機密構成値の暗号化

構成暗号化により、プライバシーが保護され、パスワードなどの機密構成値のセキュリティが向上します。

opscenterd.conf

opscenterd.confファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/etc/opscenter/opscenterd.conf
  • tarボール・インストール:install_location/conf/opscenterd.conf

cluster_name.conf

cluster_name.confファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/etc/opscenter/clusters/cluster_name.conf
  • tarボール・インストール:install_location/conf/clusters/cluster_name.conf

address.yaml

address.yamlファイルの場所は、インストールのタイプによって異なります。
  • パッケージ・インストール:/var/lib/datastax-agent/conf/address.yaml
  • tarボール・インストール:install_location/conf/address.yaml

プライバシーを保護し、パスワードなどの機密構成値のセキュリティを高めるため、構成暗号化をアクティブ化します。OpsCenter UI内の機密構成値は動的に暗号化され、関連する構成ファイルに転送され、暗号化された状態で書き込まれます。

手動で構成ファイルを編集するには、値を手動で暗号化し、適切な場所にコピーする必要があります。構成値を手動で暗号化するにはOpsCenterシステム・キー・ツールを使用します。

注: スケジュール・バックアップの既存のデスティネーションへのアクセスに使用される資格情報は手動で暗号化する必要があります。たとえば、Amazon S3へのスケジュール・バックアップがある場合は、access_secretフィールドを手動で暗号化する必要があります。

システム暗号化キー

OpsCenterシステム・キー・ツールを使用すると、opscenterdマシン上およびクラスター内のすべてのノードで暗号化に使用されるキーを作成できます。このシステム・キー・ツールは、/usr/share/opscenter/binなど、opscenterdの/binディレクトリーにあります。値の復号化はサポートされていません。
1. システム・キー暗号化のモードと強度
AES暗号化モード(暗号アルゴリズム) キー強度
ECB 128ビットまたは256ビット
CBC 128ビットまたは256ビット
CFB 128ビットまたは256ビット
OFB 128ビットまたは256ビット
注: 256ビットのキー強度を使用する場合は、セキュリティを強化されたjarファイルでJREをアップグレードする必要があります。Java Cryptography Extension(JCE)をダウンロードしてインストールし、jarファイルを解凍して、$JAVA_HOME/jre/lib/securityの下に配置します。JCEベースの製品は、米国輸出管理規則によって特定の国への輸出を制限されています。

暗号化されるフィールド

構成暗号化がOpsCenterでアクティブな場合、暗号化が必要なOpsCenter UI内の機密構成値は、OpsCenterにより自動的に暗号化されます。機密構成値を変更するには、多くの場合、手動で構成値を暗号化して適切な構成ファイルを直接編集する必要があります。

クラスター構成フィールド

クラスター構成 cluster_name.conf の暗号化が必要なフィールドには、以下が含まれます。

  • [jmx]password
  • [cassandra]passwordssl_keystore_passwordssl_truststore_password
  • [storage_cassandra]passwordssl_keystore_passwordssl_truststore_password
  • [agents]ssl_keystore_passwordおよびssl_truststore_password(監視対象のクラスター)、storage_ssl_keystore_passwordstorage_ssl_truststore_password(別のストレージ・クラスター)
  • [agent_kerberos]keytabticket_cache
  • [ldap]search_password
  • [backup_service]: s3_proxy_host, s3_proxy_port

email.confの次のフィールドには暗号化が必要です。

  • smtp_pass

このファイルは、install_location/event-plugins/email.confにあります。smtp_passフィールドの暗号化は手動で有効にする必要があります。

DataStaxエージェントの構成フィールド

次のaddress.yaml内のDataStax Agent構成フィールドは構成する必要がありません。OpsCenterは、opscenterd.conf の値を接続時にDataStaxエージェントに渡します。
重要: address.yamlでDataStaxエージェント構成フィールド値を設定し、address.yamlとopscenterd.conf内でconfig_encryption_activeをtrueに設定した場合、これらのフィールドの暗号化された値を指定する必要があります。
暗号化が必要なDataStaxエージェント構成フィールドには、以下が含まれます。
  • access_secret
  • storage_key
  • jmx_pass
  • cassandra_pass
  • monitored_cassandra_pass
  • ssl_keystore_password(ストレージ・クラスター)
  • ssl_truststore_password(ストレージ・クラスター)
  • monitored_ssl_keystore_password(監視対象のクラスター)
  • monitored_ssl_truststore_password(監視対象のクラスター)