USER MANUALS


キーストアパスワードローダーの構成

デフォルトでは、Denodo Platform は、 <DENODO_HOME>conf/denodo-keystore.json にランダムな暗号化キー設定を作成します。一部の環境では、パスワードは、インストールフォルダの外部では、外部ファイル、環境変数、または Denodo Platform をホストするクラウドサービスが提供するシークレットマネージャサービスを使用して保護する必要があります。

以下の 6 つのキーストアパスワードローダーを使用できます。

  1. 直接指定によるキーストアパスワード構成

  2. ファイルによるキーストアパスワード構成

  3. 環境変数によるキーストアパスワード構成

  4. AWS によるキーストアパスワード構成

  5. Azure によるキーストアパスワード構成

  6. Google Cloud によるキーストアパスワード構成

重要

クラウドローダーを使用する場合、構成されているシークレットにアクセスするための十分な権限を持つクラウドサービス上でサーバーが動作している必要があります。オンプレミスのインストール環境からクラウドローダーを構成するオプションはありません。

直接指定によるキーストアパスワード構成

これは、Denodo Platform をインストールする場合のデフォルト構成です。パスワードは、 password 構成の value タグを使用して直接指定します。

直接パスワードを指定するキーストア構成の例
{
   "keyStore": {
      "loader": {
         "type": "FILE",
         "location": "denodo-key.keystore"
      },
      "type": "PKCS12",
      "password": {
         "value": "<password to access the keystore>"
      }
   },
   "key": {
      "alias": "denodo_key"
   }
}

この例の場合、パスワード kspassword を使用してキーストアを開きます。

ファイルによるキーストアパスワード構成

この構成では、指定したファイルからパスワードを読み込みます。それには、 "loader" セクションで "type":"FILE" と指定し、 "location" タグにファイルへのルートを指定します。このファイルには、CLEAR、HEX、または BASE64 のオプションで指定した形式のキーストアパスワードが含まれます。

パスワードを含むファイルを指定するキーストア構成の例
{
   "keyStore":{
      "loader":{
         "type":"FILE",
         "location":"denodo-key.keystore"
      },
      "password":{
         "format":"BASE64",
         "loader":{
            "type":"FILE",
            "location":"<route>"
         }
      }
   },
   "key":{
      "alias":"denodo_key"
   }
}

パスワード kspassword で保護されたキーストアを開くには、参照されているファイルに Base64 としてエンコードされた``a3NwYXNzd29yZA==`` が含まれている必要があります。

注釈

キーストアの場所が絶対パスではない場合、 <DENODO_HOME>conf/denodo-keystore.json ファイルのパスからの相対として使用されます。

環境変数によるキーストアパスワード構成

この構成では、環境変数からパスワードを読み込みます。それには、 "loader" セクションで "type":"ENV" と指定し、 "name" タグに読み込む環境変数を指定します。この環境変数には、CLEAR、HEX、または BASE64 のオプションで指定した形式のキーストアパスワードが含まれます。

パスワードを含む環境変数を指定するキーストア構成の例
{
   "keyStore":{
      "loader":{
         "type":"FILE",
         "location":"denodo-key.keystore"
      },
      "password":{
         "format":"HEX",
         "loader":{
            "type":"ENV",
            "name":"<env_variable>"
         }
      }
   },
   "key":{
      "alias":"denodo_key"
   }
}

パスワード kspassword で保護されたキーストアを開くには、参照されている環境変数に 16 進テキストとしてエンコードされた``6B7370617373776F7264`` が含まれている必要があります。

AWS によるキーストアパスワード構成

この構成では、AWS Secrets Manager からパスワードを取得します。それには、 "loader" セクションで "type":"AWS" と指定し、以下の構成タグを使用します。

