このドキュメントでは、Google Cloud での暗号化および 保存されているデベロッパー アプリのコンシューマ シークレット(クライアント認証情報) Cassandra データベースに作成されます。
概要
従来、Apigee Edge for Private Cloud では、Key-Value マップ暗号化がオプションとして提供されています。 (KVM)データと OAuth アクセス トークン。
次の表に、Apigee for Private Cloud の保存データの暗号化オプションを示します。
エンティティ | デフォルトで暗号化が有効 | オプションで暗号化を利用可能 | 関連ドキュメント |
KVM | × | ○ | 暗号化された KVM についてをご覧ください。 |
OAuth アクセス トークン | × | ○ | トークンのハッシュ化によるセキュリティの強化をご覧ください。 |
デベロッパー アプリのコンシューマ シークレット | × | ○ | 有効にするには、このドキュメントの構成手順を行います。 |
クライアント認証情報の暗号化を有効にするには、 Message Processor ノードおよび Management Server ノードです。
- キーストアを作成して 鍵暗号鍵 (KEK)。Apigee は、この暗号化された鍵を使用して、データの暗号化に必要な秘密鍵を暗号化します。
- すべての Management Server ノードと Message Processor ノードの構成プロパティを編集します。
- 鍵の作成をトリガーするデベロッパー アプリを作成します。
- ノードを再起動します。
このドキュメントでは、これらのタスクについて説明します。
キーについて知っておくべきこと 暗号化機能
このドキュメントの手順では、KEK 機能を有効にする方法について説明します。これにより、Apigee は デベロッパー アプリの暗号化に使用する秘密鍵 コンシューマ シークレットが Cassandra データベースに保存されるときに暗号化されます。
デフォルトでは、データベース内の既存の値は(書式なしテキストで)変更されず、 引き続き機能します
暗号化されていないエンティティに書き込みオペレーションを実行すると、 保存されます。たとえば、暗号化されていないトークンを取り消してから、 新たに承認されたトークンは暗号化されます。
鍵を保護する
KEK が保存されているキーストアのコピーを安全な場所に保管してください。まず独自のカスタムモジュールの キーストアのコピーを保存する安全なメカニズムです。このドキュメントで説明するように、 ローカル ビジネスが展開するすべての Message Processor ノードおよび管理サーバー ノードに、キーストアが 構成ファイルから参照できます。 ただし、キーストアのコピーを別の場所に保存することも重要です(安全な保管のため、およびバックアップとして)。
鍵暗号化の有効化
コンシューマ秘密鍵の暗号化手順は次のとおりです。
前提条件
このドキュメントの手順を行う前に、次の要件を満たす必要があります。
- Apigee Edge for Private Cloud 4.50.00.10 以降をインストールするか、これにアップグレードする必要があります。
- Apigee Edge for Private Cloud の管理者である必要があります。
ステップ 1: キーストアを生成する
鍵暗号鍵(KEK)を保持するキーストアを作成する手順は次のとおりです。
- 次のコマンドを実行して、キーストアを生成するために、
暗号化します。次のコマンドを正確に入力します。(任意のキーストア名を指定できます)。
keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \ -keystore kekstore.p12 -storetype PKCS12
プロンプトが表示されたら、パスワードを入力します。後のセクションで Management Server と Message Processor を構成するときに、このパスワードを使用します。
このコマンドにより、kekstore.p12 キーストア ファイルが生成されます。このファイルには、 エイリアス KEYSTORE_NAME です。
- (省略可)次のコマンドを使用して、ファイルが正しく生成されたことを確認します。ファイルが
正しい場合、コマンドはエイリアス KEYSTORE_NAME を持つキーを返します。
keytool -list -keystore kekstore.p12
ステップ 2: Management Server を構成する
次に、管理サーバーを構成します。複数のノードに管理サーバーをインストールしている場合 この手順をノードごとに繰り返す必要があります。
- 手順 1 で生成したキーストア ファイルを、管理サーバーノードのディレクトリ(
/opt/apigee/customer/application
など)にコピーします。次に例を示します。cp certs/kekstore.p12 /opt/apigee/customer/application
apigee
ユーザーがファイルを読み取れるようにします。chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
chmod 400 /opt/apigee/customer/application/kekstore.p12
/opt/apigee/customer/application/management-server.properties
に次のプロパティを追加します。 ファイルが存在しない場合は作成します。プロパティ ファイルのリファレンスもご覧ください。
conf_keymanagement_kmscred.encryption.enabled=true # Fallback is true to ensure your existing plaintext credentials continue to work conf_keymanagement_kmscred.encryption.allowFallback=true conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME # These could alternately be set as environment variables. These variables should be # accessible to Apigee user during bootup of the Java process. If environment # variables are specified, you can skip the password configs below. # KMSCRED_ENCRYPTION_KEYSTORE_PASS= # KMSCRED_ENCRYPTION_KEK_PASS= See also Using environment variables for configuration properties. conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD
キーストアの生成に使用するツールによっては、
KEK_PASSWORD
がKEYSTORE_PASSWORD
と同じになる場合があります。- 次のコマンドを使用して、管理サーバーを再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready
Management Server の準備ができると、
wait_for_ready
コマンドから次のメッセージが返されます。Checking if management-server is up: management-server is up.
