Tableau Server には、保存中の暗号化を有効にできるキー管理システム (KMS) のオプションが 3 つあります。このうちの 2 つは Advanced Management (旧称 Server Management Add-on) を必要とし、ローカルの 1 つは Tableau Server のすべてのインストールで使用できます。

バージョン 2019.3 以降、Tableau Server では次の KMS オプションが追加されました。 

バージョン 2021.1 以降、Tableau Server では次の KMS オプションが追加されました。 

  • Advanced Management の一部として提供される Azure ベースの KMS。 これについては以下で説明します。

保存中の暗号化用の Azure キー コンテナ

Azure キー コンテナ は、バージョン 2021.1.0 以降の Tableau Server で Advanced Management の一部として利用できます。詳細については、Tableau Server 上の Tableau Advanced Management についてを参照してください。

組織で保存データ抽出の暗号化を展開している場合は、Azure キー コンテナ を抽出暗号化用の KMS として使用するように Tableau Server を構成することもできます。Azure キー コンテナを有効にするには、Azure に Tableau サーバーをデプロイする必要があります。Azure のシナリオでは、Tableau Server は Azure キー コンテナを使用してルート マスター キー (RMK) を暗号化します。RMK は暗号化されたすべての抽出に使用します。ただし、Azure キー コンテナ 用に構成されている場合でも、Tableau Server ネイティブの Java キーストアとローカル KMS を引き続き使用して、Tableau Server 上にシークレットを安全に保存します。Azure キー コンテナ は、暗号化された抽出のルート マスター キーを暗号化するためにのみ使用します。

Azure キー コンテナ を使用して Tableau Server を構成する場合のキー階層

Tableau Server の暗号化された抽出用に Azure キー コンテナを構成する

Azure キー コンテナを使用して Tableau Server KMS 階層内のルート キーを暗号化するには、このセクションの説明のように Tableau Server を構成する必要があります。

開始する前に、次の要件を満たしていることを確認してください。

  • Tableau Server は Azure にデプロイされている必要があります。
  • Tableau Server は Advanced Management ライセンスを使用して構成されている必要があります。Tableau Server 上の Tableau Advanced Management についてを参照してください。
  • キーが存在する Azure キー コンテナに対する管理権限が必要です。

ステップ 1: Azure で Tableau サーバーのキー コンテナとキーを作成する

以下の手順は、Azure キー コンテナ サービスで実行します。参照情報は Azure のドキュメントに含まれています。

  1. Tableau Server に使用するキー コンテナを作成します。Azure のトピック「Key Vault を作成する(新しいウィンドウでリンクが開く)」を参照してください。
  2. コンテナにキーを作成します。Azure のトピック「 キーとシークレットの管理(新しいウィンドウでリンクが開く)」を参照してください。

    キーは非対称の RSA タイプである必要がありますが、任意のサイズにすることができます (Tableau Server はキーのサイズを考慮しません)。最大限のセキュリティを確保するには、最小権限の原則を適用することをお勧めします。

    Tableau では GET、UNWRAP KEY、および WRAP KEY コマンドを実行するためのパーミッションが必要であるため、最小権限の原則に従い、これらのコマンドを実行する場合にのみアクセスを許可することをお勧めします。Tableau Server を実行している VM にアクセス ポリシーを割り当てます。

    Tableau Server をマルチノードでデプロイしている場合は、アクセス ポリシーをサーバー クラスターのすべてのノードに割り当てる必要があります。

ステップ 2: Azure 構成パラメーターを収集する

キー コンテナ名とキー名を Azure から取得します。

ステップ 3: Azure キー コンテナ用に Tableau Server を構成する

Tableau Server で次のコマンドを実行します。このコマンドによりサーバーが再起動します。

  •                             tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
                            

    オプション --vault-name--key-name は、Azure キー コンテナから文字列を直接コピーします。

    たとえば、Azure のキー コンテナの名前が tabsrv-keyvault で、キーの名前が tabsrv-sandbox-key01 の場合、コマンドは次のようになります。

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

ステップ 4: 保存中の暗号化を有効にする

保存中の抽出の暗号化を参照してください。

ステップ 5: インストールを検証する

  1. 次のコマンドを実行します。

    tsm security kms status

    返される可能性のある情報は次のとおりです。

    • ステータス: OK (キー コンテナが制御ノードからアクセス可能であることを示します)
    • モード: Azure キー コンテナ
    • コンテナ名: <key_vault_name>
    • Azure キー コンテナのキー名: <key_name>
    • アクティブなキーを示す、MEK で使用可能な UUID のリスト
    • KMS データにアクセスできない場合のエラー情報
  2. 抽出を暗号化して復号化した後でログを表示します。

    • 抽出をサイトにパブリッシュしてから暗号化します。保存中の抽出の暗号化を参照してください。

    • Tableau Desktop またはブラウザーで Web 作成を使用して抽出にアクセスします (このとき、抽出は使用のために復号化されます)。

    • vizqlserver_node ログ ファイルで AzureKeyVaultEnvelopeAccessorAzureKeyVaultEnvelope を検索します。このログの既定の場所は C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs です。

      Azure キー コンテナに関連するパブリッシュと抽出更新については、バックグラウンダーのログを検索します。ログの詳細については、Tableau Server ログとログ ファイルの場所を参照してください。

構成のトラブルシューティング

マルチノードの構成ミス

Azure キー コンテナ のマルチノード セットアップでは、クラスタ内の別のノードが正しく構成されていなくても、tsm security kms status コマンドから正常 (OK) ステータスが返される場合があります。KMS のステータス チェックでは、Tableau Server 管理コントローラー プロセスが実行されているノードだけが報告されます。クラスタ内の他のノードについては報告されません。既定では、Tableau Server 管理コントローラー プロセスは、クラスタ内の最初のノードで実行されます。

したがって、他のノードが誤って構成されているために Tableau Server が Azure キーにアクセスできない場合、これらのノードではさまざまなサービスについてエラー状態が報告され、起動が失敗します。

KMS を「azure」モードに設定した後で一部のサービスが起動に失敗する場合は、コマンド tsm security kms set-mode local を実行してローカル モードに戻します。

Azure キーの更新

Azure で Azure キーを更新します。必須またはスケジュールされたキー更新期間はありません。キーを更新するには、Azure で新しいキー バージョンを作成します。キー コンテナ名とキー名が変更されないため、通常の Azure キーの更新シナリオでは Tableau Server で KMS 構成を更新する必要はありません。

Azure キー コンテナを使用したバックアップと復元

サーバーのバックアップは、Azure キー コンテナ モードで追加の構成や手順を使用せずに作成できます。バックアップには、RMK と MEK の暗号化されたコピーが含まれます。キーを復号化するには、Azure キー コンテナ にアクセスして操作する必要があります。

復元シナリオの場合、復元先のサーバーは Azure キー コンテナ モードまたはローカル KMS モードのいずれかになります。唯一の要件は、バックアップの復元先のサーバーが、バックアップで使用された Azure キー コンテナ に対する復号化アクセス権を持っていることです。

ありがとうございます!