キーストアパスワードローダーの構成¶
デフォルトでは、Denodo Platform は、 <DENODO_HOME>conf/denodo-keystore.json
にランダムな暗号化キー設定を作成します。一部の環境では、パスワードは、インストールフォルダの外部では、外部ファイル、環境変数、または Denodo Platform をホストするクラウドサービスが提供するシークレットマネージャサービスを使用して保護する必要があります。
以下の 6 つのキーストアパスワードローダーを使用できます。
重要
クラウドローダーを使用する場合、構成されているシークレットにアクセスするための十分な権限を持つクラウドサービス上でサーバーが動作している必要があります。オンプレミスのインストール環境からクラウドローダーを構成するオプションはありません。
直接指定によるキーストアパスワード構成¶
これは、Denodo Platform をインストールする場合のデフォルト構成です。パスワードは、 password
構成の value
タグを使用して直接指定します。
{
"keyStore": {
"loader": {
"type": "FILE",
"location": "denodo-key.keystore"
},
"type": "PKCS12",
"password": {
"value": "<password to access the keystore>"
}
},
"key": {
"alias": "denodo_key"
}
}
この例の場合、パスワード kspassword
を使用してキーストアを開きます。
ファイルによるキーストアパスワード構成¶
この構成では、指定したファイルからパスワードを読み込みます。それには、 "loader"
セクションで "type":"FILE"
と指定し、 "location"
タグにファイルへのルートを指定します。このファイルには、CLEAR、HEX、または BASE64 のオプションで指定した形式のキーストアパスワードが含まれます。
{
"keyStore":{
"loader":{
"type":"FILE",
"location":"denodo-key.keystore"
},
"password":{
"format":"BASE64",
"loader":{
"type":"FILE",
"location":"<route>"
}
}
},
"key":{
"alias":"denodo_key"
}
}
パスワード kspassword
で保護されたキーストアを開くには、参照されているファイルに Base64 としてエンコードされた``a3NwYXNzd29yZA==`` が含まれている必要があります。
注釈
キーストアの場所が絶対パスではない場合、 <DENODO_HOME>conf/denodo-keystore.json
ファイルのパスからの相対として使用されます。
環境変数によるキーストアパスワード構成¶
この構成では、環境変数からパスワードを読み込みます。それには、 "loader"
セクションで "type":"ENV"
と指定し、 "name"
タグに読み込む環境変数を指定します。この環境変数には、CLEAR、HEX、または BASE64 のオプションで指定した形式のキーストアパスワードが含まれます。
{
"keyStore":{
"loader":{
"type":"FILE",
"location":"denodo-key.keystore"
},
"password":{
"format":"HEX",
"loader":{
"type":"ENV",
"name":"<env_variable>"
}
}
},
"key":{
"alias":"denodo_key"
}
}
パスワード kspassword
で保護されたキーストアを開くには、参照されている環境変数に 16 進テキストとしてエンコードされた``6B7370617373776F7264`` が含まれている必要があります。
AWS によるキーストアパスワード構成¶
この構成では、AWS Secrets Manager からパスワードを取得します。それには、 "loader"
セクションで "type":"AWS"
と指定し、以下の構成タグを使用します。
awsRegion
: シークレットが保存されている AWS のリージョンが含まれます。awsSecretId
: 指定されたリージョンに読み込む AWS シークレット ID が含まれます。awsSecretKey
: シークレットがキーと値のマッピング JSON としてアップロードされる場合に使用されるオプション構成。このタグには、パスワードを含む値に対応するキーが含まれる必要があります。format
タグを使用しない場合、パスワードはプレーンテキストであることが想定されます。
{
"keyStore":{
"loader":{
"type":"FILE",
"location":"denodo-key.keystore"
},
"password":{
"loader":{
"type":"AWS",
"awsRegion":"us-west-1",
"awsSecretId":"keystore-password-json",
"awsSecretKey":"keystorePass"
}
}
},
"key":{
"alias":"denodo_key"
}
}
パスワード kspassword
で保護されたキーストアを開くには、参照されているシークレットに値 {"keystorePass":"kspassword"}
が含まれている必要があります。
Azure によるキーストアパスワード構成¶
この構成では、Azure Key Vault からパスワードを取得します。それには、 "loader"
セクションで "type":"AZURE"
と指定し、以下の構成タグを使用します。
azureSecretId
: キーストアパスワードを含むシークレット ID が含まれます。azureVaultUrl
: 構成されたシークレット ID が含まれるボールトの URL。azureManagedIdentityClientId
: シークレットにアクセスするための権限でマネージド ID 認証フローを使用する場合にのみ必要なオプションパラメータ。
{
"keyStore":{
"loader":{
"type":"FILE",
"location":"denodo-key.keystore"
},
"password":{
"loader":{
"type":"AZURE",
"azureSecretId":"secret-id",
"azureVaultUrl":"https://example.vault.azure.net"
}
}
},
"key":{
"alias":"denodo_key"
}
}
パスワード kspassword
で保護されたキーストアを開くには、参照されているシークレットに値 kspassword
が含まれている必要があります。
Google Cloud によるキーストアパスワード構成¶
この構成では、Google Cloud Secret Manager からパスワードを取得します。それには、 "loader"
セクションで "type":"GOOGLE_CLOUD"
と指定し、以下の構成タグを使用します。
gcSecretId
: キーストアパスワードを含むシークレット ID が含まれます。gcProjectId
: シークレットが作成されたプロジェクト ID。gcVersionId
: 使用する特定のシークレットバージョンを指定するオプションパラメータ。指定しない場合、最新のバージョンが使用されます。
{
"keyStore":{
"loader":{
"type":"FILE",
"location":"denodo-key.keystore"
},
"password":{
"loader":{
"type":"GOOGLE_CLOUD",
"gcSecretId":"denodo-secret-1",
"gcProjectId":"denodo-project",
"gcVersionId":"prod1"
}
}
},
"key":{
"alias":"denodo_key"
}
}
パスワード kspassword
で保護されたキーストアを開くには、参照されているシークレットに値 kspassword
が含まれている必要があります。
注釈
提案された構成を使用して、キーストアを保護するパスワードへのアクセスを構成します。キーストアローダーは、 FILE
から上記のいずれかに変更することもできます。FILE
と AWS
の場合、キーストアファイルを含むバイナリデータを保存できます。それ以外の場合、複数バイトのキーストアを BASE64 としてエンコードしたテキスト値である必要があります。
{
"keyStore":{
"loader":{
"type":"AWS",
"awsRegion":"us-west-1",
"awsSecretId":"denodo_keystore_binary_secret"
},
"password":{
"loader":{
"type":"AWS",
"awsRegion":"eu-west-1",
"awsSecretId":"keystore-password-cleartext"
}
}
},
"key":{
"alias":"denodo_key"
}
}