Azure Key Vault
Tableau Server dispose de trois options KMS (Key Management System, ou système de gestion de clés) pour activer le cryptage au repos. Deux d’entre elles exigent les capacités Advanced Management, tandis qu’une option locale est disponible avec toutes les installations de Tableau Server.
Important : depuis le 16 septembre 2024, Advanced Management n’est plus disponible en tant qu’option de module complémentaire indépendant. Les fonctionnalités Advanced Management ne sont disponibles que si vous aviez acheté Advanced Management précédemment ou si vous achetez des éditions de licence spécifiques, à savoir Tableau Enterprise (pour Tableau Server ou Tableau Cloud) ou bien Tableau+ (pour Tableau Cloud).
Depuis la version 2019.3, Tableau Server a ajouté ces options KMS :
- KMS local disponible avec toutes les installations. Pour plus d’informations, consultez Système de gestion de clés Tableau Server.
- KMS basé sur AWS qui fait partie du module Advanced Management. Pour plus de détails, consultez Système de gestion de clés AWS.
Depuis la version 2021.1, Tableau Server a ajouté une autre option KMS :
- KMS basé sur Azure qui fait partie du module Advanced Management. Il est décrit ci-dessous.
Azure Key Vault pour le cryptage au repos
Azure Key Vault est disponible comme partie intégrante du module Advanced Management pour Tableau Server depuis la version 2021.1.0. Pour plus d’informations, consultez À propos de Tableau Advanced Management sur Tableau Server.
Si votre entreprise déploie le cryptage d’extrait de données au repos, vous avez la possibilité de configurer Tableau Server pour utiliser Azure Key Vault comme KMS pour le cryptage d’extrait. Pour activer Azure Key Vault, vous devez déployer Tableau Server dans Azure. Dans le scénario Azure, Tableau Server utilise Azure Key Vault pour chiffrer la clé RMK (root master key, ou clé racine principale) pour tous les extraits cryptés. Cependant, même lorsqu’il est configuré pour Azure Key Vault, le keystore Java Tableau Server natif et le KMS local sont toujours utilisés pour le stockage sécurisé des secrets sur Tableau Server. Azure Key Vault ne sert qu’à crypter la clé racine principale pour les extraits cryptés.
Hiérarchie des clés lorsque Tableau Server est configuré avec Azure Key Vault
Configurer Azure Key Vault pour les extraits cryptés Tableau Server
Si vous utilisez Azure Key Vault pour crypter la clé racine dans la hiérarchie KMS de Tableau Server, vous devez configurer Tableau Server comme décrit dans cette section.
Avant de démarrer, vérifiez que votre configuration remplit les exigences suivantes :
- Tableau Server doit être déployé dans Azure.
- Tableau Server doit être configuré avec une licence Advanced Management. Consultez À propos de Tableau Advanced Management sur Tableau Server.
- Vous devez avoir un contrôle administratif sur le coffre-fort de clés d’Azure où réside la clé.
Étape 1 : Créer un coffre-fort de clés et une clé pour Tableau Server dans Azure
Les procédures suivantes sont exécutées dans le service Azure Key Vault. Les références sont incluses dans la documentation Azure.
- Créez le coffre de clés que vous utiliserez pour Tableau Server. Consultez la rubrique Création d’un coffre de clés(Le lien s’ouvre dans une nouvelle fenêtre) dans Azure.
- Créez une clé dans le coffre. Consultez la rubrique Gestion des clés et des secrets(Le lien s’ouvre dans une nouvelle fenêtre) dans Azure.
La clé doit être asymétrique, de type RSA, mais peut être de n’importe quelle taille (Tableau Server ne se soucie pas de la taille de la clé). Nous vous recommandons d’utiliser le principe du privilège minimum pour assurer une sécurité maximale.
Tableau a besoin d’autorisations pour exécuter les opérations des commandes GET, UNWRAP KEY et WRAP KEY et nous vous recommandons de n’autoriser l’accès avec privilège minimum que pour ces opérations. Attribuez la stratégie d’accès à la machine virtuelle sur laquelle vous exécutez Tableau Server.
