tsm security

tsm security コマンドを使って Tableau Server の外部 (ゲートウェイ) SSL または リポジトリ (Postgres) SSL のサポートを構成します。リポジトリの SSL 設定には、Tableau クライアント (Tableau Desktop、Tableau Mobile、Web ブラウザーなど) からリポジトリへの直接接続を介して SSL を有効にするオプションが含まれます。

前提条件

SSL を設定する前に証明書を取得して、Tableau Server ゲートウェイ プロセスを実行するコンピュータにコピーしておく必要があります。クライアントからの直接接続を有効にする場合は、さらに準備が必要です。詳細については、次の記事を参照してください。

Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成する

内部 Postgres 通信用に SSL を設定する

 相互 (2 方向) SSL の詳細については、相互 SSL 認証の構成および「tsm authentication mutual-ssl コマンド」を参照してください。

tsm security custom-cert add

カスタム CA 証明書を Tableau Server に追加します。この証明書は、必要に応じて、SMTP サーバーと Tableau Server 間の TLS 通信の信頼を確立するために使用されます。

カスタム証明書が既に存在する場合、このコマンドは失敗します。tsm security custom-cert delete コマンドを使用して、既存のカスタム証明書を削除できます。

:このコマンドで追加する証明書は、TLS 接続の他の Tableau Server サービスで使用される場合があります。

シノプシス

tsm security custom-cert add --cert-file <file.crt> [global options]

オプション

-c, --cert-file <file.crt>

必須。有効な PEM または DER 形式で証明書ファイルの名前を指定します。

tsm security custom-cert delete

サーバーの既存のカスタム証明書を削除します。これにより、新しいカスタム証明書を追加できるようになります。

シノプシス

tsm security custom-cert delete[global options]

tsm security custom-cert list

カスタム証明書の詳細を一覧表示します。

シノプシス

tsm security custom-cert list[global options]

tsm security external-ssl disable

サーバーの既存 SSL 構成設定を削除し、外部クライアントとサーバー間のトラフィックの暗号化を停止します。

シノプシス

tsm security external-ssl disable [global options]

tsm security external-ssl enable

外部 HTTP 通信を介した SSL の証明書およびキー ファイルを有効にし、指定します。

シノプシス

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

オプション

--cert-file <file.crt>

必須。拡張子 .crt が付いた有効な PEM 暗号化 x509 証明書の名前を指定します。

--key-file <file.key>

必須。規則による拡張子 .key が付いた有効な RSA または DSA 秘密キー ファイルを指定します。

--chain-file <chainfile.crt>

証明書チェーン ファイル (.crt) を指定します。

Mac の Tableau Desktop には証明書チェーン ファイルが必要です。場合によっては、Tableau Mobile で証明書チェーン ファイルが必要になることがあります。

証明書プロバイダーによっては、Apache 用に 2 つの証明書を発行する場合があります。2 つ目の証明書はチェーン ファイルです。これは、サーバー証明書の証明書チェーンを構成するすべての証明書を連結したものです。

ファイルのすべての証明書は、PEM 暗号化 x509 証明書を指定し、ファイルには .crt 拡張子 (.pem ではない) が付いている必要があります。

--passphrase

オプション。証明書ファイルのパスフレーズ。入力するパスフレーズは保存中に暗号化されます。

注: パスフレーズに証明書のキー ファイルを作成する場合、SAML に SSL 証明書キーを再利用することはできません。

--protocols <list protocols>

オプション。許可したい、または禁止したいトランスポート レイヤー セキュリティ (TLS) プロトコル バージョンをリストします。

TLS は SSL の向上バージョンです。Tableau Server は接続を認証し、暗号化するために TLS を使用します。許容される値には Apache でサポートされるプロトコル バージョンが含まれます。プロトコルを無効化するには、-の記号をプロトコルバージョンの先頭に追加します。

既定の設定: "all, -SSLv2, -SSLv3"

この規定は明示的に外部クライアントが Tableau Server に接続するために SSL v2 または SSL v3 プロトコルを使用することを許可しません。ただし、TLS v1 および TLS v1.1 を禁止することを推奨します。

特定の TLS を拒否する前に、ユーザーたちが Tableau Server に接続するブラウザーが TLS v1.2 をサポートすることを確認してください。ブラウザーが更新されるまで、TLSv1.1 のサポートを維持する必要がある可能性があります。

TLS v1 または v1.1 をサポートする必要がなければ、次のコマンドを使用して TLS v1.2 (値 all を使用して) を許可し、明示的に SSL v2、SSL v3、TLS v1、および TLS v1.1 を拒否します。

