Système de gestion de clés Tableau Server


Tableau Server dispose de trois options KMS (Key Management System, ou système de gestion de clés) pour activer le chiffrement au repos. L’une est une option locale disponible avec toutes les installations de Tableau Server. Les deux autres options nécessitent Advanced Management (anciennement Server Management Add-on), mais vous permettent d’utiliser un KMS différent.

Depuis la version 2019.3, Tableau Server a ajouté ces options KMS : 

  • KMS local disponible avec toutes les installations. Ce système est décrit ci-dessous.
  • KMS basé sur AWS qui fait partie d’Advanced Management Pour plus de détails, consultez Système de gestion de clés AWS.

Depuis la version 2021.1, Tableau Server a ajouté une autre option KMS : 

  • KMS basé sur Azure qui est partie intégrante d’Advanced Management. Pour plus de détails, consultez Azure Key Vault.

Système KMS local de Tableau Server

Le système KMS local de Tableau Server utilise la capacité de stockage secrète décrite dans Gérer les secrets de serveur pour chiffrer et stocker la clé d’extrait principale. Dans ce scénario, le keystore Java sert de racine à la hiérarchie des clés. Le keystore Java est installé avec Tableau Server. L’accès à la clé principale est géré via les mécanismes d’autorisation du système de fichiers natif par le système d’exploitation. Dans la configuration par défaut, le KMS local Tableau Server est utilisé pour les extraits chiffrés. La hiérarchie des clés pour les KMS locaux et les extraits chiffrés est illustrée ici :

Dépannage de la configuration

Configuration multinœud incorrecte

Dans une configuration multinœud pour AWS KMS, la commande tsm security kms status peut signaler un état sain (OK), même si un autre nœud du groupement est mal configuré. Le contrôle d’état de KMS ne crée des rapports que sur le nœud sur lequel le processus Contrôleur d’administration Tableau Server s’exécute, sans créer de rapports sur les autres nœuds du groupement. Par défaut, le service Contrôleur d’administration Tableau Server s’exécute sur le nœud initial du groupement.

Par conséquent, si un autre nœud est incorrectement configuré et que Tableau Server ne peut pas accéder à AWS KMS, ces nœuds peuvent signaler des états d’erreur pour divers services, qui ne démarreront pas.

Si certains services ne démarrent pas après que vous avez défini KMS sur le mode AWS, exécutez la commande suivante pour revenir au mode local : tsm security kms set-mode local.

Regénérer RMK et MEK sur Tableau Server

Pour regénérer la clé racine principale et les clés de chiffrement principales sur Tableau Server, exécutez la commande tsm security regenerate-internal-tokens.

Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!