Watcherにおける機密データの暗号化

ウォッチは、HTTP基本認証情報やSMTPメールサービスの詳細など、機密データにアクセスできる場合があります。このデータは、キーを生成し、クラスター内の各ノードにいくつかのセキュアな設定を追加することで暗号化できます。

HTTP基本認証ブロック内でウォッチで使用されるすべての password フィールド(例えば、ウェブフック、HTTP入力、またはレポートメール添付ファイルを使用する場合)は、もはやプレーンテキストとして保存されません。また、ウォッチ内の独自のフィールドを暗号化するように構成する方法はないことに注意してください。

Watcherで機密データを暗号化するには:

  • 1. elasticsearch-syskeygen コマンドを使用してシステムキーファイルを作成します。
  • 2. system_key ファイルをクラスター内のすべてのノードにコピーします。
    システムキーは対称キーであるため、クラスター内のすべてのノードで同じキーを使用する必要があります。
  • 3. xpack.watcher.encrypt_sensitive_data 設定を設定します:
    1. xpack.watcher.encrypt_sensitive_data: true
  • 4. クラスター内の各ノードのElasticsearchキーストアxpack.watcher.encryption_key 設定 を設定します。
    例えば、各ノードで system_key ファイルをインポートするために次のコマンドを実行します:
    1. bin/elasticsearch-keystore add-file xpack.watcher.encryption_key <filepath>/system_key
  • 5. クラスター内の各ノードで system_key ファイルを削除します。

既存のウォッチはこれらの変更の影響を受けません。これらの手順に従った後に作成したウォッチのみが暗号化が有効になります。