Tableau Server 金鑰管理系統
Tableau Server 具有三個金鑰管理系統 (KMS) 選項,可讓您啟用空閒時加密。其中一個為本機選項,可用於 Tableau Server 的所有安裝。兩個其他選項需要 Advanced Management 功能,但允許使用不同的 KMS。
重要提示:從 2024 年 9 月 16 日開始,進階管理將不再作為獨立的附加元件選項出售。只有您之前購買了進階管理,或購買了某些授權版本 - Tableau Enterprise(適用於 Tableau Server 或 Tableau Cloud)或 Tableau(適用於 Tableau Cloud)時,方可使用進階管理功能。
從版本 2019.3 開始,Tableau Server 已新增以下 KMS 選項:
- 所有安裝都可用的本機 KMS。 如下所述。
- Advanced Management 中包含的基於 AWS 的 KMS。有關詳情,請參閱 AWS 金鑰管理系統。
從版本 2021.1 開始,Tableau Server 已新增另一個 KMS 選項:
- Advanced Management 中包含的基於 Azure 的 KMS。有關詳情,請參閱 Azure Key Vault。
Tableau Server 本機 KMS
Tableau Server 本機 KMS 使用 管理伺服器密碼 中所述的密文儲存功能加密並儲存主擷取金鑰。在這種情況下,Java keystore 成為金鑰階層的根目錄。Java keystore 已隨 Tableau Server 一起安裝。主金鑰的存取是由作業系統的原生檔案系統授權機制管理。在預設設定中,Tableau Server 本機 KMS 用於已加密擷取。本機 KMS 和加密擷取的金鑰階層如這裡所示:
疑難排解設定
多節點不當設定
在 AWS KMS 的多節點安裝中,即使叢集中的其他節點設定不當,tsm security kms status
命令也會報告健全 (OK) 狀態。KMS 狀態檢查只會報告執行 Tableau Server Administration Controller 處理序所在的節點,而不會報告叢集中的其他節點。預設情況下,Tableau Server 管理控制器程序在叢集中的初始節點上執行。
因此,如果另一個節點設定不當,導致 Tableau Server 無法存取 AWS CMK,這些節點可能會報告各種服務的錯誤狀態,而這些服務將無法啟動。
如果將 KMS 設為 AWS 模式後,某些服務無法啟動,則請執行下列命令,回復成本機模式:tsm security kms set-mode local
。
在 Tableau Server 上重新產生 RMK 和 MEK
若要在 Tableau Server 上重新產生根主金鑰和主加密金鑰,請執行 tsm security regenerate-internal-tokens
命令。