Accéder au contenu principal Passer au contenu complémentaire

Effectuer une rotation des clés dans le Studio Talend

Deux clés de chiffrements sont à présent utilisées par le Studio Talend, les composants Talend Administration Center et Talend afin de chiffrer et déchiffrer les mots de passe via l'algorithme AES GCM 256.

  • system.encryption.key : pour chiffrer et déchiffrer les mots de passe Nexus et les mots de passe dans les fichiers de propriétés des Jobs connection_user.properties et <jobname>_<jobversion>.item. Toutes les personnes utilisant le Studio et travaillant sur un même projet doivent avoir la même clé de chiffrement système.
  • routine.encryption.key : pour chiffrer et déchiffrer des mots de passe lors de la construction et de l'exécution des Jobs.
Note InformationsAvertissement : Il est fortement recommandé d'effectuer une rotation de la clé dans un Studio, de déployer la nouvelle clé dans Talend Administration Center et Talend JobServer si besoin, puis de distribuer la nouvelle clé aux autres Studios.

Les valeurs par défaut de ces deux clés system.encryption.key.v1 et routine.encryption.key.v1 sont stockées dans le fichier de configuration de la clé de chiffrement /configuration/studio.keys, créé sous le répertoire d'installation de votre Studio Talend, après la première exécution du fichier exécutable du Studio Talend Talend-Studio-linux-gtk-x86_64. Voici un exemple du nouveau fichier studio.keys.

system.encryption.key.v1=ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=
routine.encryption.key.v1=YBoRMn8gwD1Kt3CcowOiGeoxRbC2eNNVm7Id6vA3hrk\=

Si la clé de chiffrement système par défaut n'est pas utilisée pour chiffrer et déchiffrer de mot de passe, vous pouvez modifier sa valeur par défaut et redémarrer le Studio Talend. Utilisez par exemple la valeur ObIr3Je6QcJuxJEwErWaFWIxBzEjxIlBrtCPilSByJI\=.

La valeur de la clé de chiffrement de routines par défaut ne peut être modifiée. Si vous êtes déjà connecté(e) à un projet, Talend vous permet d'effectuer une rotation sur une clé de chiffrement en ajoutant une nouvelle version de la clé de chiffrement dans le fichier de configuration de la clé de chiffrement.

Attention, la nouvelle version de la clé de chiffrement du système sera prise en compte pour un Job seulement après modification et sauvegarde du Job.

Pourquoi et quand exécuter cette tâche

La procédure suivante vous présente comment effectuer une rotation d'une clé de chiffrement.

Procédure

  1. Ouvrez le fichier de configuration de la clé /configuration/studio.keys, sous le répertoire d'installation de votre Studio Talend.
  2. Ajoutez une version de votre clé de chiffrement avec une valeur vide en ajoutant la ligne suivante :
    • Pour la clé de chiffrement système :
      system.encryption.key.v<version_number>=
    • Pour la clé de chiffrement de routine :
      routine.encryption.key.v<version_number>=

    <version_number> est un entier simple représentant la version de la nouvelle clé de chiffrement et doit être supérieur aux numéros de versions existants, par exemple.

    system.encryption.key.v2=
    routine.encryption.key.v2=
    Note InformationsAvertissement : Toute version précédente de la clé de chiffrement ne doit pas être supprimée si elle a déjà été utilisée pour chiffrer un mot de passe.
  3. Sauvegardez le fichier de configuration de clé et redémarrez votre Studio Talend.
    La nouvelle version de la valeur de la clé de chiffrement sera générée et sauvegardée dans le fichier de configuration de la clé.
  4. Si vous effectuez la rotation de la clé de chiffrement des routines et que vos Jobs sont exécutés dans Talend JobServer, copiez le fichier de configuration de la clé pour le Studio Talend dans un répertoire sur le serveur où Talend JobServer est installé et configurez le paramètre JVM parameter -Dencryption.keys.file dans Talend JobServer.
    Pour plus d'informations, consultez Set a JVM property for all the Jobs executed by a JobServer on Windows / Linux (uniquement en anglais) (en anglais).
  5. Si vous effectuez la rotation de la clé de chiffrement système tout en travaillant sur un projet distant, configurez la même clé de chiffrement pour Talend Administration Center.
    1. Copiez le fichier de configuration de la clé pour le Studio Talend dans un répertoire sur le serveur où Talend Administration Center est installé, par exemple D:/StudioKeys.
    2. Ouvrez le fichier <TomcatPath>/bin/catalina.sh dans le répertoire d'installation de Talend Administration Center.
    3. Ajoutez la ligne suivante au début du fichier :
      JAVA_OPTS="-Dencryption.keys.file=/d/StudioKeys/studio.keys"
  6. Si vous effectuez la rotation de la clé de chiffrement des routines et que vos Jobs sont exécutés depuis le Job Conductor dans Talend Administration Center, copiez le fichier de configuration de la clé pour le Studio Talend dans un répertoire sur le serveur où Talend Administration Center est installé et configurez le paramètre JVM parameter -Dencryption.keys.file pour la tâche correspondante, dans Talend Administration Center.
    Pour plus d'informations concernant la configuration des paramètres JVM pour une tâche dans Talend Administration Center, consulteze Définir des paramètres de la JVM pour des tâches spécifiques.
  7. Redémarrez votre Talend Administration Center pour toute nouvelle configuration.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.