システム・リソースの暗号化
システム・キースペース、ヒント・ファイル、およびコミット・ログの機密データを保護します。
ローカル暗号化キーを使用して、system.batches
テーブル、system.paxos
テーブル、ヒント・ファイル、およびコミット・ログのデータを暗号化します。
注: トレースが有効な場合は、system_tracesキースペースにも機密データが含まれています。「テーブルの暗号化」の指示に従って、system_tracesキースペースのテーブルを暗号化します。
dse.yaml
dse.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/dse.yaml |
tarボール・インストール | installation_location/resources/dse/conf/dse.yaml |
始める前に
注: ローカル暗号化キー・ファイルを使用する場合は、場所をsystem key directoryに設定し、DSEを実行しているアカウントがキー・ファイルを所有していることを確認します。
手順
-
dse.yaml ファイルで、システム・テーブル、コミット・ログ、ヒント・ファイルの暗号化設定を構成します。
system_info_encryption: enabled: true cipher_algorithm: cipher_name secret_key_strength: key_length chunk_length_kb: default_table_chunk_size
- 必須。
enabled
をtrueに設定します。 - 任意。使用する暗号化キーのタイプを構成します。
cipher_algorithm
:サポートされているJCE暗号化アルゴリズムのうち、使用するアルゴリズムの名前を設定します。サポート・アルゴリズムについては、「cipher_algorithm」を参照してくださいsecret_key_strength
:キー長を指定します。chunk_length_kb
:SSTableのサイズ。オプションを指定しない場合は、デフォルト(64)が使用されます。
- 必須。
- DSEのローリング再起動を実行します。
- 既存のデータを暗号化するには、クラスター内のすべてのノードで
nodetool upgradesstables -a system batchlog paxos
を実行します。