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

ゲートウェイ外部 SSL の構成に関する設定のリストを表示します。リストには使用中の証明書ファイルの名称が含まれますが、場所は含まれません。

シノプシス

tsm security external-ssl list [global options]

tsm security kms set-mode aws

KMS モードを AWS に設定します。

AWS KMS から完全な ARN 文字列を取得する必要があります。この文字列は、AWS KMS 管理ページの [General configuration (一般設定)] セクションにあります。ARN は arn:aws:kms:<region>:<account>:key/<CMK_ID> の形式で表示されます (たとえば arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567)。

詳細については、キー管理システム を参照してください。

シノプシス

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

オプション

--key-arn

必須。--key-arn オプションは、AWS KMS 管理ページの [General configuration (一般設定)] セクション内の ARN から文字列を直接コピーします。

--aws-region

必須。「Amazon API Gateway」表の [Region (地域)] 列で示されるとおりに地域を指定します。

たとえば、AWS KMS インスタンスが us-west-2 地域で実行されており、アカウント番号が 867530990073、CMK キーが 1abc23de-fg45-6hij-7k89-1l0mn1234567 である場合、コマンドは次のようになります。

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode local

KMS モードをローカルに設定します。ローカルは、既定の KMS モードです。詳細については、キー管理システム を参照してください。

シノプシス

tsm security kms set-mode local [global options]

tsm security kms status

KMS 構成の状態を表示します。

次の情報が返されます。

  • カスタマー マスター キー (CMK) の ARN (ID)
  • CMK がある地域。
  • 使用中のルート マスタ ーキー (RMK) の ID。RMK は CMK によって暗号化されたキーです。Tableau Server は AWS KMS を呼び出すことによって CMK を復号化します。その後、RMK を使用してマスター抽出キー (MEK) を暗号化/復号化します。RMK は変更できますが、同時に 1 つしか存在できません。
  • KMS にはマスター抽出キー (MEK) のコレクションが保管されます。各 MEK は次の情報を持ちます。
    • ID (8ddd70df-be67-4dbf-9c35-1f0aa2421521 など)
    • "暗号化または復号化キー" または "復号化専用キー" のステータス。キーが "暗号化または復号化キー" である場合、Tableau Server はそれを使用して新しいデータを暗号化します。そうでない場合、キーは復号化にのみ使用されます。
    • 作成タイムスタンプ ("Created at:2019-05-29T23:46:54Z" など)。
    • 暗号化または復号化キーへの最初の移行日時: キーが暗号化または復号化キーになった日時を示すタイムスタンプ。
    • 復号化専用キーへの移行日時: キーが復号化専用に移行した日時を示すタイムスタンプ。

シノプシス

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

Rserve 接続を無効にします。

詳細については、フローで R(Rserve)スクリプトを使用する」を参照してください。

tsm security maestro-rserve-ssl enable

Rserve サーバーと Tableau Server バージョン 2019.3 以降の間の接続を構成します。

詳細については、フローで R(Rserve)スクリプトを使用する」を参照してください。

シノプシス

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

オプション

--connection-type

maestro-rserve-secure を選択してセキュリティで保護された接続を有効にするか、または maestro-rserveを選択してセキュリティで保護されていない接続を有効にします。 maestro-rserve-secureを選択した場合は、コマンドラインに証明書ファイルのパスを指定します。

--rserve-host

ホスト

--rserve-port

ポート

--rserve-username

ユーザー名

--rserve-password

パスワード

--rserve-connect-timeout-ms

接続タイムアウト (ミリ秒単位)。たとえば --rserve-connect-timeout-ms 900000

tsm security maestro-tabpy-ssl disable

TabPy 接続を無効にします。

詳細については、フローで Python スクリプトを使用する」を参照してください。

tsm security maestro-tabpy-ssl enable

TabPy サーバーと Tableau Server バージョン 2019.3 以降の間の接続を構成します。

詳細については、フローで Python スクリプトを使用する」を参照してください。

シノプシス

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

オプション

--connection-type

maestro-tabpy-secure を選択してセキュリティで保護された接続を有効にするか、または maestro-tabpyを選択してセキュリティで保護されていない接続を有効にします。maestro-tabpy-secureを選択した場合は、コマンドラインに証明書ファイルのパスを指定します。

