在 Watcher 中加密敏感数据

Elastic Stack Serverless

Watcher 可能会访问敏感数据，例如 HTTP 基本身份验证信息或有关 SMTP 电子邮件服务的详细信息。您可以通过生成密钥并在集群中的每个节点上添加一些安全设置来加密此数据。

在 HTTP 基本身份验证块中的 Watcher 中使用的每个 password 字段（例如，在 webhook、HTTP 输入中或使用报告电子邮件附件时）将不再以纯文本形式存储。另请注意，无法配置 Watcher 中要加密的自定义字段。

要在 Watcher 中加密敏感数据

使用 elasticsearch-syskeygen 命令来创建系统密钥文件。
将 system_key 文件复制到集群中的所有节点。

重要提示

系统密钥是对称密钥，因此必须在集群中的每个节点上使用相同的密钥。
设置 xpack.watcher.encrypt_sensitive_data 设置
```
xpack.watcher.encrypt_sensitive_data: true
```
在集群中的每个节点上，在 Elasticsearch 密钥库中设置 xpack.watcher.encryption_key 设置。

例如，运行以下命令以在每个节点上导入 system_key 文件
```
bin/elasticsearch-keystore add-file xpack.watcher.encryption_key <filepath>/system_key
```
删除集群中每个节点上的 system_key 文件。

注意

现有 Watcher 不受这些更改的影响。只有在执行这些步骤后创建的 Watcher 才会启用加密。