Talend Studioで暗号化キーをローテーション - Cloud

Windows版Talend Cloudインストールガイド

Version
Cloud
Language
日本語 (日本)
EnrichDitaval
windows
Product
Talend Cloud
Module
Talend Artifact Repository
Talend Data Stewardship
Talend Management Console
Talend Remote Engine
Talend SAP RFC Server
Talend Studio
Content
インストールとアップグレード

Talend StudioコンポーネントとTalendコンポーネントで、AES GCM 256によるパスワードの暗号化および復号化に暗号化キーが2つ使用されるようになりました。

  • system.encryption.key: Nexusパスワード、そしてconnection_user.propertiesファイルと<jobname>_<jobversion>.itemジョブプロパティファイル内のパスワードを暗号化および復号化します。同じプロジェクトで作業しているすべてのStudioユーザーには同じシステム暗号化キーがある必要があります。
  • routine.encryption.key: ジョブをビルド中および実行中に、パスワードを暗号化および復号化します。

    ルートとデータサービスではまだ暗号化キーのローテーションがサポートされていません。

警告: 1つのStudioでキーをローテーション化し、必要に応じてRemote Engineに新しいキーをデプロイした後に、この新しいキーを他のStudioに配布することを強くお勧めします。

2つのキー(system.encryption.key.v1routine.encryption.key.v1)のデフォルト値は、暗号化キー設定ファイルである\configuration\studio.keysに保存されています。このファイルは、Talend Studioの実行ファイルであるTalend-Studio-win-x86_64.exe を初めて実行した後にTalend Studioのインストールディレクトリーの下に作成されます。以下は、新しく作成されたstudio.keysファイルの例です。

system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=

パスワードの暗号化および復号化にデフォルトのシステム暗号化キーが使用されない場合は、そのデフォルト値(上記の例では、ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=)を削除して、Talend Studioを再起動すると、その値を変更できます。

ルーチン暗号化キーのデフォルト値は変更できません。プロジェクトに既にログオンしている場合、Talendでは、暗号化キー設定ファイルにそのキーの新しいバージョンを追加して暗号化キーをローテーション化できます。

システム暗号化キーの新しいバージョンがジョブで有効となるのは、そのジョブを変更して保存した後のみです。

このタスクについて

暗号化キーは次の手順でローテーション化します。

手順

  1. Talend Studioのインストールディレクトリーの下の\configuration\studio.keys というキー設定ファイルを開きます。
  2. 次の行を追加し、値を空にして暗号化キーの新しいバージョンを追加します。
    • システム暗号化キーの場合:
      system.encryption.key.v<version_number>=
    • ルーチン暗号化キーの場合:
      routine.encryption.key.v<version_number>=

    <version_number>には新しい暗号化キーのバージョンを表す単純な整数が入りますが、これは既存のバージョン番号よりも大きくなります。例:

    system.encryption.key.v2=
    routine.encryption.key.v2=
    警告: 暗号化キーの前のバージョンのうち、パスワードの暗号化で既に使用されてきたものは削除しないでください。
  3. キー設定ファイルを保存してTalend Studioを再起動します。
    暗号化キー値の新しいバージョンが生成され、キー設定ファイルに保存されます。
  4. Remote Engineでジョブを実行する場合は、キー設定ファイルをそのRemote Engineサーバーにコピーし、Talend Cloud Management ConsoleのRemote Engine用ジョブ実行プロファイルで、対応するジョブタスクについて以下のJVM引数を追加してください。
    -Dencryption.keys.file=<studio_key_path>

    <studio_key_path>Talend StudioRemote Engineにある暗号化キーへの絶対パスで、たとえばD:\keys\studio.keysとなります。

    Talend Cloud Management ConsoleでRemote Engineにジョブ実行プロファイルを定義し、実行プロファイルにJVM引数を追加する方法の詳細は、ジョブ実行プロファイルを設定をご覧ください。

    その後、Remote Engineでジョブタスクを実行する前に、JVM引数が設定されたジョブ実行プロファイルを選択してタスクの実行設定を編集する必要があります。詳細は、ジョブタスクにアクセスして編集をご覧ください。