📣
TiDB Cloud Essential はパブリックプレビュー中です。このページは自動翻訳されたものです。原文はこちらからご覧ください。
TiDB Cloud
TiDB Self-Managed
Learning Center
お問い合わせ

DM 暗号化と復号化用の秘密鍵をカスタマイズする

バージョン8.0.0より前のバージョンでは、 DMデータソースおよび移行タスク設定内のパスワードの暗号化と復号に固定AES-256秘密鍵使用していました。しかし、固定の秘密鍵を使用すると、特にセキュリティが極めて重要な環境ではセキュリティリスクが生じる可能性があります。セキュリティを強化するため、バージョン8.0.0以降、DMは固定の秘密鍵を削除し、秘密鍵をカスタマイズできるようになりました。

使用法

  1. カスタムキーファイルを作成します。このファイルには、64文字の16進数AES-256秘密鍵が含まれている必要があります。この鍵を生成する方法の一つは、ランダムデータ(例えばhead -n 256 /dev/urandom | sha256sumのSHA256チェックサムを計算することです。
  2. DM-master コマンドラインフラグまたは設定ファイルで、カスタム キー ファイルのパスとしてsecret-key-path指定します。

v8.0.0 より前のバージョンからアップグレードする

DM はバージョン 8.0.0 以降では固定秘密キーを使用しなくなったため、バージョン 8.0.0 より前のバージョンから DM をアップグレードする場合は次の点に注意してください。

  • データソース構成移行タスクの構成両方でプレーンテキスト パスワードが使用されている場合、アップグレードに追加の手順は必要ありません。
  • データソース構成移行タスクの構成で暗号化されたパスワードが使用されている場合、または将来的に暗号化されたパスワードを使用する場合は、次の手順を実行する必要があります。
    1. DMマスター構成ファイルsecret-key-pathパラメータを追加し、カスタムキーファイルのパスを指定します。ファイルには、64 文字の 16 進数 AES-256 キーが含まれている必要があります。アップグレード前に固定AES-256秘密鍵使用して暗号化していた場合は、この秘密鍵をキーファイルにコピーできます。すべての DM マスターノードで同じ秘密鍵設定が使用されていることを確認してください。
    2. まずDMマスターのローリングアップグレードを実行し、次にDMワーカーのローリングアップグレードを実行します。詳細については、 ローリングアップグレード参照してください。

暗号化と復号化の秘密鍵を更新する

暗号化と復号化に使用される秘密キーを更新するには、次の手順を実行します。

  1. DMマスター構成ファイルのアップデートsecret-key-path

    注記:

  2. DM マスターのローリング再起動を実行します。

  3. 新しいデータソース構成ファイル移行タスク構成ファイル作成するときは、 tiup dmctl encrypt (dmctl バージョン >= v8.0.0) で暗号化されたパスワードを使用します。

このページは役に立ちましたか?