Шифрование параметров конфигурации NiFi
Общие данные о шифровании
После установки сервиса NiFi все конфиденциальные значения в открытом тексте для компонентов NiFi Server и NiFi Registry заменяются зашифрованными значениями в следующих файлах конфигурации:
-
nifi.properties
-
authorizers.xml
-
login-identity-providers.xml
-
nifi-registry.properties
Шифрование выполняется автоматически средствами ADCM c использованием инструмента шифрования конфигурации encrypt-config, который считывает из файлов чувствительные к открытому тексту значения конфигурации, запрашивает корневой ключ (root key) и шифрует каждое значение (заменяет простые значения защищенным значением в том же файле).
Используемый алгоритм шифрования по умолчанию — 128/256-битный AES/GCM.
Корневой ключ генерируется из пароля, указанного в конфигурационном параметре Nifi config encryption password, и записывается в файл bootstrap.conf командой шифрования для сохранения и предоставления конфигурации схемы защиты при необходимости.
Для файла bootstrap.conf должны быть предоставлены разрешения на чтение только тому пользователю, который может его выполнить (пользователь nifi
, пользователь из группы nifi
или root
).
Шифрование новых данных при использовании сервиса
Шифрование для сервиса NiFi поддерживается при совершении следующих операций:
-
Включение аутентификации и авторизации при помощи пользовательского интерфейса или плагина Ranger — при этом все новые конфиденциальные данные записываются в конфигурационные файлы в зашифрованном виде.
-
Включение действия Expand — при этом существующий пароль используется для шифрования конфиденциальных данных в файлах конфигурации на новом хосте (или нескольких хостах).
Изменение пароля
При необходимости изменение пароля выполняется в следующей последовательности:
-
На вкладке конфигурационных параметров сервиса NiFi в записи параметра Nifi config encryption password нажмите на <secret>.
Пароль шифрования параметров конфигурации NiFi -
В открывшемся окне введите новый пароль, подтвердите пароль и нажмите Apply.
Изменение пароля шифрования параметров конфигурации NiFiВНИМАНИЕПароль должен содержать не менее 12 символов и может содержать буквы, цифры и знаки препинания.
-
Сохраните конфигурацию, нажав Save.
-
Перезагрузите сервис NiFi. Для этого примените действие Restart, нажав на иконку в столбце Actions.
Сведения о шифровании конфиденциальных данных в файлах конфигурации NiFi
В таблице, приведенной ниже, указано, какие параметры в файлах конфигурации NiFi подвергаются шифрованию.
ВНИМАНИЕ
Таблица параметров предназначена только для информационных целей. Вносить изменения в файлы конфигурации не рекомендуется. |
Компонент | Конфигурационный файл | Параметр | Значение по умолчанию | Зашифровано |
---|---|---|---|---|
NiFi Server |
nifi.properties |
nifi.sensitive.props.key |
mysensetivekey |
+ |
nifi.security.keystorePasswd |
— |
+ |
||
nifi.security.keyPasswd |
— |
+ |
||
nifi.security.truststorePasswd |
— |
+ |
||
nifi_cli.properties |
keystorePasswd |
— |
— |
|
keyPasswd |
— |
— |
||
truststorePasswd |
— |
— |
||
login-identity-providers.xml |
Manager Password |
— |
+ |
|
TLS - Keystore Password |
— |
+ |
||
TLS - Truststore Password |
— |
+ |
||
authorizers.xml |
Manager Password |
— |
+ |
|
TLS - Keystore Password |
— |
+ |
||
TLS - Truststore Password |
— |
+ |
||
NiFi Registry |
nifi-registry.properties |
nifi.registry.security.keystorePasswd |
— |
+ |
nifi.registry.security.keyPasswd |
— |
+ |
||
nifi.security.truststorePasswd |
— |
+ |
||
nifi.registry.db.password |
nifireg |
+ |