静态数据提取加密
静态数据提取加密是一项数据安全功能,您可以使用这项功能对存储在 Tableau Server 中的 .hyper 数据提取进行加密。
Tableau Server 管理员可以对其站点上的所有数据提取强制执行加密,或者允许用户指定对与特定发布的工作簿或数据源关联的所有数据提取进行加密。
限制
必须将较旧的 .tde 文件数据提取升级为 .hyper 文件数据提取,然后才能对其进行加密。此操作会在加密作业过程中自动完成。有关数据提取升级的影响的详细信息,请参见数据提取升级为 .hyper 格式。
无法使用此功能对临时文件和缓存文件进行静态加密。
无法使用此功能对工作簿 (.twb) 和数据源文件 (.tds) 进行加密。这些文件将包含元数据,例如数据库表列名称和格式设置说明。在某些情况下,它们可能包含一些行级别数据(如果其包括在筛选器中)。
其他数据文件(例如 Excel 或 JSON 文件)不使用此功能进行加密,除非在发布之前将它们转换为数据提取。
从服务器下载数据提取时,会对它们进行解密。
性能概述
后台程序负载增加
启动静态加密时,您可能会看到后台程序负载有轻微到中度的增加。加密和解密是计算密集型操作。静态加密内容会改变现有后台程序作业,并引入新作业以在后台程序上运行。后台程序负载的整体增加取决于受影响的数据提取的数量和大小,以及下面这些方案的应用频率。
- 初始发布:在发布应对其使用的数据提取进行加密的工作簿或数据源时,加密在服务器的后台程序上进行。
- Tableau Server 中的数据提取刷新:Tableau Server 上加密数据提取的完全和增量刷新消耗的 CPU 会轻微增加。
- Tableau Bridge 和第三方应用程序(例如,Informatica、 Alteryx)中的数据提取刷新:这些流程将需要新的加密作业(对于任何刷新的数据提取都安排在后台程序上运行),因此会导致后台程序负载有轻微到中度的增加。
- 在已经发布的工作簿和数据源中对数据提取进行加密和解密:如果静态加密的站点设置设为“启用”,则用户可以选择对 Tableau server 上已发布的工作簿和数据源中的数据提取进行加密或解密。根据数据提取的数量和大小,这会在使后台程序负载有轻微到中度的增加。
- 更改站点的加密模式:将静态加密的站点设置切换到“禁用”或“强制”时,后台程序将分别对站点上的所有现有数据提取进行解密或加密。根据数据提取的数量和大小,这可能会显著增加后台程序的负载,直至所有数据提取均为未加密或已加密为止。
- 轮转加密密钥:轮转加密密钥会导致后台程序使用全新的加密密钥对该站点上发布的所有现有数据提取进行重新加密。根据数据提取的数量和大小,这可能会显著增加后台程序的负载,直至所有数据提取均重新加密为止。
如果满负荷或超负荷运行,请考虑:
- 添加额外的后台程序进程和资源。
- 让用户对单独工作簿和数据源进行加密,而不是强制对整个站点进行加密,或者为不必要禁用加密的站点禁用静态加密。请注意,计划和临时数据提取刷新将优先于加密和解密作业。
可视化项加载时间和工作服务器负载增加
例如,在加载或与可视化项或仪表板交互时,查询性能在从磁盘加载到内存时将需要对数据进行解密一次。对于加载工作簿的第一个用户,这将导致工作服务器节点上的可视化项加载时间和 CPU 消耗轻微增加。这不会影响同时访问那些工作簿的其他用户,因为数据已在内存中解密。
对备份和还原的影响
备份中的加密数据提取将保持加密状态。由于加密数据提取的压缩效率不高,因此备份文件 (.tbks) 的大小可能会增加最多 50-100%。除其他因素外,大小增加还取决于所加密的数据提取数。由于交换加密密钥需要时间,因此对包含加密数据提取的备份进行还原所需的时间可能会轻微增加。
如果您的 Tableau Server 安装主要包含或只加密数据提取,请考虑在备份期间禁用压缩以显著缩短备份花费的时间。若要详细了解 TSM 备份,请参见tsm maintenance backup。
在站点上强制实施静态加密
Tableau Server 管理员可对其站点上的所有数据提取强制实施加密。
- 在 Web 浏览器中,以服务器管理员身份登录到 Tableau Server。
- 转到要配置的站点。
- 单击“设置”。
- 向下滚动到“静态数据提取加密”部分。
单击“强制”以对发布并存储在该站点上的所有数据提取进行加密。
对存储在站点上的所有现有数据提取进行加密可能需要一段时间。 - 单击“保存”
在站点上启用静态加密
Tableau Server 管理员可以允许用户指定对与特定发布的工作簿或数据源关联的所有数据提取进行加密。
- 在 Web 浏览器中,以服务器管理员身份登录到 Tableau Server。
- 转到要配置的站点。
- 单击“设置”。
- 向下滚动到“静态数据提取加密”部分。
- 单击“启用”以允许用户根据需要对站点上的数据提取进行加密。
更改为“启用”将会取消未完成的解密和加密作业。不会创建加密作业。 - 单击“保存”
在站点上禁用静态加密
- 在 Web 浏览器中,以服务器管理员身份登录到 Tableau Server。
- 转到要配置的站点。
- 单击“设置”。
- 向下滚动到“静态数据提取加密”部分。
- 单击“禁用”以不允许站点上的加密数据提取。
