Talend Studioで暗号化キーをローテーション
Talend StudioコンポーネントとTalendコンポーネントで、AES GCM 256によるパスワードの暗号化および復号化に暗号化キーが2つ使用されるようになりました。
- system.encryption.key: Nexusパスワード、そしてconnection_user.propertiesファイルと<jobname>_<jobversion>.itemジョブプロパティファイル内のパスワードを暗号化および復号化します。同じプロジェクトで作業しているすべてのTalend Studioユーザーが同じシステム暗号化キーを持っていることが必要です。
- routine.encryption.key: ジョブをビルド中および実行中に、パスワードを暗号化および復号化します。
2つのキー(system.encryption.key.v1とroutine.encryption.key.v1)のデフォルト値は、暗号化キー設定ファイルである\configuration\studio.keys に保存されています。このファイルは、Talend Studioの実行ファイルであるTalend-Studio-win-x86_64.exe を初めて実行した後に、Talend Studioのインストールディレクトリーの下に作成されます。以下は、新しく作成されたstudio.keysファイルの例です。
system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=
パスワードの暗号化および復号化にデフォルトのシステム暗号化キーが使用されない場合は、そのデフォルト値(上記の例では、ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=)を削除して、Talend Studioを再起動すると、その値を変更できます。
ルーチン暗号化キーのデフォルト値は変更できません。プロジェクトに既にログオンしている場合、Talendでは、暗号化キー設定ファイルにそのキーの新しいバージョンを追加して暗号化キーをローテーション化できます。
システム暗号化キーの新しいバージョンがジョブで有効となるのは、そのジョブを変更して保存した後のみです。
継続的インテグレーションを使用する際に暗号化キーをローテーションする必要がある場合は、-Dstudio.encryption.keys.fileパラメーターを使って暗号化キー設定ファイルへのパスを指定できます。詳細は、ビルドとデプロイをご覧ください。