Système de gestion de clés Tableau Server
Tableau Server dispose de trois options KMS (Key Management System, ou système de gestion de clés) pour activer le chiffrement au repos. L’une est une option locale disponible avec toutes les installations de Tableau Server. Les deux autres options nécessitent les capacités Advanced Management, mais vous permettent d'utiliser un KMS différent.
Important : À compter du 16 septembre 2024, Advanced Management ne sera plus vendu en tant qu’option complémentaire indépendante. Les fonctionnalités de Tableau Advanced Management ne sont disponibles que si vous avez déjà acheté Advanced Management ou si vous achetez certaines éditions de licence : Tableau Enterprise (pour Tableau Server ou Tableau Cloud) ou Tableau+ (pour Tableau Cloud).
Depuis la version 2019.3, Tableau Server a ajouté ces options KMS :
- KMS local disponible avec toutes les installations. Ce système est décrit ci-dessous.
- KMS basé sur AWS qui fait partie d’Advanced Management Pour plus de détails, consultez Système de gestion de clés AWS.
Depuis la version 2021.1, Tableau Server a ajouté une autre option KMS :
- KMS basé sur Azure qui est partie intégrante d’Advanced Management. Pour plus de détails, consultez Azure Key Vault.
Système KMS local de Tableau Server
Le système KMS local de Tableau Server utilise la capacité de stockage secrète décrite dans Gérer les secrets de serveur pour chiffrer et stocker la clé d’extrait principale. Dans ce scénario, le keystore Java sert de racine à la hiérarchie des clés. Le keystore Java est installé avec Tableau Server. L’accès à la clé principale est géré via les mécanismes d’autorisation du système de fichiers natif par le système d’exploitation. Dans la configuration par défaut, le KMS local Tableau Server est utilisé pour les extraits chiffrés. La hiérarchie des clés pour les KMS locaux et les extraits chiffrés est illustrée ici :
Dépannage de la configuration
Configuration multinœud incorrecte
Dans une configuration multinœud pour AWS KMS, la commande tsm security kms status
peut signaler un état sain (OK), même si un autre nœud du groupement est mal configuré. Le contrôle d’état de KMS ne crée des rapports que sur le nœud sur lequel le processus Contrôleur d’administration Tableau Server s’exécute, sans créer de rapports sur les autres nœuds du groupement. Par défaut, le service Contrôleur d’administration Tableau Server s’exécute sur le nœud initial du groupement.
Par conséquent, si un autre nœud est incorrectement configuré et que Tableau Server ne peut pas accéder à AWS KMS, ces nœuds peuvent signaler des états d’erreur pour divers services, qui ne démarreront pas.
Si certains services ne démarrent pas après que vous avez défini KMS sur le mode AWS, exécutez la commande suivante pour revenir au mode local : tsm security kms set-mode local
.
Regénérer RMK et MEK sur Tableau Server
Pour regénérer la clé racine principale et les clés de chiffrement principales sur Tableau Server, exécutez la commande tsm security regenerate-internal-tokens
.