Tableau Server 具有三個金鑰管理系統 (KMS) 選項,可讓您啟用空閒時加密。其中兩個需要伺服器管理附加元件,而 Tableau Server 的所有安裝都可用本機附加元件。

從版本 2019.3 開始,Tableau Server 已新增以下 KMS 選項: 

從版本 2021.1 開始,Tableau Server 已新增另一個 KMS 選項: 

  • 伺服器管理附加元件中包含的基於 Azure 的 KMS。 如下所述。

Azure 金鑰保存庫可用於空閒時加密

從版本 2021.1.0 開始,Azure 金鑰保存庫作為 Tableau Server 的伺服器管理附加元件的一部分提供。有關詳情,請參閱關於Tableau 伺服器管理附加元件

若組織正在部署空閒時資料擷取加密,則可以選擇將 Tableau Server 設定為使用 Azure 金鑰保存庫作為 KMS 進行擷取加密。若要啟用 Azure 金鑰保存庫,必須在 Azure 中部署 Tableau Server。在 Azure 情境中,Tableau Server 會使用 Azure 金鑰保存庫對所有已加密擷取的根主金鑰 (RMK) 進行加密。但是,即使已設定 Azure 金鑰保存庫,仍會使用 Tableau Server 原生 Java Keystore 和本機 KMS 對 Tableau Server 上的密碼進行安全儲存。Azure 金鑰保存庫僅用於加密已加密擷取的根主金鑰。

將 Tableau Server 設定為使用 Azure 金鑰保存庫時的金鑰階層

為 Tableau Server 加密擷取設定 Azure 金鑰保存庫

若要使用 Azure 金鑰保存庫加密 Tableau Server KMS 階層中的根金鑰,必須按照本節中的說明設定 Tableau Server。

在開始之前,確定您符合以下要求:

  • Tableau Server 必須部署在 Azure 中。
  • Tableau Server 必須使用 伺服器管理附加元件 授權進行設定。請參閱關於Tableau 伺服器管理附加元件
  • 必須對金鑰所在的 Azure 中的保存庫具有管理控制權。

步驟 1:在 Azure 中為 Tableau Server 建立金鑰保存庫和金鑰

下列程序會在 Azure 金鑰保存庫服務中執行。參考包含在 Azure 文件中。

  1. 建立將用於 Tableau Server 的金鑰保存庫。請參閱 Azure 主題建立金鑰保存庫(連結在新視窗開啟)
  2. 在保存庫中建立金鑰。請參閱 Azure 主題管理金鑰和密碼(連結在新視窗開啟)

    金鑰必須是非對稱的 RSA 類型,但可以是任何大小(Tableau Server 對金鑰大小沒有要求)。建議使用「最低權限原則」來取得最大的安全性。

    Tableau 需要權限才能執行 GET、UNWRAP KEY 和 WRAP KEY 命令操作,並且我們建議僅允許存取這些指定的操作,以取得最低權限。將存取原則指派給在其上執行 Tableau Server 的 VM。

    在 Tableau Server 的多節點部署中,必須將存取原則指派給伺服器叢集的所有節點。

步驟 2:收集 Azure 設定參數

將需要 Azure 中的金鑰保存庫名稱和金鑰名稱。

步驟 3:為 Azure 金鑰保存庫設定 Tableau Server

在 Tableau Server 上執行以下命令。此命令將重新啟動伺服器:

  •                             tsm security kms set-mode azure --vault-name "<vault name>" --key-name "<key name>"
                            

    --vault-name--key-name 選項是直接來自 Azure 金鑰保存庫的字串複本。

    例如,若 Azure 金鑰保存庫名稱為 tabsrv-keyvault,而金鑰為 tabsrv-sandbox-key01,則命令如下:

    tsm security kms set-mode azure --vault-name "tabsrv-keyvault" --key-name "tabsrv-sandbox-key01"

步驟 4:啟用空閒時加密

請參閱空閒時擷取加密

步驟 5:驗證安裝

  1. 執行以下命令:

    tsm security kms status

    可能會傳回下列資訊:

    • 狀態:正常(指示控制器節點可以存取金鑰保存庫):
    • 模式:Azure 金鑰保存庫
    • 保存庫名稱: <key_vault_name>
    • Azure 金鑰保存庫金鑰名稱:<key_name>
    • MEK 的 可用 UUID 清單,表示哪個金鑰處於使用中狀態
    • 若無法存取 KMS 資料,則會顯示錯誤資訊
  2. 在您加密和解密擷取之後檢視記錄:

    • 發佈擷取至您的網站,然後對其進行加密。請參閱空閒時擷取加密

    • 使用 Tableau Desktop 或瀏覽器的 Web 製作存取擷取(這會解密要使用的擷取)。

    • 在 vizqlserver_node 記錄檔中搜尋 AzureKeyVaultEnvelopeAzureKeyVaultEnvelopeAccessor 字串。記錄的預設位置為 C:\ProgramData\Tableau\Tableau Server\data\tabsvc\logs

      對於與 Azure 金鑰保存庫相關的發佈及擷取重新整理,請搜尋背景程式記錄。有關記錄的詳細資訊,請參閱Tableau Server 記錄檔和記錄檔位置

疑難排解設定

多節點不當設定

在 Azure 金鑰保存庫的多節點設定中,即使叢集中的另一個節點設定不當,tsm security kms status 命令也可能報告健康 (OK) 狀態。KMS 狀態檢查只會報告執行 Tableau Server 管理控制器處理序所在的節點,而不會報告叢集中的其他節點。預設情況下,Tableau Server 管理控制器程序在叢集中的初始節點上執行。

因此,若另一個節點設定不當,導致 Tableau Server 無法存取 Azure 金鑰,這些節點可能會報告各種服務的錯誤狀態,而這些服務將無法啟動。

若將 KMS 設為「azure」模式後,某些服務無法啟動,則請執行下列命令,以還原到本機模式:tsm security kms set-mode local

重新整理 Azure 金鑰

重新整理 Azure 中的 Azure 金鑰。沒有必需的或排程的金鑰重新整理時間段。可以透過在 Azure 中建立新的金鑰版本來重新整理金鑰。由於金鑰保存庫名稱和金鑰名稱沒有變更,因此對於正常的 Azure 金鑰重新整理情境,不需要更新 Tableau Server 上的 KMS 設定。

使用 Azure 金鑰保存庫備份和還原

可以在 Azure 金鑰保存庫模式下進行伺服器備份,而無需其他設定或程序。備份包含 RMK 和 MEK 的加密複本。解密金鑰需要對 Azure 金鑰保存庫的存取和控制權限。

對於還原情境,要放置還原內容的伺服器可以處於 Azure 金鑰保存庫或本機 KMS 模式。唯一的要求是,要將備份還原到的伺服器有權存取備份本身使用的 Azure 金鑰保存庫。

感謝您的意見回饋!