Azure Key Vault
Tableau Server 具有三個金鑰管理系統 (KMS) 選項,可讓您啟用空閒時加密。其中兩個需要 Advanced Management(之前稱為 Server Management Add-on),而 Tableau Server 的所有安裝都可用本機附加元件。
從版本 2019.3 開始,Tableau Server 已新增以下 KMS 選項:
- 所有安裝都可用的本機 KMS。詳細資訊,請參閱 Tableau Server 金鑰管理系統。
- Advanced Management 中包含的基於 AWS 的 KMS。有關詳情,請參閱 AWS 金鑰管理系統。
從版本 2021.1 開始,Tableau Server 已新增另一個 KMS 選項:
- Advanced Management 中包含的基於 Azure 的 KMS。 如下所述。
Azure Key Vault 可用於空閒時加密
從版本 2021.1.0 開始,Azure Key Vault 作為 Tableau Server 的 Advanced Management 的一部分提供。有關詳情,請參閱关于 Tableau Server 中的 Tableau Advanced Management 。
若組織正在部署空閒時資料擷取加密,則可以選擇將 Tableau Server 設定為使用 Azure Key Vault 作為 KMS 進行擷取加密。若要啟用 Azure Key Vault,必須在 Azure 中部署 Tableau Server。在 Azure 情境中,Tableau Server 會使用 Azure Key Vault 對所有已加密擷取的根主金鑰 (RMK) 進行加密。但是,即使已設定 Azure Key Vault,仍會使用 Tableau Server 原生 Java Keystore 和本機 KMS 對 Tableau Server 上的密碼進行安全儲存。Azure Key Vault 僅用於加密已加密擷取的根主金鑰。
將 Tableau Server 設定為使用 Azure Key Vault 時的金鑰階層
為 Tableau Server 加密擷取設定 Azure Key Vault
若要使用 Azure Key Vault 加密 Tableau Server KMS 階層中的根金鑰,必須按照本節中的說明設定 Tableau Server。
在開始之前,確定您符合以下要求:
- Tableau Server 必須部署在 Azure 中。
- Tableau Server 必須使用 Advanced Management 授權進行設定。請參閱关于 Tableau Server 中的 Tableau Advanced Management 。
- 必須對金鑰所在的 Azure 中的保存庫具有管理控制權。
步驟 1:在 Azure 中為 Tableau Server 建立金鑰保存庫和金鑰
下列程序會在 Azure Key Vault 服務中執行。參考包含在 Azure 文件中。
- 建立將用於 Tableau Server 的金鑰保存庫。請參閱 Azure 主題建立金鑰保存庫(連結在新視窗開啟)。
- 在保存庫中建立金鑰。請參閱 Azure 主題管理金鑰和密碼(連結在新視窗開啟)。
金鑰必須是非對稱的 RSA 類型,但可以是任何大小(Tableau Server 對金鑰大小沒有要求)。建議使用「最低權限原則」來取得最大的安全性。
Tableau 需要權限才能執行 GET、UNWRAP KEY 和 WRAP KEY 命令操作,並且我們建議僅允許存取這些指定的操作,以取得最低權限。將存取原則指派給在其上執行 Tableau Server 的 VM。
在 Tableau Server 的多節點部署中,必須將存取原則指派給伺服器叢集的所有節點。
步驟 2:收集 Azure 設定參數
將需要 Azure 中的金鑰保存庫名稱和金鑰名稱。
步驟 3:為 Azure Key Vault 設定 Tableau Server
在 Tableau Server 上執行以下命令。此命令將重新啟動伺服器:
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"--vault-name和--key-name選項是直接來自 Azure Key Vault 的字串複本。例如,若 Azure Key Vault 名稱為
tabsrv-keyvault,而金鑰為tabsrv-sandbox-key01,則命令如下:tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"
步驟 4:啟用空閒時加密
請參閱空閒時擷取加密。
步驟 5:驗證安裝
執行以下命令:
可能會傳回下列資訊:
- 狀態:正常(表示控制項目節點可以存取 Key Vault):
- 模式:Azure Key Vault
- 保存庫名稱: <key_vault_name>
- Azure Key Vault 金鑰名稱:<key_name>
- MEK 的 可用 UUID 清單,表示哪個金鑰處於使用中狀態
- 若無法存取 KMS 資料,則會顯示錯誤資訊
在您加密和解密擷取之後檢視記錄:
發佈擷取至您的網站,然後對其進行加密。請參閱空閒時擷取加密。
使用 Tableau Desktop 或瀏覽器的 Web 製作存取擷取(這會解密要使用的擷取)。
在 vizqlserver_node 記錄檔中搜尋
AzureKeyVaultEnvelope和AzureKeyVaultEnvelopeAccessor字串。記錄的預設位置為/var/opt/tableau/tableau_server/data/tabsvc/logs/對於與 Azure Key Vault 相關的發佈及擷取重新整理,請搜尋背景程式記錄。有關記錄的詳細資訊,請參閱Tableau Server 記錄檔和記錄檔位置。
疑難排解設定
多節點不當設定
在 Azure Key Vault 的多節點設定中,即使叢集中的另一個節點設定不當,tsm security kms status 命令也可能報告健康 (OK) 狀態。KMS 狀態檢查只會報告執行 Tableau Server 管理控制項目處理序所在的節點,而不會報告叢集中的其他節點。預設情況下,Tableau Server 管理控制項目程序在叢集中的初始節點上執行。
因此,若另一個節點設定不當,導致 Tableau Server 無法存取 Azure 金鑰,這些節點可能會報告各種服務的錯誤狀態,而這些服務將無法啟動。
若將 KMS 設為「azure」模式後,某些服務無法啟動,則請執行下列命令,以還原到本機模式:tsm security kms set-mode local。
重新整理 Azure 金鑰
重新整理 Azure 中的 Azure 金鑰。沒有必需的或排程的金鑰重新整理時間段。可以透過在 Azure 中建立新的金鑰版本來重新整理金鑰。由於 Key Vault 名稱和金鑰名稱沒有變更,因此對於正常的 Azure Key 重新整理情境,不需要更新 Tableau Server 上的 KMS 設定。
使用 Azure Key Vault 備份和還原
可以在 Azure Key Vault 模式下進行伺服器備份,而無需其他設定或程序。備份包含 RMK 和 MEK 的加密複本。解密金鑰需要對 Azure Key Vault 的存取和控制權限。
對於還原情境,要放置還原內容的伺服器可以處於 Azure Key Vault 或本機 KMS 模式。唯一的要求是,要將備份還原到的伺服器有權存取備份本身使用的 Azure Key Vault。