上流ソースからの機密フィールドを暗号化するには、暗号化アルゴリズムとキーを選択してデータを保護します。このトピックでは、暗号化変換コンポーネントの設定方法について説明します。
前提条件
オフラインシングルパイプラインが作成済みであること。 詳細については、「単一パイプラインを使用した統合ノードの作成」をご参照ください。
操作手順
Dataphin のホームページの上部のメニューバーから、[開発] > [データ統合] を選択します。
統合ページの上部のメニューバーから、プロジェクトを選択します。 本番・開発モードの場合は、環境も選択します。
左側のナビゲーションウィンドウで、[バッチパイプライン] をクリックします。 [バッチパイプライン] ページで、対象のオフラインパイプラインをクリックして、設定ページを開きます。
ページの右上隅にある [コンポーネントライブラリ] をクリックして、[コンポーネントライブラリ] ペインを開きます。
[コンポーネントライブラリ] ペインの左側のナビゲーションウィンドウで [変換] を選択し、右側のリストから [暗号化] コンポーネントをキャンバスにドラッグします。
対象の入力コンポーネントの
アイコンをクリックしてドラッグし、暗号化コンポーネントに接続します。暗号化コンポーネントのカード上の
アイコンをクリックして、[フィールド暗号化設定] ダイアログボックスを開きます。
[フィールド暗号化設定] ダイアログボックスで、[フィールドの選択] ステップに移動し、上流コンポーネントから同期するフィールドを選択します。 フィールド名にテーブル名が含まれている場合、そのテーブル名も表示されます。
[次へ] をクリックします。
重要選択したフィールドは暗号化されて下流コンポーネントに渡されます。 その他のフィールドは元の値のまま下流コンポーネントに渡されます。
暗号化は余分なリソースを消費するため、機密データのみを暗号化してください。
フィールドが暗号化されると、そのデータの型は String に変換されます。 復号コンポーネントを使用してフィールドを復号化する場合は、出力フィールドタイプを指定する必要があります。
[暗号化設定] ステップで、暗号化パラメーターを設定できます。
必要な設定は、暗号化アルゴリズムによって異なります。 暗号化アルゴリズムを選択し、そのパラメーターを設定します。 暗号化アルゴリズムの詳細については、「暗号化および復号アルゴリズム」をご参照ください。
AES、DES、3DES、SM4、SM2、RSA 暗号化アルゴリズム。
パラメーター
説明
キー
暗号化に使用するキーです。 選択した暗号化アルゴリズム用に作成された任意のキーを選択できます。 詳細については、「キーの管理」をご参照ください。
権限のあるキーを使用できます。 権限のないキーを使用するには、権限をリクエストする必要があります。 詳細については、「キー権限のリクエスト、更新、返却」をご参照ください。
[詳細設定]
AES、DES、3DES、SM4、および RSA 暗号化アルゴリズムは、詳細設定をサポートしています。 詳細設定を使用して、出力エンコーディングなどのパラメーターを指定できます。 ほとんどの場合、デフォルト設定で十分です。
Dataphin のデータを外部データと交換するには、詳細設定が一致していることを確認してください。暗号化アルゴリズムによってサポートされる詳細設定項目は異なります。詳細は次のとおりです。
[暗号化モード]:ビジネスシナリオに基づいて暗号化モードを選択します。 アルゴリズムによってサポートされる暗号化モードは異なります。 ECB、CBC、CFB、CTR、または OFB を選択できます。 ECB には初期化ベクトル (IV) の設定はありません。 暗号化と復号の設定は一致している必要があります。
[パディング]:NoPadding、PKCS5Padding、または PKCS7Padding を選択できます。 暗号化と復号の設定は一致している必要があります。 暗号化アルゴリズムによってサポートされるパディングモードは異なります。 ページ上の実際のオプションが優先されます。
[IV]:IV はオフセットです。 IV が異なると、生成される暗号化文字列も異なります。 IV は 16 桁の数字である必要があります。 暗号化と復号には同じ IV を使用する必要があります。