- 管理サーバーが複数のノードにインストールされている場合は、管理ごとに上記の手順 1 ~ 4 を繰り返します。 構成する必要があります
ステップ 3: デベロッパー アプリを作成する
管理サーバーが更新されたので、生成をトリガーするデベロッパー アプリを作成する必要があります 新しい証明書を作成します。
- データ暗号鍵(KEK)の作成をトリガーするデベロッパー アプリを作成します。手順: アプリの登録をご覧ください。
- 必要に応じてデベロッパー アプリを削除します。暗号化が完了したら、保管しておく必要はない 鍵が生成されます。
ステップ 4: Message Processor を構成する
Message Processor で暗号化が有効になるまで、ランタイム リクエストは暗号化された認証情報を処理できません。
- 手順 1 で生成したキーストア ファイルを Message Processor ノードのディレクトリにコピーします。
/opt/apigee/customer/application
など。例:cp certs/kekstore.p12 /opt/apigee/customer/application
apigee
ユーザーがファイルを読み取れるようにします。chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
/opt/apigee/customer/application/message-processor.properties
に次のプロパティを追加します。 ファイルが存在しない場合は作成します。プロパティ ファイルのリファレンスもご覧ください。conf_keymanagement_kmscred.encryption.enabled=true # Fallback is true to ensure your existing plaintext credentials continue to work conf_keymanagement_kmscred.encryption.allowFallback=true conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME # These could alternately be set as environment variables. These variables should be # accessible to Apigee user during bootup of the Java process. If environment # variables are specified, you can skip the password configs below. # KMSCRED_ENCRYPTION_KEYSTORE_PASS= # KMSCRED_ENCRYPTION_KEK_PASS= See also Using environment variables for configuration properties. conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD
なお、
KEK_PASSWORD
はKEYSTORE_PASSWORD
と同じでもかまいません。 (キーストアの生成に使用したツールによって異なります)。- 次のコマンドを使用して Message Processor を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready
Message Processor で次のメッセージが返される場合、
wait_for_ready
コマンドは メッセージを処理する準備ができています:Checking if message-processor is up: message-processor is up.
- Message Processor を複数のノードにインストールする場合は、各ノードでステップ 1 ~ 4 を繰り返します。 Message Processor ノードです。
概要
今後作成するすべてのデベロッパー アプリの認証情報シークレットは、 Cassandra データベースに保存されます。
環境変数の使用 構成プロパティ
別の方法として、環境変数を使用して、次の Message Processor と Management Server の構成プロパティを設定することもできます。設定すると、環境変数によってプロパティがオーバーライドされる Message Processor または Management Server の構成ファイルで設定されます。
conf_keymanagement_kmscred.encryption.keystore.pass= conf_keymanagement_kmscred.encryption.kek.pass=
対応する環境変数は次のとおりです。
export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD
これらの環境変数を設定する場合、これらの構成プロパティを 構成ファイルは、Message Processor ノードと Management Server ノードに置いておけます。これらは無視され、
conf_keymanagement_kmscred.encryption.keystore.pass conf_keymanagement_kmscred.encryption.kek.pass
プロパティ ファイルのリファレンス
このセクションでは、すべての Message Processor で設定する必要がある構成プロパティについて説明します。 管理サーバーノードを指定します。
プロパティ | デフォルト | 説明 |
conf_keymanagement_kmscred.encryption.enabled
|
false
|
鍵の暗号化を有効にするには、true にする必要があります。
|
conf_keymanagement_kmscred.encryption.allowFallback
|
false
|
allowFallback を true に設定して、既存の平文の認証情報が引き続き機能するようにします。
|
conf_keymanagement_kmscred.encryption.keystore.path
|
なし | Message Processor ノードまたは Management Server ノードの KEK キーストアへのパスを指定します。 ステップ 2: 管理を構成する とステップ 3: Message Processor を構成します。 |
conf_keymanagement_kmscred.encryption.kek.alias
|
なし | キーストアに保存される KEK のエイリアス。 |
conf_keymanagement_kmscred.encryption.keystore.pass
|
なし | 環境変数を使用してこれらのプロパティを設定する場合は省略可能です。関連項目 環境の使用 構成プロパティ用の変数をご覧ください。 |
conf_keymanagement_kmscred.encryption.kek.pass
|
なし | 環境変数を使用してこれらのプロパティを設定する場合は省略できます。関連項目 環境の使用 構成プロパティ用の変数をご覧ください。 |