  • awsRegion: シークレットが保存されている AWS のリージョンが含まれます。

  • awsSecretId: 指定されたリージョンに読み込む AWS シークレット ID が含まれます。

  • awsSecretKey: シークレットがキーと値のマッピング JSON としてアップロードされる場合に使用されるオプション構成。このタグには、パスワードを含む値に対応するキーが含まれる必要があります。format タグを使用しない場合、パスワードはプレーンテキストであることが想定されます。

パスワードを含む環境変数を指定するキーストア構成の例
{
   "keyStore":{
      "loader":{
         "type":"FILE",
         "location":"denodo-key.keystore"
      },
      "password":{
      "loader":{
         "type":"AWS",
         "awsRegion":"us-west-1",
         "awsSecretId":"keystore-password-json",
         "awsSecretKey":"keystorePass"
      }
      }
   },
   "key":{
      "alias":"denodo_key"
   }
}

パスワード kspassword で保護されたキーストアを開くには、参照されているシークレットに値 {"keystorePass":"kspassword"} が含まれている必要があります。

Azure によるキーストアパスワード構成

この構成では、Azure Key Vault からパスワードを取得します。それには、 "loader" セクションで "type":"AZURE" と指定し、以下の構成タグを使用します。

  • azureSecretId: キーストアパスワードを含むシークレット ID が含まれます。

  • azureVaultUrl: 構成されたシークレット ID が含まれるボールトの URL。

  • azureManagedIdentityClientId: シークレットにアクセスするための権限でマネージド ID 認証フローを使用する場合にのみ必要なオプションパラメータ。

Azure Key Vault に含まれるパスワードを使用するキーストア構成の例
{
   "keyStore":{
      "loader":{
         "type":"FILE",
         "location":"denodo-key.keystore"
      },
      "password":{
         "loader":{
            "type":"AZURE",
            "azureSecretId":"secret-id",
            "azureVaultUrl":"https://example.vault.azure.net"
         }
      }
   },
   "key":{
      "alias":"denodo_key"
   }
}

パスワード kspassword で保護されたキーストアを開くには、参照されているシークレットに値 kspassword が含まれている必要があります。

Google Cloud によるキーストアパスワード構成

この構成では、Google Cloud Secret Manager からパスワードを取得します。それには、 "loader" セクションで "type":"GOOGLE_CLOUD" と指定し、以下の構成タグを使用します。

  • gcSecretId: キーストアパスワードを含むシークレット ID が含まれます。

  • gcProjectId: シークレットが作成されたプロジェクト ID。

  • gcVersionId: 使用する特定のシークレットバージョンを指定するオプションパラメータ。指定しない場合、最新のバージョンが使用されます。

Google Cloud Secret Manager に含まれるパスワードを使用するキーストア構成の例
{
   "keyStore":{
      "loader":{
         "type":"FILE",
         "location":"denodo-key.keystore"
      },
      "password":{
       "loader":{
         "type":"GOOGLE_CLOUD",
               "gcSecretId":"denodo-secret-1",
               "gcProjectId":"denodo-project",
               "gcVersionId":"prod1"
         }
       }
   },
   "key":{
      "alias":"denodo_key"
   }
}

パスワード kspassword で保護されたキーストアを開くには、参照されているシークレットに値 kspassword が含まれている必要があります。

注釈

提案された構成を使用して、キーストアを保護するパスワードへのアクセスを構成します。キーストアローダーは、 FILE から上記のいずれかに変更することもできます。FILEAWS の場合、キーストアファイルを含むバイナリデータを保存できます。それ以外の場合、複数バイトのキーストアを BASE64 としてエンコードしたテキスト値である必要があります。

バイナリシークレットからキーストアを取得する AWS のキーストア構成の例
{
   "keyStore":{
      "loader":{
         "type":"AWS",
         "awsRegion":"us-west-1",
         "awsSecretId":"denodo_keystore_binary_secret"
      },
      "password":{
         "loader":{
            "type":"AWS",
            "awsRegion":"eu-west-1",
            "awsSecretId":"keystore-password-cleartext"
         }
      }
   },
   "key":{
      "alias":"denodo_key"
   }
}
Add feedback