: ตรวจสอบความถูกต้องของการติดตั้ง
เรียกใช้คำสั่งต่อไปนี้:
ระบบอาจส่งคืนข้อมูลดังต่อไปนี้:
- สถานะ: ตกลง (ระบุว่าที่เก็บนิรภัยของคีย์สามารถเข้าถึงได้โดยโหนดตัวควบคุม)
- Azure Key Vault
- ชื่อที่เก็บนิรภัย: <key_vault_name>
- ชื่อคีย์ Azure Key Vault: <key_name>
- รายการ UUID ที่พร้อมใช้งานสำหรับ MEK ซึ่งระบุว่าคีย์ใดทำงานอยู่
- ข้อมูลข้อผิดพลาดหากข้อมูล KMS ไม่สามารถเข้าถึงได้
ดูบันทึกหลังจากที่คุณเข้ารหัสและถอดรหัสการแยกข้อมูล:
เผยแพร่การแยกข้อมูลไปยังไซต์ของคุณ จากนั้นจึงถอดรหัสการแยกข้อมูลนั้น ดูที่ การเข้ารหัสการแยกข้อมูลเมื่อจัดเก็บ
การเข้าถึงการแยกข้อมูลด้วย Tableau Desktop หรือการเขียนเว็บในเบราว์เซอร์ (การทำเช่นนี้จะถอดรหัสการแยกข้อมูลเพื่อการใช้งาน)
ค้นหาไฟล์บันทึก vizqlserver_node สำหรับสตริง
AzureKeyVaultEnvelopeAccessor
และAzureKeyVaultEnvelope
ตำแหน่งที่เป็นค่าเริ่มต้นของบันทึกต่าง ๆ อยู่ที่/var/opt/tableau/tableau_server/data/tabsvc/logs/
สำหรับการเผยแพร่และการรีเฟรชการแยกข้อมูลที่เกี่ยวข้องกับ Azure Key Vault ให้ค้นหาบันทึกแบ็กกราวเดอร์ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับบันทึก โปรดดู บันทึก Tableau Server และตำแหน่งไฟล์บันทึก
แก้ปัญหาการกำหนดค่า
การกำหนดค่าที่ไม่ถูกต้องในหลายโหนด
ในการตั้งค่าหลายโหนดสำหรับ Azure Key Vault คำสั่ง tsm security kms status
อาจรายงานสถานะปกติ (ตกลง) แม้ว่าโหนดอื่นในคลัสเตอร์จะได้รับการกำหนดค่าไม่ถูกต้อง สถานะ KMS จะตรวจสอบเฉพาะรายงานของโหนดที่กระบวนการตัวควบคุมการดูแลระบบ Tableau Server ทำงานอยู่ ไม่รายงานเกี่ยวกับโหนดอื่นในคลัสเตอร์ ตามค่าเริ่มต้น กระบวนการตัวควบคุมการดูแลระบบ Tableau Server จะทำงานในโหนดตั้งต้นของคลัสเตอร์
ดังนั้น หากมีการกำหนดค่าโหนดอื่นผิดพลาดเพื่อให้ Tableau Server ไม่สามารถเข้าถึงคีย์ Azure ได้ โหนดเหล่านั้นอาจรายงานสถานะข้อผิดพลาดสำหรับบริการต่างๆ ซึ่งจะไม่สามารถเริ่มทำงานได้
หากบริการใดเริ่มต้นทำงานล้มเหลวหลังจากที่คุณกำหนดให้ KMS เป็นโหมด "azure" แล้ว ให้รันคำสั่งต่อไปนี้เพื่อย้อนกลับไปใช้โหมดในเครื่อง: tsm security kms set-mode local
รีเฟรชคีย์ Azure
คุณรีเฟรชคีย์ Azure ใน Azure ไม่มีช่วงเวลาการรีเฟรชคีย์ที่กำหนดหรือกำหนดไว้ คุณสามารถรีเฟรชคีย์ของคุณได้โดยการสร้างเวอร์ชันคีย์ใหม่ใน Azure เนื่องจากชื่อที่เก็บนิรภัยของคีย์และชื่อคีย์ไม่เปลี่ยนแปลง คุณไม่จำเป็นต้องอัปเดตการกำหนดค่า KMS บน Tableau Server สำหรับสถานการณ์การรีเฟรช Azure Key ปกติ
สำรองและกู้คืนด้วย Azure Key Vault
การสำรองข้อมูลเซิร์ฟเวอร์สามารถทำได้ในโหมด Azure Key Vault โดยไม่มีการกำหนดค่าหรือขั้นตอนเพิ่มเติม การสำรองข้อมูลมีสำเนาที่เข้ารหัสของ RMK และ MEK การถอดรหัสคีย์ต้องมีการเข้าถึงและควบคุม Azure Key Vault
สำหรับสถานการณ์การกู้คืนเซิร์ฟเวอร์ที่กำลังกู้คืนสามารถอยู่ใน Azure Key Vault หรือโหมด KMS ภายใน ข้อกำหนดเพียงอย่างเดียวคือเซิร์ฟเวอร์ที่มีการกู้คืนข้อมูลสำรองมีการเข้าถึง Azure Key Vault ที่ตัวสำรองใช้เอง