[エンコード形式]:出力は Base64 または Hex 形式にすることができます。
暗号化アルゴリズムの詳細設定については、「暗号化および復号アルゴリズムの詳細設定」をご参照ください。
注意:暗号化アルゴリズムとして SM4 を選択し、出力先が AnalyticDB for PostgreSQL の場合は、[出力先は AnalyticDB PostgreSQL] オプションを選択してください。 そうしないと、暗号化されたデータは AnalyticDB for PostgreSQL で直接復号化できません。
フォーマット保持暗号化 (FPE) FF1 アルゴリズム。
パラメーター
説明
[暗号化範囲]
暗号化アルゴリズムが フォーマット保持暗号化 (FPE) FF1 の場合、暗号化範囲を設定できます。 オプションは [範囲の指定] と [すべて] です。
[範囲の指定]:暗号化する文字の開始位置と終了位置を定義します。 復号設定は暗号化設定と一致している必要があります。 そうしないと、復号されたデータが生データと一致しない可能性があります。 範囲はスライドまたは直接入力で追加できます。 最大 10 個の範囲を追加できます。
重要各数字、英字、漢字、記号は 1 文字としてカウントされます。 たとえば、文字列 'test' の 3 番目の文字は 's' です。
スライドで追加:範囲はクリックまたはスライドで追加できます。 スライダーをスライドして範囲を定義した後、表示されるダイアログボックスで [OK] をクリックして範囲を追加します。 暗号化する範囲が 24 文字を超える場合は、直接入力で範囲を追加してください。
直接入力で追加:入力フィールドに開始位置、終了位置、範囲の長さ、暗号化アルファベットを入力します。 また、追加した範囲の暗号化アルファベットの表示、カスタム暗号化アルファベットの編集、削除もできます。
[開始位置]:暗号化範囲の開始位置。
範囲の長さ:1 以上の正の整数 (
>=1) を入力するか、ハイフン (-) を選択します。 ハイフン (-) は、現在の開始位置から文字列の末尾までを意味します。終了位置:暗号化範囲の終了位置。 1 以上の正の整数 (
>=1) を入力するか、[終了] を選択します。暗号化アルファベット:暗号化範囲の暗号化アルファベット。 次の暗号化アルファベットがサポートされています:
組み込み:数字、大文字、小文字、数字 + 大文字、数字 + 小文字、数字 + 文字、特殊記号が含まれます。
カスタム:[カスタム暗号化アルファベット] ダイアログボックスで、暗号化文字を入力します。 各暗号化文字は単一の文字である必要があります。 スペースはサポートされていません。 重複する文字はサポートされていません。 重複する文字を入力した場合、システムは自動的にそれらを削除します。 最大 10,000 個の暗号化文字を入力できます。 スペース、改行 (\n)、キャリッジリターン (\r)、またはタブ文字 (\t) のチェックボックスを選択して、それらを暗号化文字として使用できます。 これらのチェックボックスのいずれも選択しない場合、
\nなどの文字は、別々の\とn文字として識別されます。
暗号化アルファベットの表示:組み込みの暗号化アルファベットの場合、
をクリックしてその暗号化文字を表示します。カスタム暗号化アルファベットの編集:カスタムの暗号化アルファベットの場合、
をクリックしてその暗号化文字を編集します。[削除]:
をクリックして、現在の範囲を削除します。
[すべて]:フィールド内のすべての文字を暗号化します。
キー
暗号化に使用するキーです。 選択した暗号化アルゴリズム用に作成された任意のキーを選択できます。 詳細については、「キーの管理」をご参照ください。
権限のあるキーを使用できます。 権限のないキーを使用するには、権限をリクエストする必要があります。 詳細については、「キー権限のリクエスト、更新、返却」をご参照ください。
互換性の問題
プレーンテキストがアルゴリズムの要件を満たしていない場合、キーが一致しない場合、またはエンコード形式が一致しない場合、プレーンテキストデータは選択されたポリシーに基づいて処理されます。 オプションは [Null を返す] と [プレーンテキストを返す] です。
[OK] をクリックして、[フィールド暗号化設定] コンポーネントを設定します。