Sistema de administración de claves de Tableau Server

Tableau Server tiene tres opciones del sistema de administración de claves (KMS) que le permiten habilitar el cifrado en reposo. Una es una opción local que está disponible con todas las instalaciones de Tableau Server. Dos opciones adicionales requieren el complemento de administración de servidores, pero le permiten usar un KMS diferente.

A partir de la versión 2019.3, Tableau Server añadió estas opciones de KMS: 

  • Un KMS local que está disponible con todas las instalaciones. Esto se describe a continuación.
  • Un KMS basado en AWS que incluido como parte del complemento de administración de servidores. Para obtener más información, consulte Sistema de administración de claves de AWS.

A partir de la versión 2021.1, Tableau Server agregó otra opción de KMS: 

  • Un KMS basado en Azure que viene como parte del complemento de administración de servidores. Para obtener más información, consulte Azure Key Vault.

KMS local de Tableau Server

El KMS local de Tableau Server utiliza la capacidad de almacenamiento de secretos descrita en Administrar secretos del servidor para cifrar y almacenar la clave maestra de extracción. En esta situación, el almacén de claves de Java sirve como raíz de la jerarquía de claves. El almacén de claves de Java se instala con Tableau Server. El acceso a la clave maestra lo administra el sistema operativo mediante mecanismos de autorización del sistema de archivos nativo. En la configuración predeterminada se utiliza el KMS local de Tableau Server para las extracciones cifradas. Aquí se ilustra la jerarquía de claves para el KMS local y las extracciones cifradas:

Solución de problemas de configuración

Error de configuración multinodo

En una configuración multinodo para AWS KMS tsm security kms status, el comando puede comunicar un estado correcto (OK) aunque otro nodo en el clúster esté mal configurado. La comprobación de estado de KMS solo informa sobre el nodo en el que se ejecuta el proceso del controlador de administración de Tableau Server, no sobre los demás nodos del clúster. De forma predeterminada, el proceso del controlador de administración de Tableau Server se ejecuta en el nodo inicial del clúster.

Por lo tanto, si otro nodo está mal configurado de tal manera que Tableau Server no pueda acceder al AWS CMK, esos nodos pueden comunicar estados de Error en varios servicios (que no se podrán iniciar).

Si algunos servicios no logran iniciarse después de configurar KMS en el modo AWS, ejecute el siguiente comando para volver al modo local: tsm security kms set-mode local.

Regenerar RMK y MEK en Tableau Server

Para regenerar la clave maestra raíz y las claves maestras de cifrado en Tableau Server, ejecute el comando tsm security regenerate-internal-tokens.

Otros artículos de esta sección

¡Gracias por sus comentarios!