Tableau Server verfügt über drei Schlüsselverwaltungsoptionen, mit denen Sie die Verschlüsselung im Ruhezustand aktivieren können. Eine ist eine lokale Option, die bei allen Installationen von Tableau Server verfügbar ist. Für zwei zusätzliche Optionen ist das Servermanagement-Add-on erforderlich. Sie können jedoch ein anderes Schlüsselverwaltungssystem verwenden.

Ab Version 2019.3 verfügt Tableau Server über die folgenden Schlüsselverwaltungsoptionen: 

  • Eine lokale Schlüsselverwaltungsoption, das für alle Installationen verfügbar ist. Dies wird im Folgenden beschrieben.
  • Ein AWS-basiertes Schlüsselverwaltungssystem, das als Teil des Server Management-Add-ons verwendet wird. Weitere Informationen finden Sie unter AWS-Schlüsselverwaltungssystem (KMS).

Ab Version 2021.1 verfügt Tableau Server über eine weitere Schlüsselverwaltungsoption: 

  • Ein Azure-basiertes KMS, das als Teil des Server Management-Add-ons verwendet wird. Weitere Informationen finden Sie unter Azure Key Vault.

Tableau Server lokales KMS

Der lokale KMS von Tableau Server verwendet die in Verwalten von Servergeheimnissen beschriebene geheime Speicherfunktion zum Verschlüsseln und Speichern des Master-Extraktschlüssels. In diesem Szenario dient der Java-Schlüsselspeicher als Wurzel der Schlüsselhierarchie. Der Java Keystore wird mit Tableau Server installiert. Der Zugriff auf den Hauptschlüssel wird durch native Autorisierungsmechanismen des Dateisystems durch das Betriebssystem verwaltet. In der Standardkonfiguration wird das lokale KMS von Tableau Server für verschlüsselte Extrakte verwendet. Die Schlüsselhierarchie für lokale KMS und verschlüsselte Extrakte ist hier dargestellt:

Fehlerbehebung bei der Konfiguration

Multi-Node Fehlkonfiguration

In einem Multi-Kern-Setup für AWS KMS kann der tsm security kms status Befehl einen gesunden (OK-)Status melden, auch wenn ein anderer Knoten im Cluster falsch konfiguriert ist. Die KMS-Statusprüfung meldet nur den Knoten, auf dem der Prozess "Tableau Server Administration Controller" läuft, und nicht die anderen Knoten im Cluster. Standardmäßig läuft der Prozess "Tableau Server Administration Controller" auf dem Anfangsknoten im Cluster.

Wenn also ein anderer Knoten so falsch konfiguriert ist, dass Tableau Server nicht auf AWS CMK zugreifen kann, können diese Knoten Fehlerzustände für verschiedene Dienste melden, die nicht starten können.

Wenn einige Dienste nicht starten können, nachdem Sie KMS auf den AWS-Modus eingestellt haben, führen Sie den folgenden Befehl aus, um in den lokalen Modus zurückzukehren: tsm security kms set-mode local.

RMK und MEK in Tableau Server neu generieren

Um den Root-Masterkey und die Master-Verschlüsselungscodes auf Tableau Server zu regenerieren, führen Sie den Befehl tsm security regenerate-internal-tokens aus.

Vielen Dank für Ihr Feedback!