authentication - Cassandra アクセス制御

Question

Cassandra へのアクセスを制限する方法はありますか? mysql では、ワークベンチなどのツールを含め、ユーザーはアクセスを取得する前にユーザー名とパスワードを要求します。そのようなシステムはありますか、それとも CLI および cqlsh ツールは Cassandra にアクセスできますか?

Answer 1

Cassandra のどのバージョンを使用していますか? 1.2.2 以降では、ドキュメント ( http://www.datastax.com/docs/1.2/security/native_authentication )で説明されているように、PasswordAuthenticator と CassandraAuthorizer を使用して認証できます。

1- cassandra.yaml オーセンティケーター設定を PasswordAuthenticator に変更します。

authenticator: org.apache.cassandra.auth.PasswordAuthenticator

また、auhorizer を CassandraAuthorizer に設定することもできます。

authorizer: com.datastax.bdp.cassandra.auth.CassandraAuthorizer

2-キースペースの複製係数を構成しsystem_authます。

3- Cassandra を再起動します。

サポートされているクライアントを起動するために使用するデフォルトのスーパーユーザー名とパスワード (cassandra) は、Cassandra に保存されます。たとえば、cqlsh を開始するには、次のようにします。

./cqlsh -u cassandra -p cassandra

ユーザー アカウントを設定し、CQL を使用してデータベース オブジェクトへのアクセスをユーザーに許可し、それらのオブジェクトに対するアクセス許可をユーザーに付与できるようになりました。

もちろん、「スーパーユーザーのパスワードを変更する」方法に関する情報 (上記のリンク) を読みたいと思うでしょう。

それが完了したら、cassandra-cli を呼び出して、上記の例の cqlsh を実行できます。

./cassandra-cli -u username -pw password

概要については、次のドキュメントも参照してください: DataStax EnterpriseおよびApache Cassandraにおける内部認証および認可セキュリティのクイック・ツアー

Answer 2

これは、認証に関連する唯一のリソースです。

バージョン 1.2.2 では、Cassandra 内でログイン ID とパスワードを管理できるようにする内部認証と承認を提供し、データベース クラスター内で誰が何をできるかを承認 (パーミッション) の観点から管理できるようにしました。

http://www.datastax.com/docsの DataStax Enterprise 3.0 ドキュメンテーションセキュリティ管理セクション

DataStax Enterprise 3.0には、データを保護するための多くの機能が含まれています。セキュリティ フレームワークは、エンタープライズ レベルのデータベースに高度なデータ保護を提供します。これらの機能を使用して、DataStax CommunityまたはDataStax Enterpriseクラスターを保護できます。

ログイン アカウントとパスワードを使用した内部認証 GRANT/REVOKE パラダイムに基づくオブジェクト権限管理 クライアントから Cassandra クラスターに送信されるデータに SSL を使用したクライアントからノードへの暗号化

DataStax Enterpriseは、DataStax Communityには含まれていない追加のセキュリティを企業に提供し、ミッション クリティカルなデータを処理します。

Kerberos 認証: 安全でないネットワークを介して通信するノードが、チケットを使用して安全な方法で互いの ID を証明できるようにするネットワーク認証プロトコル。認証に LDAP を使用するように Kerberos を設定することもできます。

透過的なデータ暗号化: システム メモリ内の memtable からディスク上の SSTables (保存データ) にフラッシュされたデータを、権限のないユーザーが読み取ることができないようにエンコードします。暗号化と復号化は、ユーザーの介入なしで行われます。

データ監査: クラスタ アクティビティの詳細な監査証跡を作成する管理者機能。

ちなみに、DataStax Community – DataStax Enterprise Edition と DataStax Community Edition の比較では、次のように述べています。

DataStax Community Edition: リアルタイムのデータ管理用の Cassandra データベースの最新バージョンと、無料バージョンの DataStax OpsCenter が含まれています。本番システムではサポートされていません。

DataStax Community Edition を含む:

セキュリティ機能 一般的なセキュリティ機能

言及するDataStax Enterpriseの代わりに：

セキュリティ機能 一般および高度なセキュリティ機能

結論として、セキュリティ機能は 1.2.2 バージョンから実装されており、必要なセキュリティ パーツによってはまったく支払う必要がない場合もあります。

その他の参考資料: Apache Cassandra 1.2 ドキュメント -以下に関するリソースを含むセキュリティ セクション:

• 内部認証の構成と使用
• 内部承認を使用したオブジェクト権限の管理