Sistema de gerenciamento de chaves

Com a versão 2019.3, o Tableau Server inclui um sistema de gerenciamento de chaves (KMS) atualizado.

KMS local do Tableau Server

O KMS local do Tableau Server usa o recurso de armazenamento de segredos descrito em Gerenciar segredos do servidor para criptografar e armazenar a chave mestra de extração. Nesse cenário, o repositório de chaves Java atua como a raiz da hierarquia de chaves. O repositório de chaves Java é instalado com o Tableau Server. O acesso à chave mestra é gerenciado por mecanismos de autorização do sistema de arquivos nativos pelo sistema operacional. Na configuração padrão, o KMS local do Tableau Server é usado para extrações criptografadas. A hierarquia de chaves do KMS local e as extrações criptografadas são ilustradas aqui:

AWS KMS para criptografia em repouso

Se a empresa estiver implantando a Criptografia de extração de dados em repouso, opcionalmente, é possível configurar o Tableau Server para usar o AWS como o KMS para criptografia de extração. Para habilitar o AWS KMS, implante o Tableau Server no AWS EC2. No cenário do AWS, o Tableau Server usa a chave mestra do cliente (CMK) do AWS KMS para gerar uma chave de dados AWS. O Tableau Server usa a chave de dados AWS como chave mestra raiz para todas as extrações criptografadas. No entanto, mesmo quando configurado para o AWS KMS, o repositório de chaves Java nativo e o KMS local ainda são usados para o armazenamento seguro de segredos no Tableau Server. O AWS KMS só é usado para criptografar a chave mestra raiz para extrações criptografadas.

O uso do AWS para criptografar a chave mestra raiz oferece as melhores propriedades de segurança, pois não armazena a chave mestra nas mesmas permissões que as extrações.

A hierarquia de chaves do Tableau Server é configurada com o AWS KMS

Configurar o AWS KMS para extrações criptografadas do Tableau Server

Para usar a chave mestra do cliente (CMK) AWS para criptografar a chave raiz na hierarquia do KMS do Tableau Server, configure o Tableau Server conforme descrito nesta seção.

Antes de começar, verifique se os seguintes requisitos foram atendidos:

  • O Tableau Server deve ser implantado no AWS EC2
  • O Tableau Server deve ser configurado com uma licença do Server Management Add-on. Consulte Sobre o Tableau Server Management Add-on.
  • Você deve ter o controle administrativo de uma chave mestra do cliente (CMK) criada no Serviço de gerenciamento de chaves AWS

Etapa 1: Criar a CMK e definir política de chave para o Tableau Server no AWS

Os seguintes procedimentos são realizados no serviço do AWS KMS. As referências são incluídas na documentação do AWS.

  1. Crie a CMK que você usará para o Tableau Server. Consulte o tópico AWS, Criação de chaves.
  2. Atualize a função IAM da instância do servidor.

    O Tableau Server deve autenticar com o AWS KMS usando a função IAM da instância. A função precisa ter uma política anexada a ela. A política deve fornecer as permissões da instância para chamar as ações "GenerateDataKey" e "Descriptografar" na CMK. Consulte Funções IAM para Amazon EC2..

    Em uma implantação de vários nós do Tableau Server, todos os nós do servidor devem estar em execução nas funções que têm essa política (ou equivalente) anexada. É possível atribuir a mesma função a todos os nós do cluster.

  3. No mínimo, a CMK deve ter uma política de chave em que o Effect está definido como Allow o Prinicpal (a função IAM que está anexada às instâncias do servidor) o Action: GenerateDataKey e o Decrypt. Consulte Uso das políticas de chave no AWS KMS.

Etapa 2: coletar parâmetros de configuração AWS

Você precisará da cadeia de caracteres ARN completa do AWS KMS. Essa cadeia de caracteres está na seção "Configuração geral" das páginas de gerenciamento do AWS KMS. O ARN é apresentado neste formato: arn:aws:kms:<region>:<account>:key/<CMK_ID>, por exemplo, arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567.

Além disso, será necessário especificar a região AWS, que também está incluída na cadeia de caracteres ARN. No exemplo acima, a região é us-west-2. A região é onde reside a instância KMS. Na próxima etapa, será necessário especificar uma região como mostrado na coluna Região na tabela Amazon API Gateway.

Etapa 3: configurar o Tableau Server para AWS KMS

Execute o seguinte comando no Tableau Server. Este comando reiniciará o servidor:

  • tsm security kms set-mode aws --aws-region "<region>" --key-arn "arn:aws:kms:<region>:<account_number>:key/<CMK_ID>"

    A opção --key-arn usa uma cópia direta da cadeia de caracteres ARN na seção "Configuração geral" das páginas de gerenciamento do AWS KMS.

    Por exemplo, se a instância do AWS KMS estiver em execução na região us-west-2, o número da conta será 867530990073 e a chave CMK será 1abc23de-fg45-6hij-7k89-1l0mn1234567, então o comando seria o seguinte:

    tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

Etapa 4: habilitar criptografia em repouso

Consulte Criptografia de extração em repouso.

