既存のデータのキー更新
新しいローカル暗号化キーを作成し、テーブル・キー・ファイル名を変更し、新しいキーを使用してSSTableを再度暗号化します。
新しいローカル暗号化キーを作成し、テーブル・キー・ファイル名を変更し、新しいキーを使用してSSTableを再度暗号化します。システム・キーを変更する場合、古いキーを削除する前に、すべての既存のデータを再度暗号化する必要があります。
dse.yaml
dse.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/dse.yaml |
tarボール・インストール | installation_location/resources/dse/conf/dse.yaml |
始める前に
- DSEリソースおよび構成ディレクトリーに対して読み取り/書き込み/変更パーミッションを持っている、DataStax Enterpriseノード管理者またはスーパーユーザー・アカウント。
- DSEデータベース認証および権限管理が有効な場合、暗号化されたテーブルに対してALTER TABLEパーミッションを持っているデータベース・アカウント。
手順
- SSTableのバックアップを作成します。
-
新しいローカル暗号化キーを作成し、クラスター内のノードに配布します。
-
テーブル・スキーマ内のキー・ファイル名を変更します。
-
notetool upgradesstablesを使用して、新しいキーを使用する暗号化されたSSTableを再度書き込みます。クラスターのすべてのノードで以下のコマンドを実行します。
- 対象が特定のテーブルのみの場合:
nodetool upgradesstables --include-all-sstables keyspace_name table_name [table_name …]
- 対象が特定のキースペースの場合:
nodetool upgradesstables --include-all-sstables keyspace_name
- 対象がすべてのキースペースとテーブルの場合:
nodetool upgradesstables --include-all-sstables
- 対象が特定のテーブルのみの場合:
-
上記の手順を完了したら、古いキーを削除し、テーブルや構成ファイル・プロパティの暗号化に古いキーが使用されていないことを確認します。
注: 古いキーは、最初のステップで作成したSSTableのバックアップにアクセスする際に必要です。