靜態擷取加密
靜態擷取加密是一項資料安全性功能,可讓您在 .hyper 擷取儲存在 Tableau Server 上時對其進行加密。
Tableau Server 管理員可以強制加密其站台上的所有擷取,或允許使用者指定加密所有與特定已發佈工作簿或資料來源相關的擷取。
限制
在對檔案加密之前,必須先將舊 .tde 檔案擷取升級為 .hyper 檔案擷取。作為加密工作的一部分,此步驟會自動執行。有關擷取升級之影響的詳情,請參閱擷取升級為 .hyper 格式。
該功能不對暫存檔案和快取檔案進行空閒時加密處理。
該功能不加密工作簿 (.twb) 和資料來源檔案 (.tds)。這些檔案會包含中繼資料,例如資料庫表格欄名稱和格式設定指示。在某些情況下,如果它包含在篩選程式中,它們可能會包含一些資料列層級的資料。
其他資料檔案(例如 Excel 或 JSON 檔案)不會使用此功能進行加密,除非它們在發佈之前轉換成擷取。
從伺服器下載擷取時,擷取會經過解密。
效能概述
增加背景程式負載
在您開啟空閒時加密時,您可能看到背景程式負載有少許至中等程度的增加。加密和解密會耗用大量運算作業。空閒時加密變更現有的背景程式工作,並加入新的工作以在背景程式上執行。背景程式負載的整體增加取決於受影響的擷取數目和大小,以及下列情況適用的頻率。
- 初始發佈:使用應進行加密的擷取發佈工作簿或資料來源時,加密會在伺服器的背景程式上執行。
- 來自 Tableau Server 的擷取重新整理:Tableau Server 上已加密擷取的完整和累加式重新整理將會耗用更多 CPU。
- 來自 Tableau Bridge 和協力廠商應用程式(例如,Informatica、Alteryx)的擷取重新整理:這些流程需要新的加密工作,這些工作在任何已重新整理的擷取之背景程式上進行排程,進而造成背景程式負載有少許至中等程度的增加。
- 加密及解密已發佈工作簿和資料來源中的擷取:如果將空閒時加密的網站設定設為 [啟用],使用者就可以選擇加密或解密 Tableau Server 上已發佈工作簿和資料來源中的擷取。根據擷取的數目和大小,這會使背景程式負載有少許至中等程度的增加。
- 變更網站的加密模式:將網站的空閒時加密設定切換成 [停用] 或 [強制執行] 時,背景程式將分別解密或加密網站上現有的所有擷取。根據擷取的數目和大小,這可能會大幅增加背景程式的負載,直到解密或加密所有擷取為止。
- 旋轉加密金鑰:旋轉加密金鑰會造成背景程式使用新的加密金鑰重新加密網站上發佈的所有現有擷取。根據擷取的數目和大小,這可能會大幅增加背景程式的負載,直到重新加密所有擷取為止。
若要滿負載執行或者超負載執行,請考慮:
- 新增其他背景程式處理序和資源。
- 讓使用者加密個別工作簿和資料來源,而不是針對整個網站強制執行加密,或在其不需要的網站上停用空閒時加密。請注意,排程和臨機操作擷取重新整理將會優先於加密及解密工作。
增加 Viz 載入時間和工作者負載
查詢效能(例如,載入或與 viz 或儀表板交互時)在從磁碟載入至記憶體時需要解密一次資料。這會導致第一個使用者載入工作簿時工作節點上的 viz 載入時間和 CPU 消耗稍微增加。這不會影響同時存取那些工作簿的其他使用者,因為將在記憶體中解密資料。
對備份與還原的影響
備份中加密的擷取將保持加密狀態。備份檔案 (.tbks) 的大小可能增加至 50-100%,因為對已加密擷取的壓縮無效。除其他因素外,大小增加視乎已加密的擷取之數目而定。還原包含已加密擷取之備份的時間可能會因為交換加密金鑰所用的時間而稍微增加。
如果您的 Tableau Server 安裝主要是已加密擷取或者僅有已加密擷取,請考慮在備份期間停用壓縮,以大幅減少備份所用的時間。若要瞭解有關 TSM 備份的更多資訊,請參閱 tsm maintenance backup。
在網站上強制執行空閒時加密
Tableau Server 管理員可以強制加密其網站上的所有擷取。
- 在 Web 瀏覽器中,以伺服器管理員身分登入到 Tableau Server。
- 轉到您要設定的網站。
- 按一下 [設定]。
- 向下捲動到 [空閒時擷取加密] 區段。
按一下 [強制執行] 加密所有已發佈並儲存在網站上的擷取。
加密儲存在網站上所有現有擷取可能需要一段時間。 - 按一下 [儲存]
啟用網站上的空閒時加密
Tableau Server 管理員可允許使用者指定加密所有與特定發佈工作簿或資料來源相關的擷取。
- 在 Web 瀏覽器中,以伺服器管理員身分登入到 Tableau Server。
- 轉到您要設定的網站。
- 按一下 [設定]。
- 向下捲動到 [空閒時擷取加密] 區段。
- 按一下 [啟用] 可讓使用者選擇性地加密網站上的擷取。
變更為「啟用」將會取消擱置的解密工作和擱置的加密工作。未建立加密工作。 - 按一下 [儲存]
停用網站上的空閒時加密
- 在 Web 瀏覽器中,以伺服器管理員身分登入到 Tableau Server。
- 轉到您要設定的網站。
- 按一下 [設定]。
- 向下捲動到 [空閒時擷取加密] 區段。
- 按一下 [停用] 可禁止加密網站上的擷取。
變更為 [停用] 將會解密所有現有的加密擷取。解密儲存在網站上的所有擷取可能需要一段時間。 - 按一下 [儲存]
