構成ファイル・プロパティの暗号化

dse.yamlファイルのLDAPパスワードと、cassandra.yamlファイルのSSLトラストストア・パスワードを保護します。

ローカル暗号化キーを使用して構成ファイルのプロパティを復号化するようにDSEを構成します。ローカル・キーで暗号化されたパスワードを以下のプロパティに使用します。
  • dse.yamlのLDAP値:
    ldap_options.search_password
    ldap_options.truststore_password
    制約事項: KMIPキーストアまたはトラストストアのパスワードにプレーン・テキストを使用します。
  • cassandra.yamlのSSL値:

    server_encryption_options.keystore_password
    server_encryption_options.truststore_password
    client_encryption_options.keystore_password 
    client_encryption_options.truststore_password 
dse.yamlファイルの場所は、インストールのタイプによって異なります。

パッケージ・インストールInstaller-Servicesインストール

/etc/dse/dse.yaml

tarボール・インストールInstaller-No Servicesインストール

installation_location/resources/dse/conf/dse.yaml
cassandra.yamlファイルの場所は、インストールのタイプによって異なります。

パッケージ・インストールInstaller-Servicesインストール

/etc/dse/cassandra/cassandra.yaml

tarボール・インストールInstaller-No Servicesインストール

installation_location/resources/cassandra/conf/cassandra.yaml

始める前に

ローカル暗号化キーの設定」の説明に従ってキー設定を完了します。
注: ローカル暗号化キー・ファイルを使用する場合は、場所をsystem_key_directoryに設定し、DSEを実行しているアカウントがキー・ファイルを所有していることを確認します。

手順

  1. dse.yamlで、構成ファイル・プロパティの暗号化を有効にします。
    1. config_encryption_activeをtrueに設定します。
      config_encryption_active: true
      trueに設定した場合、構成値を暗号化するか、コメントアウトする必要があります。
    2. ローカル・キーの暗号化ファイル名を設定します。
      config_encryption_key_name: key_filename
  2. プロパティごとに、プレーン・テキスト・パスワードを、dsetool encryptconfigvalueコマンドを実行して返された暗号化パスワードと置き換えます。
    1. パスワードを暗号化します。
      dsetool encryptconfigvalue
      Using system key system_key
      
      Enter value to encrypt:
      Enter again to confirm:
      
      Your encrypted value is:
      
      +Vj5oHCR/jqfA+OJE2m8zA==
    2. 古い値を、cassandra.yamlのSSLトラストストア・パスワードなど、構成ファイルの新しい値と置き換えます。
      truststore_password: +Vj5oHCR/jqfA+OJE2m8zA==
      警告: 構成ファイル・プロパティの暗号化が有効になると、保護されているプロパティのいずれかが暗号化されていない場合、DSEの起動は失敗します。
  3. クラスター内のすべてのノードでdse.yamlcassandra.yamlを更新します。
  4. 必要に応じて、システム・リソースの暗号化を設定します。「システム・リソースの暗号化」を参照してください。
  5. ローリング再起動を実行します