在 Watcher 中加密敏感数据
编辑在 Watcher 中加密敏感数据
编辑Watch 可能会访问敏感数据,例如 HTTP 基本身份验证信息或有关您的 SMTP 电子邮件服务的详细信息。您可以通过生成密钥并在集群中的每个节点上添加一些安全设置来加密此数据。
在您的 Watch 中,HTTP 基本身份验证块中使用的每个 password 字段(例如,在 Webhook 中、HTTP 输入中或使用报告电子邮件附件时)将不再以纯文本形式存储。另请注意,无法配置 Watch 中的自定义字段进行加密。
要在 Watcher 中加密敏感数据:
- 使用 elasticsearch-syskeygen 命令创建系统密钥文件。
-
将
system_key文件复制到集群中的所有节点。系统密钥是对称密钥,因此必须在集群中的每个节点上使用相同的密钥。
-
设置
xpack.watcher.encrypt_sensitive_data设置xpack.watcher.encrypt_sensitive_data: true
-
在集群中每个节点上的 Elasticsearch 密钥库中设置
xpack.watcher.encryption_key设置。例如,运行以下命令以在每个节点上导入
system_key文件bin/elasticsearch-keystore add-file xpack.watcher.encryption_key <filepath>/system_key
- 删除集群中每个节点上的
system_key文件。
现有 Watch 不受这些更改的影响。只有在您按照这些步骤创建 Watch 后才会启用加密。