機密構成値を暗号化するシステム・キーの作成

パスワードなどの機密構成値の暗号化を自動または手動で行うためシステム・キーを作成します。ノードごとにシステム・キーをエージェントにコピーします。

パスワードなどの機密構成値の暗号化を自動または手動で行うためシステム・キーを作成するには、以下の手順に従います。ノードごとにシステム・キーをエージェントにコピーします。必要に応じて、opsc_system_keyのカスタム名や、デフォルト以外の場所にキーを配置する場合のキーのパスを構成します。既存のクラスターの構成ファイルを調整する場合、構成値を手動で暗号化します。

address.yaml

address.yamlファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/var/lib/datastax-agent/conf/address.yaml
  • tarボール・インストール:install_location/conf/address.yaml

opscenterd.conf

opscenterd.confファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/etc/opscenter/opscenterd.conf
  • tarボール・インストール:install_location/conf/opscenterd.conf

始める前に

  • 256ビットの暗号化キー強度を使用する場合は、セキュリティを強化されたjarファイルでJREをアップグレードします。Java Cryptography Extension(JCE)をダウンロードしてインストールし、jarファイルを解凍して、$JAVA_HOME/jre/lib/securityの下に配置します。

手順

  1. opscenterdディレクトリーでシステム・ツールを実行し、適切なモードとキー強度のキーを作成します。
    bin/opscenter_system_key_tool create ECB 128
    デフォルトで、システム・キーの名前はopsc_system_keyとなり、opscenterd.confと同じディレクトリーに配置されます。
    システム・キーの名前と暗号化キーのパスは、opscenterd.confaddress.yamlと同じディレクトリーに配置されます。address.yamlのオプションが優先されます。
    [security]
    # Specifies whether opscenter should attempt to decrypt sensitive config values
    config_encryption_active = True
    # Name of the system key used to encrypt/decrypt stored passwords.
    config_encryption_key_name = opsc_system_key
    # Path to the encryption key. If left blank, the directory of opscenterd.conf will be used
    config_encryption_key_path =
    

    キーをエージェント上の標準以外の場所に配置する場合、address.yamlで入力する必要があるフィールドは、config_encryption_key_nameconfig_encryption_key_pathのみです。

  2. ノードごとにシステム・キー・ファイルをエージェントに手動でコピーします。キー・ファイルは、そのエージェントのaddress.yamlと同じディレクトリーに配置する必要があります。
    cp local/opsc_system_key ../agent/local
  3. OpsCenterを停止して、エージェントを停止します。
  4. OpsCenterとエージェントを再起動します。