--tabpy-host

ホスト

--tabpy-port

ポート

--tabpy-username

ユーザー名

--tabpy-password

パスワード

--tabpy-connect-timeout-ms

接続タイムアウト (ミリ秒単位)。たとえば --tabpy-connect-timeout-ms 900000

tsm security regenerate-internal-tokens

このコマンドを使用して、次の操作を実行します。

  1. サーバーを停止します。

  2. Postgres リポジトリの検索サーバーに新しい内部 SSL 証明書を生成する。

  3. 社内で管理されるすべてのパスワードに新規パスワードを生成する。

  4. Postgres リポジトリのすべてのパスワードを更新する。

  5. 資産キー管理で新しい暗号化キーを生成し、資産キー データを新しいキーで暗号化する。

  6. 構成シークレットで新しい暗号化キー (マスター キー) を生成し、これを使用して構成を暗号化する。

  7. Tableau Server をこれらのすべてのシークレットで再構成し、更新する。分散展開では、このコマンドによって再構成が分散され、クラスタ内のすべてのノードで更新されます。

  8. 新しいマスター キーを再生成し、マスター キーストア ファイルに追加してから、内部で使用するための新しいセキュリティ トークンを作成します。

  9. サーバーを起動します。

このコマンドを実行後にクラスタにノードを追加する場合は、新しいノード構成ファイルを生成して、このコマンドで生成されるトーク、キー、およびシークレットを更新する必要があります。追加のノードのインストールと構成を参照してください。

シノプシス

tsm security regenerate-internal-tokens [options] [global options]

オプション

--request-timeout <timeout in seconds>

オプション。

コマンドが終了するまで指定した時間待機します。既定値は 1800 (30 分) です。

tsm security repository-ssl disable

リポジトリと他のサーバー コンポーネントとの間のトラフィックの暗号化を停止して、Tableau クライアントからの直接接続のサポートを停止します。

シノプシス

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

SSL を有効化し、Postgres リポジトリとその他のサーバー コンポーネント間の暗号化トラフィックに使用される、サーバーの .crt および .key ファイルを生成します。これを有効化することで、Tableau クライアントからサーバーへの直接接続を介した SSL も有効になります。

シノプシス

tsm security repository-ssl enable [options] [global options]

オプション

-i, --internal-only

オプション。--internal-only に設定されている場合、Tableau Server はリポジトリと他のサーバー コンポーネントとの間で SSL を使用し、SSL をサポートしても tableau または readonly (読み取り専用) ユーザーを通じて直接的に接続する場合は SSL を必要としません。

このオプションが設定されていない場合は、Tableau Server がリポジトリと他のサーバー コンポーネントとの間のトラフィック、および、Tableau クライアントとの直接的な接続 (tableau または readonly (読み取り専用) ユーザーを通じた接続) で SSL を必要とするように設定します。

このオプションを指定する場合は、クライアントからの直接接続を許可するよう Postgres SSL を構成するで説明する手順も完了する必要があります。

tsm security repository-ssl get-certificate-file

Tableau リポジトリとの SSL 通信に使用されるパブリック証明書ファイルを取得します。証明書の取得前に、リポジトリの通信で SSL を有効にする必要があります。証明書ファイルは、Tableau Server クラスタでリポジトリの内部クライアントに自動分散されます。リモート クライアントが SSL 経由でリポジトリに接続できるようにするには、パブリック証明書ファイルを各クライアントにコピーする必要があります。

シノプシス

tsm security repository-ssl get-certificate-file [global-options]

オプション

-f, --file

必須。

証明書ファイルを保存するフル パスとファイル名 (.cert 拡張子付き)。重複ファイルがある場合は上書きされます。

tsm security repository-ssl list

既存のリポジトリ (Postgres) の SSL 設定を返します。

シノプシス

tsm security repository-ssl list [global-options]

グローバル オプション

-h, --help

オプション。

コマンドのヘルプを表示します。

-p, --password <password>

アクティブなセッションがない場合は、必要に応じて -u または --username と一緒に使用します。

-u または --username で指定されたユーザーのパスワードを指定します。

パスワードにスペースや特殊文字が含まれる場合、パスワードを引用符で囲みます。

--password "my password"

-s, --server <url_to_tsm>

オプション。

Tableau Services Manager で指定したアドレスを使用します。URL は https で始まる必要があります。また、ポート 8850 を含め、IP アドレスではなくサーバー名を使用します (例: https://mytableauhost:8850)。サーバーが指定されていない場合は、仮に https://<localhost | dnsname>:8850 とします。

--trust-admin-controller-cert

オプション。

このフラグは、TSM コントローラで自己署名証明書を信頼するために使用します。証明書の信頼および CLI 接続の詳細については、TSM クライアントの接続を参照してください。

-u, --username <user>

アクティブなセッションがない場合は、必要に応じて -p または --password と一緒に使用します。

ユーザー アカウントを指定します。このオプションが含まれていない場合は、コマンドがサインインに使用した認証資格情報を使用して実行されています。

ありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直すか、メッセージをお送りください