Sistema de gerenciamento de chaves do Tableau Server

O Tableau Server tem três opções de Sistema de gerenciamento de chaves (KMS) que permitem ativar a criptografia em repouso. Uma é a opção local que está disponível com todas as instalações do Tableau Server. Duas opções adicionais exigem Advanced Management (antes chamado de Server Management Add-on), mas permitem que você use um KMS diferente.

A partir da versão 2019.3, o Tableau Server adicionou essas opções KMS: 

  • Um KMS local que está disponível com todas as instalações. Isso está descrito abaixo.
  • Um KMS baseado em AWS, que vem como parte do Advanced Management. Para obter detalhes, consulte Sistema de gerenciamento de chaves da AWS.

A partir da versão 2021.1, o Tableau Server adicionou outra opção de KMS: 

  • Um KMS baseado em Azure, que vem como parte do Advanced Management. Para obter detalhes, consulte Azure Key Vault.

KMS local do Tableau Server

O KMS local do Tableau Server usa o recurso de armazenamento de segredos descrito em Gerenciar segredos do servidor para criptografar e armazenar a chave principal de extração. Nesse cenário, o repositório de chaves Java atua como a raiz da hierarquia de chaves. O repositório de chaves Java é instalado com o Tableau Server. O acesso à chave principal é gerenciado por mecanismos de autorização do sistema de arquivos nativos pelo sistema operacional. Na configuração padrão, o KMS local do Tableau Server é usado para extrações criptografadas. A hierarquia de chaves do KMS local e as extrações criptografadas são ilustradas aqui:

Solucionar problemas de configuração

Configuração incorreta em vários nós

Em uma configuração de vários nós para o AWS KMS, o comando tsm security kms status pode relatar status íntegro (OK), mesmo que outro nó no cluster esteja configurado incorretamente. A verificação de status KMS relata apenas sobre o nó em que o processo do Controlador de administração do Tableau Server está sendo executado e não relata os outros nós do cluster. Por padrão, o processo do Controlador de administração do Tableau Server é executado no nó inicial do cluster.

Portanto, se outro nó estiver configurado incorretamente, de modo que o Tableau Server não possa acessar a AWS CMK, esses nós podem relatar estados de erro para vários serviços, que não seriam iniciados.

Se alguns serviços não iniciarem após definir o KMS como modo AWS, execute o comando a seguir para reverter para o modo local: tsm security kms set-mode local.

Gerar novamente a RMK e a MEK no Tableau Server

Para gerar novamente a chave principal raiz e as chaves principais de criptografia no Tableau Server, execute o comando tsm security regenerate-internal-tokens.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!