- v1.15 (última)
- v1.14
- v1.13
- Lista de versiones admitidas
- v1.12
- v1.11
- v1.10
- v1.9
- v1.8
- v1.7
- Versión 1.6
- v1.5
- Versión 1.4
- Versión 1.3
- v1.2
- v1.1
Versiones compatibles:
Versiones no compatibles:
De forma predeterminada, los siguientes datos se almacenan encriptados en el plano de ejecución híbrido:
- Datos del sistema de gestión de claves (KMS)
- Datos de mapa de pares clave-valor (KVM)
- Datos de caché
El cifrado de datos no requiere ninguna configuración especial por su parte. Sin embargo, si por algún motivo quieres usar tus propias claves de cifrado (en lugar de las predeterminadas), puedes hacerlo, tal como se explica en este tema.
Ámbito de la clave de cifrado
Las claves de cifrado de KMS, KVM y la caché tienen ámbito. Por ejemplo, las claves de KMS tienen un ámbito de organización. Esto significa que la clave se usa para cifrar los datos de KMS de toda la organización. En la siguiente tabla se muestra el ámbito de cada tipo de clave:
| Clave de cifrado | Ámbito |
|---|---|
| KMS | Solo la organización |
| KVM |
Organización o entorno
Si una política de KVM
especifica el ámbito |
| Caché | Solo entorno |
Acerca de las claves de cifrado predeterminadas
De forma predeterminada, Apigee hybrid proporciona un conjunto de claves codificadas en Base64 que se utilizan para cifrar datos de KVM, KMS y caché. El instalador híbrido de Apigee almacena las claves en el plano de ejecución como secretos de Kubernetes y las usa para cifrar tus datos con el cifrado estándar AES-128. Las claves están bajo tu control y el plano de gestión híbrido nunca las conoce.
Cambiar las claves de cifrado predeterminadas
Aunque no es obligatorio, puedes cambiar cualquiera de las claves de cifrado predeterminadas si quieres. Para sustituir una o varias claves predeterminadas, sigue estos pasos:
- Copia las siguientes estrofas en tu archivo de anulaciones.
Esta configuración le permite cambiar las claves de cifrado de KMS y KVM a nivel de organización, así como las claves de cifrado de KVM y de caché a nivel de entorno:
defaults: org: kmsEncryptionKey: base64-encoded-key kvmEncryptionKey: base64-encoded-key env: kvmEncryptionKey: base64-encoded-key cacheEncryptionKey: base64-encoded-key - Genera una clave nueva por cada clave que quieras sustituir. Cada clave debe ser una cadena codificada en Base64 que tenga exactamente 16, 24 o 32 bytes. Consulta también Cómo crear una clave codificada.
- Sustituye las teclas predeterminadas por otras nuevas. En este ejemplo, todas las claves predeterminadas se sustituyen por las siguientes:
defaults: org: kmsEncryptionKey: "JVpTb1FwI0otUHo2RUdRN3pnVyQqVGlMSEFAJXYmb1c=" kvmEncryptionKey: "T3VkRGM1U3cpOFgtNk9fMnNZU2NaSVA3I1BtZWxkaUU=" env: kvmEncryptionKey: "Q3h6M3R6OWdBeipxTURfKjQwQVdtTng2dU5mODFHcyE=" cacheEncryptionKey: "b2NTVXdKKjBzN0NORF9XSm9tWFlYKGJ6NUhpNystJVI=" - Aplica el archivo de anulaciones a tu clúster de la siguiente manera:
- Si cambias las claves de KVM o de caché, actualiza solo el entorno:
$APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --env env_name
- Si cambias las claves de KMS, actualiza tanto la organización como el entorno:
$APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --env env_name --org org_name
- Si cambias las claves de KVM o de caché, actualiza solo el entorno:
Nota sobre la retrocompatibilidad
Si quitas las claves de cifrado del archivo de anulaciones la primera vez que instales Apigee Hybrid, inhabilitarás el cifrado y los valores se almacenarán sin cifrar. Si más adelante habilitas el cifrado proporcionando claves, los datos que ya haya no se cifrarán, pero sí los que añadas en el futuro. El sistema seguirá funcionando con normalidad con los datos sin cifrar y los nuevos datos cifrados.
Además, ten en cuenta que no podrás cambiar las claves de cifrado una vez que se cifren los datos del tiempo de ejecución.
Cómo crear una clave codificada
Se necesita una clave codificada en Base64 con el formato adecuado para el cifrado de KVM, KMS y caché. La clave que se utilice para cualquiera de estos fines debe codificarse en Base64 a partir de una cadena de 16, 24 o 32 bytes, tal como se explica en los siguientes pasos:
Los siguientes comandos de ejemplo generan cadenas de 32 caracteres adecuadas, generadas aleatoriamente y codificadas en Base64 que no incluyen caracteres no imprimibles:
LC_ALL=C tr -dc A-Za-z0-9_\!\@\#\$\%\^\&\*\(\)\\-+= < /dev/urandom | head -c 32 | openssl base64 PSFvX0BPc1Z2NVklcXdxcF8xR0N4MV4temFveStITU4=
o
LC_ALL=C tr -dc "[:print:]" < /dev/urandom | head -c 32 | openssl base64