Шифрование параметров конфигурации NiFi
Общие данные о шифровании
После установки сервиса NiFi все конфиденциальные значения в открытом тексте для компонентов NiFi Server и NiFi Registry заменяются зашифрованными значениями в следующих файлах конфигурации:
-
nifi.properties
-
authorizers.xml
-
login-identity-providers.xml
-
nifi-registry.properties
Шифрование выполняется автоматически средствами ADCM c использованием инструмента шифрования конфигурации encrypt-config, который считывает из файлов чувствительные к открытому тексту значения конфигурации, запрашивает корневой ключ (root key) и шифрует каждое значение (заменяет простые значения защищенным значением в том же файле).
Используемый алгоритм шифрования по умолчанию — 128/256-битный AES/GCM.
Корневой ключ генерируется из пароля, указанного в конфигурационном параметре Nifi config encryption password, и записывается в файл bootstrap.conf командой шифрования для сохранения и предоставления конфигурации схемы защиты при необходимости.
Для файла bootstrap.conf должны быть предоставлены разрешения на чтение только тому пользователю, который может его выполнить (пользователь nifi, пользователь из группы nifi или root).
Шифрование новых данных при использовании сервиса
Шифрование для сервиса NiFi поддерживается при совершении следующих операций:
-
Включение аутентификации и авторизации при помощи пользовательского интерфейса или плагина Ranger — при этом все новые конфиденциальные данные записываются в конфигурационные файлы в зашифрованном виде.
-
Включение действия Expand — при этом существующий пароль используется для шифрования конфиденциальных данных в файлах конфигурации на новом хосте (или нескольких хостах).
Изменение пароля
При необходимости изменение пароля выполняется в следующей последовательности:
-
На вкладке конфигурационных параметров сервиса NiFi в записи параметра Nifi config encryption password нажмите на <secret>.
Пароль шифрования параметров конфигурации NiFi -
В открывшемся окне введите новый пароль, подтвердите пароль и нажмите Apply.
Изменение пароля шифрования параметров конфигурации NiFiВНИМАНИЕПароль должен содержать не менее 12 символов и может содержать буквы, цифры и знаки препинания.
-
Сохраните конфигурацию, нажав Save.
-
Перезагрузите сервис NiFi. Для этого примените действие Restart, нажав на иконку
в столбце Actions.
Сведения о шифровании конфиденциальных данных в файлах конфигурации NiFi
В таблице, приведенной ниже, указано, какие параметры в файлах конфигурации NiFi подвергаются шифрованию.
|
ВНИМАНИЕ
Таблица параметров предназначена только для информационных целей. Вносить изменения в файлы конфигурации не рекомендуется. |
| Компонент | Конфигурационный файл | Параметр | Значение по умолчанию | Зашифровано |
|---|---|---|---|---|
NiFi Server |
nifi.properties |
nifi.sensitive.props.key |
mysensetivekey |
+ |
nifi.security.keystorePasswd |
— |
+ |
||
nifi.security.keyPasswd |
— |
+ |
||
nifi.security.truststorePasswd |
— |
+ |
||
nifi_cli.properties |
keystorePasswd |
— |
— |
|
keyPasswd |
— |
— |
||
truststorePasswd |
— |
— |
||
login-identity-providers.xml |
Manager Password |
— |
+ |
|
TLS - Keystore Password |
— |
+ |
||
TLS - Truststore Password |
— |
+ |
||
authorizers.xml |
Manager Password |
— |
+ |
|
TLS - Keystore Password |
— |
+ |
||
TLS - Truststore Password |
— |
+ |
||
NiFi Registry |
nifi-registry.properties |
nifi.registry.security.keystorePasswd |
— |
+ |
nifi.registry.security.keyPasswd |
— |
+ |
||
nifi.security.truststorePasswd |
— |
+ |
||
nifi.registry.db.password |
nifireg |
+ |