Azure Key Vault
Tableau Server har tre alternativ för nyckelhanteringssystem som gör att du kan aktivera kryptering vid vila. Två av dessa kräver tillägget Advanced Management (tidigare Server Management Add-on), medan ett lokalt system är tillgängligt med alla installationer av Tableau Server.
Från och med version 2019.3 lade Tableau Server till följande KMS-alternativ:
- Ett lokalt KMS som är tillgängligt för alla installationer. Läs mer i Nyckelhanteringssystem på Tableau Server.
- Ett AWS-baserat KMS som ingår i Advanced Management. Läs mer i AWS Key Management System.
Från och med version 2021.1 lade Tableau Server till ett annat KMS-alternativ:
- Ett Azure-baserat KMS som ingår i Advanced Management. Detta beskrivs nedan.
Azure Key Vault för kryptering vid vila
Azure Key Vault ingår som en del av Advanced Management i Tableau Server från och med version 2021.1.0. Läs mer i Om Tableau Advanced Management på Tableau Server.
Om din organisation distribuerar kryptering av dataextrakt vid vila kan du alternativt konfigurera Tableau Server för att använda Azure Key Vault som KMS för kryptering av extrakt. Om du vill aktivera Azure Key Vault måste du distribuera Tableau Server i Azure. I Azure-scenariot använder Tableau Server Azure Key Vault för att kryptera den primära rotnyckeln (RMK) för alla krypterade extrakt. Även när den är konfigurerad för Azure Key Vault används Tableau Server inbyggda Java nyckelarkiv och lokala KMS fortfarande för säker lagring av hemligheter på Tableau Server. Azure Key Vault används endast för att kryptera huvudnyckeln för krypterade extrakt.
Nyckelhierarkin när Tableau Server är konfigurerad med Azure Key Vault
Konfigurera Azure Key Vault för krypterade extrakt på Tableau Server
Du måste anpassa Tableau Server enligt beskrivningen i det här avsnittet om du vill använda Azure Key Vault för att kryptera rotnyckeln i KMS-hierarkin för Tableau Server.
Innan du börjar måste du kontrollera att du uppfyller följande krav:
- Tableau Server måste distribueras i Azure.
- Tableau Server måste konfigureras med en Advanced Management-licens. Se Om Tableau Advanced Management på Tableau Server.
- Du måste ha administrativ kontroll över nyckelvalvet i Azure där nyckeln finns.
Steg 1: Skapa ett nyckelvalv och nyckel för Tableau Server i Azure
Följande procedurer utförs i Azure Key Vault-tjänsten. Det finns hänvisningar till Azure-dokumentationen.
- Skapa nyckelvalvet som du kommer att använda för Tableau Server. Se Azure-ämnet Skapa ett nyckelvalv(Länken öppnas i ett nytt fönster).
- Skapa en nyckel i valvet. Se Azure-ämnet Hantera nycklar och hemligheter(Länken öppnas i ett nytt fönster).
Nyckeln måste vara en asymmetrisk RSA-typ, men den kan vara av vilken storlek som helst (Tableau Server bryr sig inte om storleken på nyckeln). Vi rekommenderar att du använder principen begränsad behörighet för maximal säkerhet.
Tableau kräver behörighet för att utföra kommandona GET, UNWRAP KEY och WRAP KEY och vi rekommenderar att du endast tillåter åtkomst för dessa åtgärder med begränsad behörighet. Tilldela åtkomstpolicyn till den VM du kör Tableau Server på.
I en driftsättning av Tableau Server med flera noder måste åtkomstpolicyn tilldelas alla noder i serverklustret.
Steg 2: Samla in Azure-konfigurationsparametrar
Du behöver namnet på nyckelvalvet och namnet på nyckeln från Azure.
Steg 3: Konfigurera Tableau Server för Azure Key Vault
Kör följande kommando på Tableau Server. Detta kommando startar om servern:
tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
Alternativen
--vault-name
och--key-name
kopierar en direktsträng från ditt Azure Key Vault.Om till exempel ditt Azure Key Vault har namnet
tabsrv-keyvault
och din nyckel ärtabsrv-sandbox-key01
kommer kommandot att vara följande:tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"
Steg 4: Aktivera kryptering vid vila
Läs mer i Extraktkryptering vid vila.
Steg 5: Validera installationen
Kör följande kommando:
Följande uppgifter kan returneras:
- Status: OK (indikerar att nyckelvalvet är åtkomligt för styrenhetsnoden):
- Läge: Azure Key Vault
- Valvnamn: <key_vault_name>
- Azure Key Vault-nyckelnamn: <key_name>
- Lista över tillgängliga UUID för MEK som anger vilken nyckel som är aktiv
- Felinformation om KMS-data inte är tillgängliga
Visa loggar när du har krypterat och dekrypterat extrakt:
Publicera extrakt på din webbplats och kryptera dem. Se Extraktkryptering vid vila.
Öppna extrakten med Tableau Desktop eller webbredigering i en webbläsare (detta dekrypterar extrakten som ska användas).
Sök efter loggfilerna från vizqlserver_node för strängarna
AzureKeyVaultEnvelopeAccessor
ochAzureKeyVaultEnvelope
. Standardplatsen för loggfilerna ärC:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs
För publicering och extraktuppdateringar relaterade till Azure Key Vault söker du igenom bakgrundsprocessorns loggar. Mer information om loggfiler finns i Tableau-serverloggar och lagringsplatser för loggfiler.
Felsökning av konfiguration
Felkonfiguration på flera noder
I en inställning med flera noder för Azure Key Vault kan kommandot tsm security kms status
rapportera felfri status (OK), även om en annan nod i klustret är felkonfigurerad. KMS-statuskontrollen rapporterar endast noden där administrationsstyrenheten för Tableau Server körs. Den rapporterar inte om de andra noderna i klustret. Som standard körs processen Tableau Server Administration Controller på den ursprungliga noden i klustret.
Om en annan nod är felkonfigurerad så att Tableau Server inte kan komma åt AWS Azure Key, kan dessa noder rapportera feltillstånd för olika tjänster som inte startar.
Om vissa tjänster inte startar efter att du har ställt in KMS i ”azure”-läget kör du följande kommando för att återgå till lokalt läge: tsm security kms set-mode local
.
Uppdatera Azure-nyckeln
Du uppdaterar Azure-nyckeln i Azure. Det finns ingen nödvändig eller schemalagd uppdateringsperiod för nycklar. Du kan uppdatera din nyckel genom att skapa en ny nyckelversion i Azure. Eftersom nyckelvalvets namn och nyckelnamnet inte ändras behöver du inte uppdatera KMS-konfigurationen på Tableau Server för normala uppdateringsscenarier för Azure-nyckeln.
Säkerhetskopiera och återställ med Azure Key Vault
En säkerhetskopiering av server kan göras i Azure Key Vault-läge utan ytterligare konfigurationer eller procedurer. Säkerhetskopian innehåller krypterade kopior av RMK och MEK. För att dekryptera nycklarna krävs åtkomst och kontroll av Azure Key Vault.
För återställningsscenariot kan servern som återställs till vara i antingen Azure Key Vault eller lokalt KMS-läge. Det enda kravet är att servern som säkerhetskopieringen återställs till har tillgång till Azure Key Vault som själva säkerhetskopieringen använde.