Effectuer une rotation des clés dans le Studio Talend
Deux clés de chiffrement sont à présent utilisées par le Studio Talend et les composants Talend pour chiffrer et déchiffrer les mots de passe à l'aide de l'algorithme AES GCM 256.
- system.encryption.key : pour chiffrer et déchiffrer les mots de passe Nexus et les mots de passe dans les fichiers de propriétés des Jobs connection_user.properties et <jobname>_<jobversion>.item. Toutes les personnes utilisant le Studio Talend et travaillant sur un même projet doivent avoir la même clé de chiffrement système.
- routine.encryption.key : pour chiffrer et déchiffrer des mots de passe lors de la construction et de l'exécution des Jobs.
Les valeurs par défaut de ces deux clés system.encryption.key.v1 et routine.encryption.key.v1 sont stockées dans le fichier de configuration de la clé de chiffrement /configuration/studio.keys, créé sous le répertoire d'installation de votre Studio Talend, après la première exécution du fichier exécutable du Studio Talend Talend-Studio-linux-gtk-x86_64. Voici un exemple du nouveau fichier studio.keys.
system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=
Si la clé de chiffrement système par défaut n'est pas utilisée pour chiffrer et déchiffrer de mot de passe, vous pouvez modifier sa valeur par défaut et redémarrer le Studio Talend. Utilisez par exemple la valeur ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=.
La valeur de la clé de chiffrement de routines par défaut ne peut être modifiée. Si vous êtes déjà connecté(e) à un projet, Talend vous permet d'effectuer une rotation sur une clé de chiffrement en ajoutant une nouvelle version de la clé de chiffrement dans le fichier de configuration de la clé de chiffrement.
La nouvelle version de la clé de chiffrement système est prise en compte pour un Job seulement après modification et sauvegarde du Job.
Si vous souhaitez effectuer une rotation des clés de chiffrement lorsque vous utilisez l'intégration continue, vous pouvez utiliser le paramètre -Dstudio.encryption.keys.file pour spécifier le chemin d'accès au fichier de configuration de la clé de chiffrement. Pour plus d'informations, consultez Construire et déployer.