Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הצפנת נתונים

כברירת מחדל, הנתונים הבאים מאוחסנים מוצפנים במישור זמן הריצה ההיברידי:

נתונים של מערכת ניהול מפתחות (KMS)
נתונים של מפת מפתח/ערך (KVM)
שמירת נתונים במטמון

הצפנת הנתונים לא מצריכה הגדרה מיוחדת מצדכם. עם זאת, אם מסיבה כלשהי אתם רוצים להשתמש במפתחות הצפנה משלכם (במקום במפתחות ברירת המחדל), אתם יכולים לעשות זאת, כמו שמוסבר בנושא הזה.

היקף מפתח ההצפנה

למפתחות הצפנה של KMS,‏ KVM ומטמון יש היקף. לדוגמה, למפתחות KMS יש היקף ארגון. כלומר, המפתח משמש להצפנת נתוני KMS בארגון כולו. בטבלה הבאה מפורט ההיקף של כל סוג מפתח:

מפתח הצפנה	היקף
KMS	רק הארגון
KVM	ארגון או סביבה אם מדיניות KVM מציינת היקף של `apiproxy` או `policy` (גרסה של proxy ל-API), המפתח ברמת הארגון משמש להצפנת הנתונים. סקירה כללית על השימוש במפות מפתח-ערך ב-Apigee Edge זמינה במאמר עבודה עם מפות מפתח-ערך.
מטמון	סביבה בלבד

מידע על מפתחות הצפנה שמוגדרים כברירת מחדל

כברירת מחדל, Apigee hybrid מספק קבוצה של מפתחות בקידוד Base64 שמשמשים להצפנת נתונים של KVM,‏ KMS ומטמון. התוכנה להתקנת Apigee hybrid מאחסנת את המפתחות במישור זמן הריצה כסודות של Kubernetes, ומשתמשת בהם כדי להצפין את הנתונים באמצעות הצפנה רגילה מסוג AES-128. המפתחות נמצאים בשליטתכם, ורמת הניהול ההיברידית אף פעם לא מודעת להם.

שינוי מפתחות ההצפנה שמוגדרים כברירת מחדל

אפשר לשנות את כל מפתחות ההצפנה שמוגדרים כברירת מחדל, אם רוצים, אבל זה לא חובה. כדי להחליף מקש ברירת מחדל אחד או יותר, פועלים לפי השלבים הבאים:

מעתיקים את הפסקאות הבאות לקובץ השינויים. ההגדרה הזו מאפשרת לשנות את מפתחות ההצפנה של KMS ו-KVM ברמת הארגון, ואת מפתחות ההצפנה של KVM ושל המטמון ברמת הסביבה:
```
defaults:
  org:
    kmsEncryptionKey: base64-encoded-key
    kvmEncryptionKey: base64-encoded-key
  env:
    kvmEncryptionKey: base64-encoded-key
    cacheEncryptionKey: base64-encoded-key
```
יוצרים מפתח חדש לכל מפתח שרוצים להחליף. כל מפתח חייב להיות מחרוזת בקידוד Base64 באורך של 16, 24 או 32 בייט בדיוק. אפשר גם לקרוא איך יוצרים מפתח מוצפן.

מחליפים את מקשי ברירת המחדל במקשים חדשים. בדוגמה הזו, כל מקשי ברירת המחדל מוחלפים במקשים:

defaults:
  org:
    kmsEncryptionKey: "JVpTb1FwI0otUHo2RUdRN3pnVyQqVGlMSEFAJXYmb1c="
    kvmEncryptionKey: "T3VkRGM1U3cpOFgtNk9fMnNZU2NaSVA3I1BtZWxkaUU="
  env:
    kvmEncryptionKey: "Q3h6M3R6OWdBeipxTURfKjQwQVdtTng2dU5mODFHcyE="
    cacheEncryptionKey: "b2NTVXdKKjBzN0NORF9XSm9tWFlYKGJ6NUhpNystJVI="

מחילים את קובץ הביטולים על האשכול באופן הבא:
- אם משנים את מפתחות ה-KVM או את מפתחות המטמון, צריך לעדכן רק את הסביבה:
```
$APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --env env_name
```
- אם משנים את מפתחות ה-KMS, צריך לעדכן גם את הארגון וגם את הסביבה:
```
$APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --env env_name --org org_name
```

הערה לגבי תאימות לאחור

אם תסירו את מפתחות ההצפנה בקובץ ההחלפות בפעם הראשונה שתתקינו את Apigee Hybrid, תשביתו למעשה את ההצפנה והערכים יישמרו ללא הצפנה. אם בשלב מאוחר יותר תפעילו הצפנה על ידי הזנת מפתחות, הנתונים הקיימים יישארו לא מוצפנים, אבל כל הנתונים שיתווספו בעתיד יוצפנו. המערכת תמשיך לפעול כרגיל עם הנתונים הלא מוצפנים ועם הנתונים המוצפנים החדשים.

בנוסף, חשוב לדעת שאי אפשר לשנות את מפתחות ההצפנה אחרי שהנתונים בזמן הריצה מוצפנים.

איך יוצרים מפתח מקודד

כדי להצפין את ה-KVM, את ה-KMS ואת המטמון, צריך מפתח בפורמט תקין בקידוד Base-64. המפתח שמשמש לכל אחת מהמטרות האלה חייב להיות מקודד ב-Base-64 ממחרוזת באורך 16, 24 או 32 בייט, כמו שמפורט בשלבים הבאים:

פקודות הדוגמה הבאות יוצרות מחרוזות מתאימות של 32 תווים בקידוד Base64, שנוצרו באופן אקראי ולא כוללות תווים שלא ניתן להדפיס:

LC_ALL=C tr -dc A-Za-z0-9_\!\@\#\$\%\^\&\*\(\)\\-+= < /dev/urandom | head -c 32  | openssl base64
PSFvX0BPc1Z2NVklcXdxcF8xR0N4MV4temFveStITU4=

או

LC_ALL=C tr -dc "[:print:]" < /dev/urandom | head -c 32 | openssl base64