Azure Key Vault

Tableau Server heeft drie KMS-opties (Key Management System) voor het sleutelbeheersysteem waarmee u versleuteling in rust kunt inschakelen. Twee hiervan vereisen Advanced Management, terwijl een lokale versie beschikbaar is bij alle installaties van Tableau Server.

Belangrijk: vanaf 16 september 2024 is Advanced Management niet langer beschikbaar als onafhankelijke add-on. Advanced Management-functies zijn alleen beschikbaar als u Advanced Management eerder hebt aangeschaft of als u bepaalde licentieversies aanschaft: Tableau Enterprise (voor Tableau Server of Tableau Cloud) of Tableau+ (voor Tableau Cloud).

Vanaf versie 2019.3 heeft Tableau Server de volgende opties voor het sleutelbeheersysteem toegevoegd: 

Vanaf versie 2021.1 heeft Tableau Server een nieuwe optie toegevoegd voor het sleutelbeheersysteem: 

  • Een op Azure gebaseerd sleutelbeheersysteem dat deel uitmaakt van Advanced Management. Dit wordt hieronder beschreven.

Azure Key Vault voor versleuteling in rust

Azure Key Vault is beschikbaar als onderdeel van Advanced Management in Tableau Server vanaf versie 2021.1.0. Zie Over Tableau Advanced Management in Tableau Server voor meer informatie.

Als uw organisatie versleuteling van opgeslagen data-extracten implementeert, kunt u Tableau Server desgewenst configureren om Azure Key Vault te gebruiken als het sleutelbeheersysteem voor extractversleuteling. Om Azure Key Vault in te schakelen, moet u Tableau Server in Azure implementeren. In het geval van Azure gebruikt Tableau Server de Azure Key Vault om de primaire root-sleutel ('root master key', RMK) voor alle versleutelde extracten te versleutelen. Maar zelfs wanneer de native Java-sleutelopslag en het lokale sleutelbeheersysteem van Tableau Server geconfigureerd zijn voor Azure Key Vault, worden deze beide nog steeds gebruikt voor de veilige opslag van geheimen op Tableau Server. De Azure Key Vault wordt alleen gebruikt om de primaire root-sleutel voor versleutelde extracten te versleutelen.

De sleutelhiërarchie wanneer Tableau Server is geconfigureerd met Azure Key Vault

Azure Key Vault configureren voor versleutelde extracten van Tableau Server

Als u Azure Key Vault wilt gebruiken om de primaire sleutel in de Tableau Server KMS-hiërarchie te versleutelen, moet u Tableau Server configureren zoals beschreven in deze sectie.

Voordat u begint, moet aan de volgende vereisten zijn voldaan:

  • Tableau Server moet in Azure worden geïmplementeerd.
  • Tableau Server moet worden geconfigureerd met een Advanced Management-licentie. Zie Over Tableau Advanced Management in Tableau Server.
  • U moet beheercontrole hebben over de sleutelkluis in Azure waar de sleutel zich bevindt.

Stap 1: Een sleutelkluis en sleutel maken voor Tableau Server in Azure

De volgende procedures worden uitgevoerd in de Azure Key Vault-service. Er wordt verwezen naar Azure-documentatie.

  1. Maak de sleutelkluis die u voor Tableau Server wilt gebruiken. Zie het Azure-onderwerp Een sleutelkluis maken(Link wordt in een nieuw venster geopend).
  2. Maak een sleutel in de kluis. Zie het Azure-onderwerp Sleutels en geheimen beheren(Link wordt in een nieuw venster geopend).

    De sleutel moet een asymmetrische sleutel van het type RSA zijn, maar kan elke grootte hebben (voor Tableau Server maakt de sleutelgrootte geen verschil). Voor maximale veiligheid adviseren wij u het principe van minimale bevoegdheden te hanteren.

    Tableau vereist machtigingen om de opdrachten GET, UNWRAP KEY en WRAP KEY uit te voeren. Wij raden u aan om alleen toegang voor deze bewerkingen toe te staan met minimale bevoegdheden. Wijs het toegangsbeleid toe aan de virtuele machine waarop u Tableau Server uitvoert.

    In een implementatie met meerdere knooppunten van Tableau Server moet het toegangsbeleid worden toegewezen aan alle knooppunten van het servercluster.

Stap 2: Azure-configuratieparameters verzamelen

U hebt de naam van de sleutelkluis en de sleutelnaam van Azure nodig.