檢視所有網站的擷取加密模式
在多網站伺服器上,按一下網站功能表上的 [管理所有網站]。
附註:只有在您以伺服器管理員身分登入後,才會顯示 [管理所有網站] 選項。
- 按一下 [網站]。
- 每個網站的加密模式會顯示在 [空閒時擷取加密] 欄中。
加密或解密發佈工作簿或資料來源的擷取
附註:用於加密或解密與特定發佈工作簿或資料來源相關的擷取之選項只有在將空閒時加密的網站設定設定為 [啟用] 時才可以使用。將網站設定為 [停用] 時,所有內容都不會加密。當網站設定為 [強制執行] 時,所有內容都會加密。
附註:您必須是擁有者或管理員。
- 轉到發佈工作簿或發行資料來源頁面。
- 按一下顯示 [加密擷取] 或 [解密擷取] 的下拉式功能表。
- 選取 [解密]。
您會看到一則訊息,顯示「正在解密擷取」。
-或者-
選取 [加密]。
啟動加密工作。
或者,您也可以加密或解密在卡片檢視動作功能表、清單檢視動作功能表,以及頁首區段中動作功能表上的擷取。
加密或解密多個項目
- 轉到資料來源頁面。
- 選取一個或多個資料來源旁的核取方塊。
- 在 [資料來源] 頁面左上方的,按一下 [動作]。
- 按一下 [加密] 或 [解密]。
檢視單一項目的加密狀態
- 登入到網站。
- 轉到單一資料來源頁面。
-或者-
轉到含有內嵌資料來源之工作簿的單一工作簿頁面。 - 加密狀態顯示在頁面上。
依加密狀態篩選資料來源
- 在網站中,按一下 [探索]。
- 按一下右上方的 [探索:上層專案] 下拉式功能表,並選取 [所有資料來源]。
- 按一下篩選程式圖示。
- 向下捲動至「即時或擷取」區段,然後選取篩選選項:[全部]、[即時]、[擷取]、[解密擷取]、[加密擷取]、[目前正在加密]或[目前正在解密]。
- 如果您要將「即時至 .tde 檔案」和「即時至 .hyper 檔案」連線包含在篩選器結果中,請選擇「包含 .tde 和 .hyper 檔案」旁邊的核取方塊。
依加密狀態篩選工作簿
- 在網站中,按一下 [探索]。
- 按一下右上方的 [探索:上層專案] 下拉式功能表,並選取 [所有工作簿]。
- 按一下篩選程式圖示。
- 向下捲動至「即時或擷取」區段,然後選取篩選選項:[全部]、[即時]、[擷取]、[已發佈]、[解密擷取]、[加密擷取]、[目前正在加密]或[目前正在解密]。
- 如果您要將「即時至 .tde 檔案」和「即時至 .hyper 檔案」連線包含在篩選器結果中,請選擇「包含 .tde 和 .hyper 檔案」旁邊的核取方塊。
會顯示任何具有至少一個與篩選程式選項相符之連線的工作簿。
檢視加密或解密擷取背景工作的狀態
- 在網站中,按一下 [網站狀態]。
- 按一下 [非擷取的背景工作],查看已完成和擱置的背景工作詳細資訊。
附註:[非擷取的背景工作] 包含與擷取重新整理不相關的所有工作,因此它包含加密工作。 - 在 [工作] 功能表中,選取 [加密擷取] 或 [解密擷取],然後按一下 [套用]。
- 在 [時間範圍] 功能表中,選取一個範圍。
您會看到所有基於擷取之發行資料來源和工作簿的「加密擷取」或「解密擷取」背景工作。
tabcmd 公用程式
tabcmd 命令列公用程式具有控制擷取加密的命令和選項。有關詳情,請參閱 tabcmd 文件。
建立網站時指定擷取加密模式
tabcmd createsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]
在編輯網站時指定擷取加密模式
tabcmd editsite <site-name> --extract-encryption-mode [enforced | enabled | disabled]
列出網站時取得擷取加密模式
tabcmd listsites --get-extract-encryption-mode
在發佈工作簿、資料來源或擷取到伺服器時加密擷取
tabcmd publish "filename.hyper" –-encrypt-extracts
解密網站上的所有擷取
附註:根據擷取的數目和大小,此作業可能會耗用大量的伺服器資源。考慮在正常營業時間之外執行此命令。
tabcmd decryptextracts <site-name>
加密網站上的所有擷取
附註:根據擷取的數目和大小,此作業可能會耗用大量的伺服器資源。考慮在正常營業時間之外執行此命令。
tabcmd encryptextracts <site-name>
用新加密金鑰重新加密網站上的所有擷取
您必須指定一個網站。
附註:根據擷取的數目和大小,此作業可能會耗用大量的伺服器資源。考慮在正常營業時間之外執行此命令。
tabcmd reencryptextracts <site-name>
有關詳情,請參閱 reencryptextracts。
Tableau Server Rest API
利用 Tableau Server REST API,您可以以程式設計方式管理 Tableau Server 資源。可以使用此存取建立您自己的自訂應用程式,或者編寫交互指令碼以便與 Tableau Server 資源進行交互。
若要瞭解詳細資訊,請參閱擷取加密方法(連結在新視窗開啟)。