システム・リソースの暗号化

システム・キースペース、ヒント・ファイル、およびコミット・ログの機密データを保護します。

ローカル暗号化キーを使用して、system.batchlogテーブル、system.paxosテーブル、ヒント・ファイル、およびコミット・ログのデータを暗号化します。

注: トレースが有効な場合は、system_tracesキースペースにも機密データが含まれています。「テーブルの暗号化」の指示に従って、system_tracesキースペースのテーブルを暗号化します。

始める前に

ローカル暗号化キーの設定」の説明に従ってキー設定を完了します。
注: ローカル暗号化キー・ファイルを使用する場合は、場所をsystem_key_directoryに設定し、DSEを実行しているアカウントがキー・ファイルを所有していることを確認します。

手順

  1. dse.yamlファイルで、システム・テーブル、コミット・ログ、ヒント・ファイルの暗号化設定を構成します。
    system_info_encryption:
      enabled: true
      cipher_algorithm: cipher_name
      secret_key_strength: key_length
      chunk_length_kb: default_table_chunk_size
    • 必須。enabledをtrueに設定します。
    • 任意。使用する暗号化キーのタイプを構成します。
      • cipher_algorithm:サポートされているJCE暗号化アルゴリズムのうち、使用するアルゴリズムの名前を設定します。サポートされているアルゴリズムのリストの参照先: cipher_algorithm
      • secret_key_strength:キー長を指定します。
      • chunk_length_kb:SSTableのサイズ。オプションを指定しない場合は、デフォルト(64)が使用されます。
      これらのプロパティが設定されている場合、DSEはその条件に一致するキーのみを使用します。一致するキーが存在しない場合、起動は失敗します。
  2. DSEのローリング再起動を実行します。
  3. 既存のデータを暗号化するには、クラスター内のすべてのノードでnodetool upgradesstables-a system batchlog paxosを実行します。