セキュア設定（Secure settings）

セキュア設定

一部の設定は機密性が高く、ファイルシステムの権限に依存してその値を保護することは不十分です。このユースケースのために、Elasticsearchはキーストアとelasticsearch-keystoreツールを提供して、キーストア内の設定を管理します。

キーストアから読み取るように設計されているのは一部の設定のみです。サポートされていない設定をキーストアに追加すると、_nodes/reload_secure_settings APIでの検証が失敗し、対処しない場合はElasticsearchが起動しなくなります。設定がキーストアでサポートされているかどうかを確認するには、設定リファレンスで「Secure」修飾子を探してください。

キーストアへのすべての変更は、Elasticsearchを再起動した後にのみ有効になります。

これらの設定は、elasticsearch.yml設定ファイル内の通常の設定と同様に、クラスター内の各ノードで指定する必要があります。現在、すべてのセキュア設定はノード固有の設定であり、すべてのノードで同じ値を持つ必要があります。

再読み込み可能なセキュア設定

これらの設定はノードが起動する前に定義することも、設定が定義された後に[`````bin/elasticsearch-keystore add`````ノード再読み込みセキュア設定API](/read/elasticsearch-8-15/63db48473f7c6889.md)を呼び出して実行中のノードに適用することもできます。  
すべてのセキュア設定の値は、**再読み込み可能**であろうとなかろうと、すべてのクラスターのノードで同一でなければなりません。希望するセキュア設定の変更を行った後、`````bin/elasticsearch-keystore add`````コマンドを使用して、次のように呼び出します:
#### Python
``````python
resp = client.nodes.reload_secure_settings(
   secure_settings_password="keystore-password",
)
print(resp)
`

Ruby

response = client.nodes.reload_secure_settings(
  body: {
   secure_settings_password: 'keystore-password'
  }
)
puts response

Js

const response = await client.nodes.reloadSecureSettings({
  secure_settings_password: "keystore-password",
});
console.log(response);

コンソール

POST _nodes/reload_secure_settings
{
  "secure_settings_password": "keystore-password"
}

このAPIは、キーストア全体を復号化し、再読み込みし、すべてのクラスターのノードで設定を検証しますが、再読み込み可能なセキュア設定のみが適用されます。他の設定の変更は、次回の再起動まで有効になりません。呼び出しが戻ると、再読み込みが完了したことを意味し、これらの設定に依存するすべての内部データ構造が変更されます。すべては、設定が最初から新しい値を持っていたかのように見えるはずです。

複数の再読み込み可能なセキュア設定を変更する場合は、各クラスターのノードでそれらすべてを変更し、各変更後に再読み込みするのではなく、reload_secure_settings呼び出しを行ってください。

再読み込み可能なセキュア設定は次の通りです：

• Azureリポジトリプラグイン
• EC2ディスカバリープラグイン
• GCSリポジトリプラグイン
• S3リポジトリプラグイン
• 監視設定
• Watcher設定
• JWTレルム
• Active Directoryレルム
• LDAPレルム
• APIキーベースのセキュリティモデルのリモートクラスター資格情報