| 名前 | 値 | 説明 |
| hadoop.kms.http.port | 9600 | KMS REST API の HTTP ポート。 |
| hadoop.kms.http.host | 0.0.0.0 | KMS REST API のバインドホスト。 |
| hadoop.kms.http.administrators | | 管理者の ACL。この設定は、デフォルトの KMS サーブレットにアクセスできるユーザーを制御するために使用されます。値は、ユーザーとグループのカンマ区切りリストである必要があります。ユーザーリストは最初に記述され、スペースで区切られた後にグループリストが続きます(例:「user1,user2 group1,group2」)。ユーザーとグループはどちらも省略可能です。「user1」、「 group1」、「」、「user1 group1」、「user1,user2 group1,group2」はすべて有効です(「 group1」の先頭にあるスペースに注意してください)。「*」はすべてのユーザーとグループへのアクセスを許可します(例:「*」、「* 」、「 *」はすべて有効です)。 |
| hadoop.kms.ssl.enabled | false | SSL が有効かどうか。デフォルトは false、つまり無効です。 |
| hadoop.http.max.threads | 1000 | スレッドの最大数。 |
| hadoop.http.max.request.header.size | 65536 | HTTP リクエストヘッダーの最大サイズ。 |
| hadoop.http.max.response.header.size | 65536 | HTTP レスポンスヘッダーの最大サイズ。 |
| hadoop.http.temp.dir | ${hadoop.tmp.dir}/kms | KMS 一時ディレクトリ。 |
| hadoop.http.socket.backlog.size | 500 | KMS サーバーのアクセプトキューサイズ。 |
| hadoop.http.idle_timeout.ms | 60000 | KMS サーバーの接続タイムアウト(ミリ秒)。 |
| hadoop.kms.key.provider.uri | jceks://file@/${user.home}/kms.keystore | KMS のバッキング KeyProvider の URI。 |
| hadoop.security.keystore.java-keystore-provider.password-file | | JavaKeyStoreProvider を使用する場合、キーストアパスワードのファイル名。 |
| hadoop.kms.cache.enable | true | KMS がバッキング KeyProvider のキャッシュとして機能するかどうか。キャッシュが有効になっている場合、getKeyVersion、getMetadata、getCurrentKey などの操作では、バッキング KeyProvider を参照せずにキャッシュされたデータが返される場合があります。キーが削除または変更されると、キャッシュされた値はフラッシュされます。 |
| hadoop.kms.cache.timeout.ms | 600000 | KMS キーバージョンとキーメタデータキャッシュの有効期限(ミリ秒)。これは getKeyVersion と getMetadata に影響します。 |
| hadoop.kms.current.key.cache.timeout.ms | 30000 | KMS 現在のキーキャッシュの有効期限(ミリ秒)。これは getCurrentKey 操作に影響します。 |
| hadoop.kms.audit.aggregation.window.ms | 10000 | 集約ウィンドウ(ミリ秒単位で指定)内の重複する監査ログイベントは、ログトラフィックを削減するために抑制されます。集約されたイベントの単一メッセージは、ウィンドウの最後に、集約されたイベントの数と共に印刷されます。 |
| hadoop.kms.authentication.type | simple | KMS の認証タイプ。「simple」(デフォルト)または「kerberos」のいずれかです。 |
| hadoop.kms.authentication.kerberos.keytab | ${user.home}/kms.keytab | 構成された Kerberos プリンシパルの資格情報を含む keytab へのパス。 |
| hadoop.kms.authentication.kerberos.principal | HTTP/localhost | HTTP エンドポイントに使用する Kerberos プリンシパル。Kerberos HTTP SPNEGO 仕様に従って、プリンシパルは「HTTP/」で始まる必要があります。 |
| hadoop.kms.authentication.kerberos.name.rules | DEFAULT | Kerberos プリンシパル名の解決に使用されるルール。 |
| hadoop.kms.authentication.signer.secret.provider | random | 認証クッキーに署名するための秘密がどのように保存されるかを示します。オプションは「random」(デフォルト)、「string」、および「zookeeper」です。複数の KMS インスタンスを使用するセットアップを使用する場合は、「zookeeper」を使用する必要があります。 |
| hadoop.kms.authentication.signer.secret.provider.zookeeper.path | /hadoop-kms/hadoop-auth-signature-secret | KMS インスタンスが秘密を保存および取得する ZooKeeper ZNode パス。 |
| hadoop.kms.authentication.signer.secret.provider.zookeeper.connection.string | #HOSTNAME#:#PORT#,... | ZooKeeper 接続文字列。カンマで区切られたホスト名とポートのリスト。 |
| hadoop.kms.authentication.signer.secret.provider.zookeeper.auth.type | none | ZooKeeper 認証タイプ。「none」(デフォルト)または「sasl」(Kerberos)。 |
| hadoop.kms.authentication.signer.secret.provider.zookeeper.kerberos.keytab | /etc/hadoop/conf/kms.keytab | ZooKeeper に接続するための資格情報を含む Kerberos keytab の絶対パス。 |
| hadoop.kms.authentication.signer.secret.provider.zookeeper.kerberos.principal | kms/#HOSTNAME# | ZooKeeper に接続するために使用される Kerberos サービスプリンシパル。 |
| hadoop.kms.audit.logger | org.apache.hadoop.crypto.key.kms.server.SimpleKMSAuditLogger | KMS の監査ロガー。これは、KMSAuditLogger クラス名のカンマ区切りのリストです。デフォルトはテキスト形式の SimpleKMSAuditLogger のみです。これが設定されていない場合、デフォルトが使用されます。 |
| hadoop.kms.key.authorization.enable | true | キーごとの認可を有効/無効にするブール型プロパティ |
| hadoop.security.kms.encrypted.key.cache.size | 100 | キャッシュのサイズ。これは、各キー名の下にキャッシュできる EEK の最大数です。 |
| hadoop.security.kms.encrypted.key.cache.low.watermark | 0.3 | キャッシュの下限。get 呼び出しの後、各キー名について、キャッシュされた EEK の数が(サイズ * 下限)を下回っている場合、このキー名の下のキャッシュは非同期的に補充されます。各キー名について、非同期補充を実行できるスレッドは 1 つだけです。 |
| hadoop.security.kms.encrypted.key.cache.num.fill.threads | 2 | キー名全体で、キャッシュのキューを補充するために許可される非同期スレッドの最大数。 |
| hadoop.security.kms.encrypted.key.cache.expiry | 43200000 | キャッシュの有効期限(ミリ秒)。内部的には、Guava キャッシュがキャッシュ実装として使用されます。有効期限のアプローチは expireAfterAccess です。 |