保護されたシークレット設定プロパティ
Jira 10.2 以降、シークレット ストレージを使用してデータベースのパスワードを保護しています。
On this page:
データベースのパスワードの保護
アップグレード後、またはゼロダウンタイムのアップグレード (ZDU) 中に、dbconfig.xml ファイルからパスワードを読み取り、暗号化してシークレット ストレージに保存し、dbconfig.xml ファイルのパスワードをプレースホルダー {ATL_SECURED} に置き換えます。パスワードが以前にプレーンテキストで保存されていた場合は、次のログが記録されます。
main INFO [c.a.j.config.database.DatabaseConfigHandler] Secret Service is enabled
main INFO [c.a.j.config.database.DatabaseConfigHandler] Detected new password in the xml file, that hadn't been encrypted by Secret Service
main INFO [c.a.j.config.database.DatabaseConfigHandler] Trying to get password from xml and decrypt it with legacy Secret Store Provider
main INFO [c.a.j.config.database.DatabaseConfigHandler] Database password decryption not performed.
main INFO [c.a.j.config.database.DatabaseConfigHandler] Getting plaintext password from config, encrypting it and storing in Secret Service.
main INFO [c.a.j.config.database.DatabaseConfigHandler] Secret Service is enabled
main INFO [c.a.j.config.database.DatabaseConfigHandler] Storing encrypted database password in Secret Service
main INFO [c.a.j.config.database.DatabaseConfigHandler] Replacing the password in config with {ATL_SECURED}and the dbconfig.xml file will contain: <password>{ATL_SECURED}</password>
ZDU のロールバックの場合は、アップグレードされたすべてのノードの dbconfig.xml ファイルを編集し、パスワードをプレーンテキストのパスワードに戻す必要があります。
If the password was secured with the Secret Store Provider, we store the secret in the secret storage, but we don’t replace the password in the dbconfig.xml file and we use the secret store provider to encrypt and decrypt password.
Jira 10.2.1 以降:
- パスワードがシークレット ストア プロバイダー、AES 暗号化、またはカスタム実装で暗号化されている場合、パスワードは復号化されてシークレット ストレージに保存され、
dbconfig.xmlファイルのパスワードが{ATL_SECURED}に置き換えられます。 - パスワードがシークレット ストア プロバイダー、AWS Secrets Manager、または HashiCorp Vault で暗号化されている場合は、それらを暗号化方法として保持し、パスワードの処理にシークレット ストレージを使用しません。
OpenSearch 基本認証の認証情報
Jira 11.2 以降では、OpenSearch の認証情報がシークレット ストレージを使用して保護されます。
基本認証を使用して Jira を OpenSearch に接続すると、ユーザー名とパスワードが jira-config.properties ファイルに保存されます。Jira をアップグレードした後、またはゼロダウンタイムのアップグレード (ZDU) 中に、Jira は jira-config.properties ファイルからユーザー名とパスワードを読み取り、暗号化してシークレット ストレージに保存します。Jira はその後、jira-config.properties ファイル内のユーザー名とパスワードをプレースホルダー {ATL_SECURED} に置き換えます。
この機能が動作するには、Jira が各ノードのローカル Jira ホーム ディレクトリにある jira-config.properties ファイルへの書き込み権限を持っている必要があります。Jira Data Center で jira-config.properties ファイルを編集する方法についてはこちらをご覧ください。