Etapa 5: validar a instalação

  1. Execute o seguinte comando:

    tsm security kms status

    As seguintes informações podem ser retornadas:

    • O ARN (ID) da chave mestra do cliente (CMK)
    • A região em que está a CMK
    • A ID da chave mestra raiz (RMK) em uso. A RMK é uma chave criptografada pela CMK. O Tableau Server descriptografa a CMK fazendo chamadas para o AWS KMS. A RMK é usada para criptografar/descriptografar a chave mestra de extração (MEK). A RMK pode mudar, mas haverá somente uma de cada vez.
    • O KMS armazena uma coleção de chaves mestra de extração (MEKs). Cada MEK tem:
      • Uma ID, por exemplo, 8ddd70df-be67-4dbf-9c35-1f0aa2421521
      • Um status “criptografar ou descriptografar chave” ou “somente descriptografar chave”. Se a chave for "criptografar ou descriptografar", o Tableau Server criptografará os novos dados com ela. Caso contrário, a chave será usada somente para descriptografia
      • Um carimbo de data/hora de criação, por exemplo, “Criado em: 2019-05-29T23:46:54Z”.
      • Primeira transição para criptografar e descriptografar: um carimbo de data/hora indicando quando a chave se tornou uma chave de criptografia ou descriptografia.
      • Transição somente para descriptografia: um carimbo de data/hora indicando quando ocorreu a transição da chave somente para descriptografia.
  2. Exibir registros após criptografar e descriptografar extrações:

    • Publicar extrações no site e criptografá-las. Consulte Criptografia de extração em repouso.

    • Acesse as extrações com o Tableau Desktop ou com a criação na Web em um navegador (isso descriptografa as extrações para uso).

    • Pesquise os arquivos de registro vizqlserver_node para as cadeias de caracteres AwsKmsEncryptionEnvelopeAccessor e AwsKmsEncryptionEnvelope. O local padrão dos registros se encontra em C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs

      Os exemplos de entrada de registro que indicam uma configuração bem-sucedida incluem:

      • Descriptografia de RMK com ID 1abc23de-fg45-6hij-7k89-1l0mn1234567 usando a CMK com ARN arn:aws:kms:us-west-2:867530990073:key/1234567d-a6ba-451b-adf6-3179911b760f
      • Uso de RMK com ID 1abc23de-fg45-6hij-7k89-1l0mn1234567 para descriptografar o repositório KMS

      Para atualizações de publicação e extração relacionadas ao KMS, pesquise os registros do processador em segundo plano. Para obter mais informações sobre os registros, consulte Localizações dos arquivos de registro do servidor.

Solucionar problemas de configuração

Configuração incorreta em vários nós

Em uma configuração de vários nós para o AWS KMS, o comando tsm security kms status pode relatar status íntegro (OK), mesmo que outro nó no cluster esteja configurado incorretamente. A verificação de status KMS relata apenas sobre o nó em que o processo do Controlador de administração do Tableau Server está sendo executado e não relata os outros nós do cluster. Por padrão, o processo do Controlador de administração do Tableau Server é executado no nó inicial do cluster.

Portanto, se outro nó estiver configurado incorretamente, de modo que o Tableau Server não possa acessar a AWS CMK, esses nós podem relatar estados de erro para vários serviços, que não seriam iniciados.

Se alguns serviços não iniciarem após definir o KMS como modo AWS, execute o comando a seguir para reverter para o modo local: tsm security kms set-mode local.

Atualizar a AWS CMK

A atualização da AWS CMK é uma tarefa realizada com AWS. Por padrão, a AWS CMK será atualizada uma vez ao ano. Consulte o tópico AWS, Como funciona a rotação automática de chave. Como o ARN e a região não mudam, não é necessário atualizar a configuração KMS no Tableau Server para cenários normais de atualização da CMK.

Após as atualizações da CMK do AWS, você deve gerar novamente a RMK interna e as MEKs no Tableau Server. Além disso, você deve criptografar novamente todas as extrações com a nova CMK:

  1. Execute o comando tsm security regenerate-internal-tokens para gerar novamente todas as chaves internas no Tableau Server, incluindo a RMK e as MEKs usadas para criptografia de extração.
  2. Execute o tabcmd reencryptextracts <site-name> para criptografar novamente as extrações em determinado site. Execute esse comando em cada site que armazena extrações criptografadas. Dependendo do número de extrações criptografadas no site, essa operação pode consumir uma carga significativa de processamento de servidor. Considere executar essa operação fora do horário comercial. Consulte Criptografia de extração em repouso.

Gerar novamente a RMK e a MEK no Tableau Server

Para gerar novamente a chave mestra raiz e as chaves mestra de criptografia no Tableau Server, execute o comando tsm security regenerate-internal-tokens.

Fazer backup e restaurar com o AWS KMS

Um backup do servidor pode ser obtido no modo AWS sem configurações ou procedimentos adicionais. O backup contém cópias criptografadas da RMK e das MEKs. A descriptografia das chaves requer acesso e controle da AWS CMK.

Para o cenário de restauração, o servidor que está sendo restaurado pode estar no modo KMS, incluindo Local. O único requisito é que o servidor em que o backup está sendo restaurado tenha acesso de descriptografia para o próprio backup usado.

Na restauração, as MEKs do backup são importadas como chaves somente para descriptografia. A RMK não é migrada. Uma nova RMK é gerada como parte do processo de instalação/restauração.

Agradecemos seu feedback! Ocorreu um erro ao enviar o feedback. Tente novamente ou envie-nos uma mensagem.