機密構成値の暗号化

構成暗号化により、プライバシーが保護され、パスワードなどの機密構成値のセキュリティが向上します。

プライバシーを保護し、パスワードなどの機密構成値のセキュリティを高めるため、構成暗号化をアクティブ化します。OpsCenter UI内の機密構成値はその場で暗号化され、関連する構成ファイルに転送され、暗号化された状態で書き込まれます。手動で構成ファイルを編集するには、値を手動で暗号化し、適切な場所にペーストする必要があります。構成値を手動で暗号化するにはOpsCenterシステム・キー・ツールを使用します。

システム暗号化キー

OpsCenterシステム・キー・ツールを使用すると、opscenterdマシン上およびクラスター内のすべてのノードで暗号化に使用されるキーを作成できます。このシステム・キー・ツールは、opscenterdのbinディレクトリーにあります。値の復号化はサポートされていません。
1. システム・キー暗号化のモードと強度
AES暗号化モード(暗号アルゴリズム) キー強度
ECB 128ビットまたは256ビット
CBC 128ビットまたは256ビット
CFB 128ビットまたは256ビット
OFB 128ビットまたは256ビット
注: 256ビットのキー強度を使用する場合は、セキュリティを強化されたjarファイルでJREをアップグレードする必要があります。Java Cryptography Extension(JCE)をダウンロードしてインストールし、jarファイルを解凍して、$JAVA_HOME/jre/lib/securityの下に配置します。JCEベースの製品は、米国輸出管理規則によって特定の国への輸出を制限されています。

暗号化されるフィールド

構成暗号化がOpsCenterでアクティブな場合、暗号化が必要なOpsCenter UI内の機密構成値は、OpsCenterにより自動的に暗号化されます。機密構成値を変更するには、多くの場合、手動で構成値を暗号化して適切な構成ファイルを直接編集する必要があります。

クラスター構成cluster_name.confの暗号化が必要なフィールドには、以下が含まれます。
  • [jmx]password
  • [cassandra]passwordssl_keystore_passwordssl_truststore_password
  • [storage_cassandra]passwordssl_keystore_passwordssl_truststore_password
  • [agents]ssl_keystore_passwordおよびssl_truststore_password(監視対象のクラスター)、storage_ssl_keystore_passwordstorage_ssl_truststore_password(別のストレージ・クラスター)
  • [agent_kerberos]keytabticket_cache
  • [ldap]search_password
address.yamlで以下のエージェント構成フィールドを構成する必要はありません。OpsCenterは、opscenterd.confの値を接続時にエージェントに渡します。
重要: address.yamlでエージェント構成フィールド値を設定し、address.yamlとopscenterd.conf内でconfig_encryption_activeをtrueに設定した場合、これらのフィールドの暗号化された値を指定する必要があります。
暗号化が必要なエージェント構成フィールドには、以下が含まれます。
  • jmx_pass
  • cassandra_pass
  • monitored_cassandra_pass
  • ssl_keystore_password(ストレージ・クラスター)
  • ssl_truststore_password(ストレージ・クラスター)
  • monitored_ssl_keystore_password(監視対象のクラスター)
  • monitored_ssl_truststore_password(監視対象のクラスター)

cluster_name.conf

cluster_name.confファイルの場所は、インストールのタイプによって異なります。

  • パッケージ・インストール:/etc/opscenter/clusters/cluster_name.conf
  • tarボール・インストール:install_location/conf/clusters/cluster_name.conf

opscenterd.conf

opscenterd.confファイルの場所は、インストールのタイプによって異なります。

  • パッケージ・インストール:/etc/opscenter/opscenterd.conf
  • tarボール・インストール:install_location/conf/opscenterd.conf

address.yaml

address.yamlファイルの場所は、インストールのタイプによって異なります。

  • パッケージ・インストール:/var/lib/datastax-agent/conf/address.yaml
  • tarボール・インストール:install_location/conf/address.yaml