Tableau Server 金鑰管理系統

Tableau Server 具有三個金鑰管理系統 (KMS) 選項,可讓您啟用空閒時加密。其中一個為本機選項,可用於 Tableau Server 的所有安裝。另外兩個選項需要伺服器管理附加元件,但是允許使用其他 KMS。

從版本 2019.3 開始,Tableau Server 已新增以下 KMS 選項: 

  • 所有安裝都可用的本機 KMS。 如下所述。
  • 伺服器管理附加元件中包含的基於 AWS 的 KMS。有關詳情,請參閱 AWS 金鑰管理系統

從版本 2021.1 開始,Tableau Server 已新增另一個 KMS 選項: 

  • 伺服器管理附加元件中包含的基於 Azure 的 KMS。有關詳情,請參閱 Azure 金鑰保存庫

Tableau Server 本機 KMS

Tableau Server 本機 KMS 使用 管理伺服器密碼 中所述的密文儲存功能加密並儲存主擷取金鑰。在這種情況下,Java keystore 成為金鑰階層的根目錄。Java keystore 已隨 Tableau Server 一起安裝。主金鑰的存取是由作業系統的原生檔案系統授權機制管理。在預設設定中,Tableau Server 本機 KMS 用於已加密擷取。本機 KMS 和加密擷取的金鑰階層如這裡所示:

疑難排解設定

多節點不當設定

在 AWS KMS 的多節點安裝中,即使叢集中的其他節點設定不當,tsm security kms status 命令也會報告健全 (OK) 狀態。KMS 狀態檢查只會報告執行 Tableau Server Administration Controller 處理序所在的節點,而不會報告叢集中的其他節點。預設情況下,Tableau Server 管理控制器程序在叢集中的初始節點上執行。

因此,如果另一個節點設定不當,導致 Tableau Server 無法存取 AWS CMK,這些節點可能會報告各種服務的錯誤狀態,而這些服務將無法啟動。

如果將 KMS 設為 AWS 模式後,某些服務無法啟動,則請執行下列命令,回復成本機模式:tsm security kms set-mode local

在 Tableau Server 上重新產生 RMK 和 MEK

若要在 Tableau Server 上重新產生根主金鑰和主加密金鑰,請執行 tsm security regenerate-internal-tokens 命令。

此區段的其他文章

感謝您的意見回饋!