Effectuer une rotation des clés dans le Studio Talend - Cloud

Guide d'installation Talend pour Windows

Version
Cloud
Language
Français (France)
EnrichDitaval
Windows
Product
Talend Cloud
Module
Studio Talend
Talend Artifact Repository
Talend Data Stewardship
Talend Management Console
Talend Remote Engine
Talend SAP RFC Server
Content
Installation et mise à niveau
Disponible dans...

Cloud API Services Platform

Cloud Big Data

Cloud Big Data Platform

Cloud Data Fabric

Cloud Data Integration

Cloud Data Management Platform

Deux clés de chiffrement sont à présent utilisées par le Studio Talend et les composants Talend pour chiffrer et déchiffrer les mots de passe à l'aide de l'algorithme AES GCM 256.

  • system.encryption.key : pour chiffrer et déchiffrer les mots de passe Nexus et les mots de passe dans les fichiers de propriétés des Jobs connection_user.properties et <jobname>_<jobversion>.item. Toutes les personnes utilisant le Studio et travaillant sur un même projet doivent avoir la même clé de chiffrement système.
  • routine.encryption.key : pour chiffrer et déchiffrer des mots de passe lors de la construction et de l'exécution des Jobs.
Avertissement : Il est fortement recommandé d'effectuer la rotation de clé sur un Studio, de déployer la nouvelle clé sur le moteur distant, si nécessaire, puis de distribuer la nouvelle clé aux autres Studios.

Les valeurs par défaut de ces deux clés system.encryption.key.v1 et routine.encryption.key.v1 sont stockées dans le fichier de configuration de la clé de chiffrement \configuration\studio.keys, créé sous le répertoire d'installation de votre Studio Talend, après la première exécution du fichier exécutable du Studio Talend Talend-Studio-win-x86_64.exe. Voici un exemple du nouveau fichier studio.keys.

system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=

Si la clé de chiffrement système par défaut n'est pas utilisée pour chiffrer et déchiffrer de mot de passe, vous pouvez modifier sa valeur par défaut et redémarrer le Studio Talend. Utilisez par exemple la valeur ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=.

La valeur de la clé de chiffrement de routines par défaut ne peut être modifiée. Si vous êtes déjà connecté(e) à un projet, Talend vous permet d'effectuer une rotation sur une clé de chiffrement en ajoutant une nouvelle version de la clé de chiffrement dans le fichier de configuration de la clé de chiffrement.

La nouvelle version de la clé de chiffrement système est prise en compte pour un Job seulement après modification et sauvegarde du Job.

Si vous souhaitez effectuer une rotation des clés de chiffrement lorsque vous utilisez l'intégration continue, vous pouvez utiliser le paramètre -Dstudio.encryption.keys.file pour spécifier le chemin d'accès au fichier de configuration de la clé de chiffrement. Pour plus d'informations, consultez Construire et déployer.

Pourquoi et quand exécuter cette tâche

La procédure suivante vous présente comment effectuer une rotation d'une clé de chiffrement.

Procédure

  1. Ouvrez le fichier de configuration de la clé \configuration\studio.keys, sous le répertoire d'installation de votre Studio Talend.
  2. Ajoutez une version de votre clé de chiffrement avec une valeur vide en ajoutant la ligne suivante :
    • Pour la clé de chiffrement système :
      system.encryption.key.v<version_number>=
    • Pour la clé de chiffrement de routine :
      routine.encryption.key.v<version_number>=

    <version_number> est un entier simple représentant la version de la nouvelle clé de chiffrement et doit être supérieur aux numéros de versions existants, par exemple.

    system.encryption.key.v2=
    routine.encryption.key.v2=
    Avertissement : Toute version précédente de la clé de chiffrement ne doit pas être supprimée si elle a déjà été utilisée pour chiffrer un mot de passe.
  3. Sauvegardez le fichier de configuration de clé et redémarrez votre Studio Talend.
    La nouvelle version de la valeur de la clé de chiffrement sera générée et sauvegardée dans le fichier de configuration de la clé.
  4. Si le Job est exécuté sur un moteur distant, copiez le fichier de configuration de clé sur le serveur du moteur distant et ajoutez l'argument JVM suivant pour la tâche de Job correspondant dans un profil d'exécution pour le moteur distant dans Talend Cloud Management Console :
    -Dencryption.keys.file=<studio_key_path>

    <studio_key_path> est le chemin absolu vers le fichier de configuration de la clé de chiffrement du Studio Talend sur le moteur distant, par exemple, D:\keys\studio.keys.

    Pour plus d'informations concernant la définition d'un profil d'exécution de Job pour un moteur distant et d'ajouter les arguments JVM dans le profil d'exécution dans Talend Cloud Management Console, consultez Configurer des profils d'exécution de Jobs.

    Ensuite, avant d'exécuter la tâche du Job sur le moteur distant, vous devez modifier les paramètres d'exécution de la tâche en sélectionnant le profil d'exécution du Job où l'argument JVM a été configuré. Pour plus d'informations, consultez Accéder à des tâches de Jobs et les modifier.