更改为“禁用”将对所有现有的加密数据提取进行解密。对存储在站点上的所有数据提取进行解密可能需要一段时间。 - 单击“保存”
查看所有站点的数据提取加密模式
在多站点服务器上,单击站点菜单上的“管理所有站点”。
注意:只有在您以服务器管理员身份登录后,才会显示“管理所有站点”选项。
- 单击“站点”。
- 每个站点的加密模式显示在“静态数据提取加密”列中。
对已发布工作簿或数据源的数据提取进行加密或解密
注意:只有当静态加密的站点设置设为“启用”时,用于对与特定已发布工作簿或数据源关联的数据提取进行加密或解密的选项才可用。当站点设置为“禁用”时,所有内容都不加密。当站点设置为“强制”时,所有内容都将加密。
注意:您必须是所有者或管理员。
- 转到发布的工作簿或发布的数据源页面。
- 单击显示为“加密数据提取”或“未加密数据提取”的下拉菜单。
- 选择“未加密”。
您将看到一条消息,指出“正在数据提取进行解密”。
-或者-
选择“加密”。
加密作业将启动。
或者,您可以在卡片视图操作菜单、列表视图操作菜单和标题部分中的操作菜单上对数据提取进行加密或解密。
对多个项目进行加密或解密
- 转到“数据源”页面。
- 选中一个或多个数据源旁边的复选框。
- 在“数据源”页面的左上方,单击“操作”。
- 单击“加密”或“解密”。
查看单个项目的加密状态
- 登录到站点。
- 转到单个数据源页面。
-或者-
转到包含嵌入数据源的工作簿的单个工作簿页面。 - 加密状态显示在该页面上。
按加密状态筛选数据源
- 在该站点中,单击“浏览”。
- 在右上方,单击“浏览:顶层项目”下拉菜单,并选择“所有数据源”。
- 单击筛选器图标。
- 向下滚动到“实时或数据提取”部分并选择一个筛选选项:“全部”、“实时”、“数据提取”、“未加密数据提取”、“加密数据提取”、“当前正在加密”或“当前正在解密”。
- 如果要在筛选结果中包括“实时到 .tde 文件”和“实时到 .hyper 文件”连接,请选中“包括 .tde 和 .hyper 文件”旁边的复选框。
按加密状态筛选工作簿
- 在该站点中,单击“浏览”。
- 在右上方,单击“浏览:顶层项目”下拉菜单,并选择“所有工作簿”。
- 单击筛选器图标。
- 向下滚动到“实时或数据提取”部分并选择一个筛选选项:“全部”、“实时”、“数据提取”、“已发布”、“未加密数据提取”、“加密数据提取”、“当前正在加密”或“当前正在解密”。
- 如果要在筛选结果中包括“实时到 .tde 文件”和“实时到 .hyper 文件”连接,请选中“包括 .tde 和 .hyper 文件”旁边的复选框。
将显示有至少连接与筛选器选择相匹配的任何工作簿。
查看加密或解密数据提取后台任务的状态
- 在站点中,单击“站点状态”。
- 单击“非数据提取后台任务”查看已完成和未完成的后台任务详细信息。
注意:“非数据提取后台任务”包括与数据提取刷新不相关的所有任务,因此它包括加密作业。 - 在“任务”菜单中,选择“加密数据提取”或“解密数据提取”,并单击“应用”。
- 在“时间范围”菜单中,选择一个范围。
您将会所有基于数据提取的已发布数据源和工作簿的“加密数据提取”或“解密数据提取”后台任务。
tabcmd 实用工具
tabcmd 命令行实用工具有用于控制提取加密的命令和选项。有关详细信息,请参见tabcmd文档。
在创建站点时指定数据提取加密模式
tabcmd createsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]
在编辑站点时指定数据提取加密模式
tabcmd editsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]
在列出站点时获取数据提取加密模式
tabcmd listsites --get-extract-encryption-mode
在将工作簿、数据源或数据提取发布到服务器时对数据提取进行加密
tabcmd publish "filename.hyper" –-encrypt-extracts
对站点上的所有数据提取进行解密
注意:根据数据提取的数量和大小,此操作可能会消耗大量的服务器资源。请考虑在正常工作时间之外运行此命令。
tabcmd decryptextracts <site-name>
对站点上的所有数据提取进行加密
注意:根据数据提取的数量和大小,此操作可能会消耗大量的服务器资源。请考虑在正常工作时间之外运行此命令。
tabcmd encryptextracts <site-name>
使用新的加密密钥对站点上的所有数据提取进行重新加密
您必须指定站点。
注意:根据数据提取的数量和大小,此操作可能会消耗大量的服务器资源。请考虑在正常工作时间之外运行此命令。
tabcmd reencryptextracts <site-name>
有关详细信息,请参见reencryptextracts。
Tableau Server Rest API
利用 Tableau Server REST API,您可以通过编程方式管理 Tableau Server 资源。可以使用此访问创建您自己的自定义应用程序,或者编写交互脚本以便与 Tableau Server 资源进行交互。
若要了解详细信息,请参见数据提取加密方法(链接在新窗口中打开)。