機密プロパティ値の暗号化

dse.yamlおよびcassandra.yaml構成ファイルの機密プロパティの暗号化

DataStaxでは、dse.yamlおよびcassandra.yamlオンディスク構成ファイルの機密プロパティを暗号化することを推奨します。

dse.yamlファイルの場所は、インストールのタイプによって異なります。
Installer-Services /etc/dse/dse.yaml
パッケージ・インストール /etc/dse/dse.yaml
Installer-No Services install_location/resources/dse/conf/dse.yaml
tarボール・インストール install_location/resources/dse/conf/dse.yaml
cassandra.yamlファイルの場所は、インストールのタイプによって異なります。
パッケージ・インストール /etc/dse/cassandra/cassandra.yaml
tarボール・インストール install_location/resources/cassandra/conf/cassandra.yaml

手順

  1. dse.yamlで、config_encryption_activeプロパティがfalseになっていることを確認します。
    config_encryption_active:false
  2. dse.yamlファイルで、システム・キーのディスク上の格納場所を定義します。system_key_directoryプロパティを確認または設定します。デフォルト値は/etc/dse/confです。
  3. dsetool createsystemkeyコマンドを使用して、システム・キーを生成します。
    サーバー内:
    dsetool createsystemkey cipher strength system_key_file1
    サーバー外:
    dsetool createsystemkey cipher strength system_key_file2 -kmip=kmip_groupname
    例:
    dsetool createsystemkey 'AES/ECB/PKCS5Padding' 128 system_key_file1
    ここで、
    • system_key_file1とsystem_key_file2は、生成するシステム・キー・ファイルに割り当てる一意のファイル名
    • cipherは、有効なcipher_algorithm
    • Strengthは、シークレット・キーの強度
    暗号化/圧縮オプションと暗号サブオプション」および「システム・キーの概要」を参照してください。
  4. dsetool createsystemkeyコマンドから返された値をコピーします。
  5. dse.yamlファイルで、返された値を貼り付けて、config_encryption_key_nameプロパティに設定します。
    config_encryption_key_name:Sa9xOVaym7bddjXUT/eeOQ==
  6. 暗号化するプロパティごとに、dsetool encryptconfigvalueコマンドを使用します。このコマンドには引数がなく、暗号化する値を求めるプロンプトが表示されます。
    各プロパティの出力される暗号化された値を、dse.yamlまたはcassandra.yaml構成ファイルに一度に1つずつ入力します。各プロパティが暗号化またはコメント・アウトされていることを確認します。
    dse.yaml
    • ldap_options.search_password
    • ldap_options.truststore_password
    cassandra.yaml
    • server_encryption_options.keystore_password
    • server_encryption_options.truststore_password
    • client_encryption_options.keystore_password
    • client_encryption_options.keystore_password
    • ldap_options.truststore_password
    KMIPキーストアまたはトラストストアのパスワードは暗号化できません。
  7. dse.yamlで、config_encryption_activeプロパティをtrueに設定します。
    config_encryption_active:true
    config_encryption_activeプロパティがtrueの場合、構成値を暗号化するか、コメント・アウトする必要があります。
  8. dseを再起動します