Tableau Server 密钥管理系统
Tableau Server 有三个密钥管理系统 (KMS) 选项,允许您启用静态加密。一种是本地选项,该选项可用于 Tableau Server 的所有安装。另外两个选项需要 Advanced Management(前身为服务器管理加载项),但允许您使用其他 KMS。
从版本 2019.3 开始,Tableau Server 添加了这些 KMS 选项:
- 适用于所有安装的本地 KMS。下面介绍了这一点。
- 作为 Advanced Management 一部分提供的基于 AWS 的 KMS。有关详细信息,请参见AWS 密钥管理系统。
从版本 2021.1 开始,Tableau Server 添加了另一个 KMS 选项:
- 作为 Advanced Management 一部分提供的基于 Azure 的 KMS。有关详细信息,请参见Azure Key Vault。
Tableau Server 本地 KMS
Tableau Server 本地 KMS 使用管理服务器密文中介绍的密文存储过程来加密和存储主数据提取密钥。在此方案中,Java 密钥存储充当密钥分层结构的根目录。Java 密钥存储随 Tableau Server 一起安装。对主密钥的访问通过操作系统的本机文件系统授权机制进行管理。在默认配置中,Tableau Server 本地 KMS 用于加密数据提取。下面阐述了本地 KMS 和加密数据提取的密钥分层结构:
故障排除配置
多节点配置不正确
在 AWS KMS 的多节点设置中,tsm security kms status
命令可能会报告正常 (OK) 状态,即使群集中的另一个节点配置不正确。KMS 状态检查仅在运行 Tableau Server 管理控制器进程的节点上进行报告,而不在群集中的其他节点上进行报告。默认情况下,Tableau Server 管理控制器进程在群集中的初始节点上运行。
因此,如果另一个节点配置不正确,以致于 Tableau Server 无法访问 AWS CMK,这些节点可能会为将启动失败的各种服务报告错误状态。
如果在您将 KMS 设置为 AWS 模式后,某些服务启动失败,请运行以下命令以恢复为本地模式:tsm security kms set-mode local
。
在 Tableau Server 上重新生成 RMK 和 MEK
若要在 Tableau Server 上重新生成根主密钥和主加密密钥,请运行 tsm security regenerate-internal-tokens
命令。