Effectuer une rotation des clés dans le Studio Talend
Deux clés de chiffrements sont à présent utilisées par le Studio Talend, les composants Talend Administration Center et Talend afin de chiffrer et déchiffrer les mots de passe via l'algorithme AES GCM 256.
- system.encryption.key : pour chiffrer et déchiffrer les mots de passe Nexus et les mots de passe dans les fichiers de propriétés des Jobs connection_user.properties et <jobname>_<jobversion>.item. Toutes les personnes utilisant le Studio Talend et travaillant sur un même projet doivent avoir la même clé de chiffrement système.
- routine.encryption.key : pour chiffrer et déchiffrer des mots de passe lors de la construction et de l'exécution des Jobs.
Les valeurs par défaut de ces deux clés system.encryption.key.v1 et routine.encryption.key.v1 sont stockées dans le fichier de configuration de la clé de chiffrement /configuration/studio.keys, créé sous le répertoire d'installation de votre Studio Talend, après la première exécution du fichier exécutable du Studio Talend Talend-Studio-macosx-cocoa.app. Voici un exemple du nouveau fichier studio.keys.
system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=
Si la clé de chiffrement système par défaut n'est pas utilisée pour chiffrer et déchiffrer de mot de passe, vous pouvez modifier sa valeur par défaut et redémarrer le Studio Talend. Utilisez par exemple la valeur ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=.
La valeur de la clé de chiffrement de routines par défaut ne peut être modifiée. Si vous êtes déjà connecté(e) à un projet, Talend vous permet d'effectuer une rotation sur une clé de chiffrement en ajoutant une nouvelle version de la clé de chiffrement dans le fichier de configuration de la clé de chiffrement.
La nouvelle version de la clé de chiffrement système est prise en compte pour un Job seulement après modification et sauvegarde du Job.
Si vous souhaitez effectuer une rotation des clés de chiffrement lorsque vous utilisez l'intégration continue, vous pouvez utiliser le paramètre -Dstudio.encryption.keys.file pour spécifier le chemin d'accès au fichier de configuration de la clé de chiffrement. Pour plus d'informations, consultez Construire et déployer.