Système de gestion de clés Tableau Server
Tableau Server dispose de trois options KMS (Key Management System, ou système de gestion de clés) pour activer le cryptage au repos. L’une est une option locale disponible avec toutes les installations de Tableau Server. Les deux autres options nécessitent le module Advanced Management (antérieurement Server Management Add-on), mais vous permettent d’utiliser un KMS différent.
Depuis la version 2019.3, Tableau Server a ajouté ces options KMS :
- KMS local disponible avec toutes les installations. Ce système est décrit ci-dessous.
- KMS basé sur AWS qui fait partie du module Advanced Management. Pour plus de détails, consultez Système de gestion de clés AWS.
Depuis la version 2021.1, Tableau Server a ajouté une autre option KMS :
- KMS basé sur Azure qui fait partie du module Advanced Management. Pour plus de détails, consultez Azure Key Vault.
Système KMS local de Tableau Server
Le système KMS local de Tableau Server utilise la capacité de stockage secrète décrite dans Gérer les secrets de serveur pour crypter et stocker la clé d’extrait principale. Dans ce scénario, le keystore Java sert de racine à la hiérarchie des clés. Le keystore Java est installé avec Tableau Server. L’accès à la clé principale est géré via les mécanismes d’autorisation du système de fichiers natif par le système d’exploitation. Dans la configuration par défaut, le KMS local Tableau Server est utilisé pour les extraits cryptés. La hiérarchie des clés pour les KMS locaux et les extraits cryptés est illustrée ici :
Dépannage de la configuration
Configuration multinœud incorrecte
Dans une configuration multinœud pour AWS KMS, la commande tsm security kms status
peut signaler un état sain (OK), même si un autre nœud du cluster est mal configuré. Le contrôle d’état de KMS ne crée des rapports que sur le nœud sur lequel le processus Contrôleur d’administration Tableau Server s’exécute, sans créer de rapports sur les autres nœuds du cluster. Par défaut, le service Contrôleur d’administration Tableau Server s’exécute sur le nœud initial du cluster.
Par conséquent, si un autre nœud est incorrectement configuré et que Tableau Server ne peut pas accéder à AWS KMS, ces nœuds peuvent signaler des états d’erreur pour divers services, qui ne démarreront pas.
Si certains services ne démarrent pas après que vous avez défini KMS sur le mode AWS, exécutez la commande suivante pour revenir au mode local : tsm security kms set-mode local
.
Regénérer RMK et MEK sur Tableau Server
Pour regénérer la clé racine principale et les clés de cryptage principales sur Tableau Server, exécutez la commande tsm security regenerate-internal-tokens
.