Dans un déploiement distribué de Tableau Server, la stratégie d’accès doit être attribuée à tous les nœuds du cluster serveur.
Étape 2 : Collecter les paramètres de configuration Azure
Vous aurez besoin du nom du coffre-fort de clés et du nom de clé d’Azure.
Étape 3 : Configurer Tableau Server pour Azure Key Vault
Exécutez la commande suivante sur Tableau Server. Cette commande redémarre le serveur :
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
Les options
--vault-name
et--key-name
d’une chaîne directe copie une chaîne directe de votre coffre-fort de clés Azure.Par exemple, si votre coffre-fort de clés Azure s’appelle
tabsrv-keyvault
et votre clétabsrv-sandbox-key01
, la commande serait la suivante :tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"
Étape 4 : Activer le cryptage au repos
Consultez Cryptage d’extrait au repos.
Étape 5 : Valider l’installation
Exécutez la commande suivante :
Les informations suivantes peuvent être retournées :
- État : OK (indique que le nœud du contrôleur peut accéder au coffre de clés) :
- Mode : Azure Key Vault
- Nom du coffre : <key_vault_name>
- Nom de la clé Azure Key Vault :<key_name>
- Liste des UUID disponibles pour les MEK indiquant quelle clé est active
- Informations d’erreur si les données KMS ne sont pas accessibles
Affichez les journaux après avoir crypté et décrypté les extraits :
Publiez des extraits sur votre site et cryptez-les. Consultez Cryptage d’extrait au repos.
Accédez aux extraits avec Tableau Desktop ou avec la création Web sur un navigateur (ceci décryptera les extraits afin qu’ils puissent être utilisés).
Recherchez les chaînes
AzureKeyVaultEnvelopeAccessor
etAzureKeyVaultEnvelope
dans les fichiers journaux vizqlserver_node. L’emplacement par défaut des journaux estC:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs
Pour publier et actualiser des extraits associés à Azure Key Vault, effectuez une recherche dans les journaux du backgrounder. Pour plus d’informations sur les fichiers journaux, consultez Journaux et emplacement des fichiers journaux Tableau Server.
Dépannage de la configuration
Configuration multinœud incorrecte
Dans une configuration multinœud d’Azure Key Vault, la commande tsm security kms status
peut signaler un état sain (OK) même si un autre nœud du cluster est incorrectement configuré. Le contrôle d’état de KMS ne crée des rapports que sur le nœud sur lequel le processus Contrôleur d’administration Tableau Server s’exécute. Il ne rend pas compte des autres nœuds du cluster. Par défaut, le service Contrôleur d’administration Tableau Server s’exécute sur le nœud initial du cluster.
Par conséquent, si un autre nœud est incorrectement configuré si bien que Tableau Server ne peut pas accéder à la clé Azure, ces nœuds peuvent signaler des états d’erreur pour divers services, qui ne démarreront pas.
Si certains services ne démarrent pas après que vous avez défini KMS sur le mode « azure », exécutez la commande suivante pour revenir au mode local : tsm security kms set-mode local
.
Actualiser la clé Azure
Vous actualisez la clé Azure dans Azure. Il n’y a pas d’intervalle requis ou programmé d’actualisation de clé. Vous pouvez actualiser votre clé en créant une nouvelle version de clé dans Azure. Étant donné que le nom du coffre de clés et le nom de la clé ne changent pas, vous n’avez pas besoin de mettre à jour la configuration KMS sur Tableau Server pour les scénarios d’actualisation de clés Azure courants.
Sauvegarde et restauration à l’aide d’Azure Key Vault
Une sauvegarde serveur peut être effectuée en mode Azure Key Vault sans configuration ni procédure supplémentaire. La sauvegarde contient des copies cryptées des RMK et MEK. Le décryptage des clés nécessite l’accès et le contrôle d’Azure Key Vault.
Dans le cas d’une restauration, le serveur en cours de restauration peut être soit en mode Azure Key Vault, soit en mode KMS local. La seule exigence est que le serveur sur lequel la sauvegarde est restaurée ait accès au Azure Key Vault utilisé par la sauvegarde elle-même.