Sistema di gestione delle chiavi di Tableau Server
Tableau Server dispone di tre opzioni del sistema di gestione delle chiavi (KMS) che consentono di abilitare la crittografia a riposo. Una è un’opzione locale disponibile con tutte le installazioni di Tableau Server. Due opzioni aggiuntive richiedono Advanced Management (precedentemente chiamato Server Management Add-on), ma consentono di utilizzare un KMS diverso.
A partire dalla versione 2019.3, Tableau Server ha aggiunto queste opzioni di KMS:
- KMS locale disponibile con tutte le installazioni. È descritto di seguito.
- KMS basato su AWS, fornito come parte di Advanced Management. Per informazioni dettagliate, consulta Sistema di gestione delle chiavi AWS.
A partire dalla versione 2021.1, Tableau Server ha aggiunto un’altra opzione di KMS:
- KMS basato su Azure, fornito come parte di Advanced Management. Per informazioni dettagliate, consulta Azure Key Vault.
KMS locale di Tableau Server
Il KMS locale di Tableau Server utilizza la capacità di archiviazione segreta descritta in Gestire i segreti del server per crittografare e archiviare la chiave master dell’estrazione. In questo scenario, l’archivio delle chiavi Java funge da radice della gerarchia di chiavi. L’archivio delle chiavi Java viene installato con Tableau Server. L’accesso alla chiave master viene gestito da meccanismi di autorizzazione nativi del file system applicati dal sistema operativo. Nella configurazione predefinita, il KMS locale di Tableau Server viene utilizzato per le estrazioni crittografate. La gerarchia delle chiavi per il KMS locale e le estrazioni crittografate è illustrata qui:
Risoluzione dei problemi di configurazione
Configurazione multi-nodo errata
In una configurazione multi-nodo per AWS KMS, il comando tsm security kms status può riportare uno stato di integrità (OK) anche se un altro nodo del cluster non è configurato correttamente. Il controllo dello stato di KMS riporta solo gli eventi sul nodo in cui è in esecuzione il processo controller di amministrazione di Tableau Server e non sugli altri nodi nel cluster. Per impostazione predefinita, il processo controller di amministrazione di Tableau Server viene eseguito sul nodo iniziale nel cluster.
Pertanto, se un altro nodo è configurato in modo errato e impedisce a Tableau Server di accedere alla CMK di AWS, questi nodi potrebbero riportare stati di errore per vari servizi che non riusciranno ad avviarsi.
Se alcuni servizi non si avviano dopo aver impostato KMS in modalità AWS, esegui il seguente comando per tornare alla modalità locale: tsm security kms set-mode local.
Rigenerare le chiavi RMK e MEK su Tableau Server
Per rigenerare la chiave master radice e le chiavi master di crittografia su Tableau Server, esegui il comando tsm security regenerate-internal-tokens.