Stap 3: Tableau Server configureren voor Azure Key Vault

Voer de volgende opdracht uit op Tableau Server. Met deze opdracht wordt de server opnieuw gestart:

  • tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"

    De opties --vault-name en --key-name worden rechtstreeks gekopieerd uit uw Azure-sleutelkluis.

    Als uw Azure Key Vault bijvoorbeeld de naam tabsrv-keyvault heeft en uw sleutel is tabsrv-sandbox-key01, dan is de opdracht als volgt:

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

Stap 4: Versleuteling in rust inschakelen

Zie Versleuteling van opgeslagen extracten.

Stap 5: De installatie valideren

  1. Voer de volgende opdracht uit:

    tsm security kms status

    De volgende informatie wordt mogelijk geretourneerd:

    • Status: OK (geeft aan dat de Azure Key Vault toegankelijk is voor het controllerknooppunt):
    • Modus: Azure Key Vault
    • Kluisnaam: <key_vault_name>
    • Azure Key Vault-sleutelnaam: <key_name>
    • Lijst met beschikbare UUID's voor MEK's die aangeven welke sleutel actief is
    • Foutinformatie als de data van het sleutelbeheersysteem niet toegankelijk zijn
  2. Logboeken bekijken nadat u extracten hebt versleuteld en ontsleuteld:

    • Publiceer extracten op uw site en versleutel ze vervolgens. Zie Versleuteling van opgeslagen extracten.

    • U kunt de extracten openen met Tableau Desktop of via webauthoring in een browser (hierbij worden de extracten ontsleuteld voor gebruik).

    • Doorzoek de logboekbestanden van vizqlserver_node op de tekenreeksen AzureKeyVaultEnvelopeAccessor en AzureKeyVaultEnvelope. De standaardlocatie van de logbestanden is C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs

      Voor publicatie- en extractvernieuwingen met betrekking tot Azure Key Vault kunt u de achtergrondlogboeken doorzoeken. Zie Tableau Server-logboeken en locaties van logboekbestanden voor meer informatie over logboekbestanden.

Problemen met de configuratie oplossen

Foutieve configuratie van meerdere knooppunten

In een opstelling met meerdere knooppunten voor Azure Key Vault kan de opdracht tsm security kms status de status 'gezond' (OK) rapporteren, zelfs als een ander knooppunt in het cluster verkeerd is geconfigureerd. De statuscontrole van het sleutelbeheersysteem rapporteert alleen over het knooppunt waarop het Tableau Server Administration Controller-proces wordt uitgevoerd. Er wordt geen rapport over de andere knooppunten in het cluster opgesteld. Standaard wordt het Tableau Server Administration Controller-proces uitgevoerd op het initiële knooppunt in het cluster.

Als een ander knooppunt verkeerd is geconfigureerd, waardoor Tableau Server geen toegang heeft tot de Azure-sleutel, kunnen die knooppunten foutstatussen voor verschillende services rapporteren, waardoor deze niet kunnen worden gestart.

Als sommige services niet starten nadat u het sleutelbeheersysteem hebt ingesteld op de Azure-modus, voert u de volgende opdracht uit om terug te keren naar de lokale modus: tsm security kms set-mode local.

Azure-sleutel vernieuwen

U vernieuwt de Azure-sleutel in Azure. Er is geen verplichte of geplande periode voor het vernieuwen van de sleutel. U kunt uw sleutel vernieuwen door een nieuwe sleutelversie te maken in Azure. Omdat de naam van de sleutelkluis en de sleutelnaam niet veranderen, hoeft u de KMS-configuratie op Tableau Server niet bij te werken voor normale vernieuwingsscenario's voor Azure-sleutels.

Back-up en herstel met Azure Key Vault

In de Azure Key Vault-modus kan een serverback-up worden gemaakt zonder dat er aanvullende configuraties of procedures nodig zijn. De back-up bevat versleutelde kopieën van de RMK en MEK's. Voor het ontsleutelen van de sleutels is toegang en controle over de Azure Key Vault vereist.

Voor het herstelscenario kan de server waarnaar wordt hersteld, zich ofwel in de Azure Key Vault-modus of in de lokale modus van het sleutelbeheersysteem bevinden. De enige vereiste is dat de server waarop de back-up wordt teruggezet, toegang heeft tot de Azure Key Vault die door de back-up zelf is gebruikt.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.