Watcher 中敏感数据的加密
编辑Watcher 中敏感数据的加密编辑
Watcher 可能访问敏感数据,例如 HTTP 基本身份验证信息或有关 SMTP 电子邮件服务的详细信息。您可以通过生成密钥并在集群中的每个节点上添加一些安全设置来加密这些数据。
在 HTTP 基本身份验证块中(例如在 webhook、HTTP 输入中或使用报告电子邮件附件时)使用的每个 password 字段将不再以明文形式存储。此外,请注意,无法配置 Watcher 中的自定义字段以进行加密。
要加密 Watcher 中的敏感数据
- 使用 elasticsearch-syskeygen 命令创建系统密钥文件。
-
将
system_key文件复制到集群中的所有节点。系统密钥是对称密钥,因此必须在集群中的每个节点上使用相同的密钥。
-
设置
xpack.watcher.encrypt_sensitive_data设置xpack.watcher.encrypt_sensitive_data: true
-
在集群中每个节点的 Elasticsearch 密钥库 中设置
xpack.watcher.encryption_key设置。例如,运行以下命令以在每个节点上导入
system_key文件bin/elasticsearch-keystore add-file xpack.watcher.encryption_key <filepath>/system_key
- 删除集群中每个节点上的
system_key文件。
这些更改不会影响现有的 Watcher。只有在遵循这些步骤后创建的 Watcher 才会启用加密。