新しい検索インデックスの暗号化

新しいDSE Searchインデックス・ファイルを暗号化するための手順。

新しい検索コアを作成したら、その暗号化を有効にできます。

clientsディレクトリー

clientsディレクトリーのデフォルトの場所は、インストールのタイプによって異なります。
パッケージ・インストール /usr/share/dse/clients
tarボール・インストール installation_location/clients

solrj-auth-README.md

solrj-auth-README.mdファイルのデフォルトの場所は、インストールのタイプによって異なります。
パッケージ・インストール /usr/share/dse/solr
tarボール・インストール installation_location/resources/solr

SolrJ Authを使用した暗号化の実装

SolrJ-Authライブラリを使用して暗号化を実装するには、solrj-auth-README.md ファイルの指示に従ってください。

これらのSolrJ-Authライブラリは、DataStax Enterpriseディストリビューションのclients ディレクトリーに格納されていてます。SolrJ-Authコードはパブリックです。

始める前に

TDEを使用する場合は、ローカル・ファイル・システムのセキュリティを保護します。暗号化キーはKMIP暗号化を使用してリモートに格納されるか、サーバー内暗号化を使用してローカルに格納されます。

手順

暗号化はコアごとに有効になります。
新しいコアの暗号化を有効にするには、検索インデックス・ファイルを編集して、directoryFactoryのクラスをsolr.EncryptedFSDirectoryFactoryに変更します。
  • 推奨:dsetool dsetool create_coreコマンドと自動リソース生成を使用します。便利なcoreOptionsInline引数を使用して、directoryFactoryのクラスをsolr.EncryptedFSDirectoryFactoryに指定します。
    dsetool create_core keyspace_name.table_name generateResources=true coreOptionsInline="directory_factory_class:solr.EncryptedFSDirectoryFactory"
  • また、dsetool dsetool create_coreコマンドは、以下のように使用することもできます。
    dsetool create_core keyspace_name.table_name schema=schema.xml solrconfig=solrconfig.xml
    ここで、solrconfig.xmlファイルは、必要なdirectoryFactoryを指定します。
    <directoryFactory name="DirectoryFactory" class="solr.EncryptedFSDirectoryFactory"/>
    generateResources=trueオプションは、solr_resourcesテーブルにリソースが存在しない場合にのみリソースを生成します。
暗号化された検索コアを作成した後、ノードの再起動は必要ありません。

次のタスク

暗号化を無効にするには、バッキングCQLテーブルの暗号化を無効にします。ノードを再起動する必要はありません。