Effectuer une rotation des clés dans le Studio Talend

Effectuer une rotation des clés dans le Studio Talend - Cloud

Guide d'installation et de migration de Talend Cloud

Version

Cloud

Language

Français

Operating system

Windows

Product

Talend Cloud

Module

Studio Talend

Talend Artifact Repository

Talend Data Stewardship

Talend Management Console

Talend Remote Engine

Talend SAP RFC Server

Content

Installation et mise à niveau

Last publication date

2024-04-02

Deux clés de chiffrement sont à présent utilisées par le Studio Talend et les composants Talend pour chiffrer et déchiffrer les mots de passe à l'aide de l'algorithme AES GCM 256.

system.encryption.key : pour chiffrer et déchiffrer les mots de passe Nexus et les mots de passe dans les fichiers de propriétés des Jobs connection_user.properties et <jobname>_<jobversion>.item. Toutes les personnes utilisant le Studio Talend et travaillant sur un même projet doivent avoir la même clé de chiffrement système.
routine.encryption.key : pour chiffrer et déchiffrer des mots de passe lors de la construction et de l'exécution des Jobs.

Avertissement : Talend recommande fortement d'effectuer la rotation de clé sur un Studio Talend, de déployer la nouvelle clé sur le moteur distant, si nécessaire, puis de distribuer la nouvelle clé aux autres Studio Talend.

Les valeurs par défaut de ces deux clés system.encryption.key.v1 et routine.encryption.key.v1 sont stockées dans le fichier de configuration de la clé de chiffrement \configuration\studio.keys, créé sous le répertoire d'installation de votre Studio Talend, après la première exécution du fichier exécutable du Studio Talend Talend-Studio-win-x86_64.exe. Voici un exemple du nouveau fichier studio.keys.

system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=

Si la clé de chiffrement système par défaut n'est pas utilisée pour chiffrer et déchiffrer de mot de passe, vous pouvez modifier sa valeur par défaut et redémarrer le Studio Talend. Utilisez par exemple la valeur ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=.

La valeur de la clé de chiffrement de routines par défaut ne peut être modifiée. Si vous êtes déjà connecté(e) à un projet, Talend vous permet d'effectuer une rotation sur une clé de chiffrement en ajoutant une nouvelle version de la clé de chiffrement dans le fichier de configuration de la clé de chiffrement.

La nouvelle version de la clé de chiffrement système est prise en compte pour un Job seulement après modification et sauvegarde du Job.

Si vous souhaitez effectuer une rotation des clés de chiffrement lorsque vous utilisez l'intégration continue, vous pouvez utiliser le paramètre -Dstudio.encryption.keys.file pour spécifier le chemin d'accès au fichier de configuration de la clé de chiffrement. Pour plus d'informations, consultez Construire et déployer.

Pourquoi et quand exécuter cette tâche

La procédure suivante vous présente comment effectuer une rotation d'une clé de chiffrement.

Procédure

Ouvrez le fichier de configuration de la clé \configuration\studio.keys, sous le répertoire d'installation de votre Studio Talend.
Ajoutez une version de votre clé de chiffrement avec une valeur vide en ajoutant la ligne suivante :
- Pour la clé de chiffrement système :
```
system.encryption.key.v<version_number>=
```
- Pour la clé de chiffrement de routine :
```
routine.encryption.key.v<version_number>=
```
où <version_number> est un entier simple représentant la version de la nouvelle clé de chiffrement et doit être supérieur aux numéros de versions existants, par exemple.
```
system.encryption.key.v2=
routine.encryption.key.v2=
```
Avertissement : Toute version précédente de la clé de chiffrement ne doit pas être supprimée si elle a déjà été utilisée pour chiffrer un mot de passe.
Sauvegardez le fichier de configuration de clé et redémarrez votre Studio Talend.
La nouvelle version de la valeur de la clé de chiffrement sera générée et sauvegardée dans le fichier de configuration de la clé.
Si le Job est exécuté sur un moteur distant, copiez le fichier de configuration de clé sur le serveur du moteur distant et ajoutez l'argument JVM suivant pour la tâche de Job correspondant dans un profil d'exécution pour le moteur distant dans Talend Management Console :
```
-Dencryption.keys.file=<studio_key_path>
```
où <studio_key_path> est le chemin absolu vers le fichier de configuration de la clé de chiffrement du Studio Talend sur le moteur distant, par exemple, D:\keys\studio.keys.

Pour plus d'informations concernant la définition d'un profil d'exécution de Job pour un moteur distant et l'ajout d'arguments JVM dans le profil d'exécution dans Talend Management Console, consultez Configuring Job run profiles (Configurer des profils d'exécution de Jobs).

Ensuite, avant d'exécuter la tâche du Job sur le moteur distant, vous devez modifier les paramètres d'exécution de la tâche en sélectionnant le profil d'exécution du Job où l'argument JVM a été configuré. Pour plus d'informations, consultez Accéder à des tâches de Jobs et les modifier.