加密您的数据库连接

Metabase 在 Metabase 应用程序数据库中存储您添加的各种数据库的连接信息。为防止恶意攻击者在访问应用程序数据库后获取这些详细信息，Metabase 可以在保存时使用 AES256 + SHA512 自动加密它们，并在需要时即时解密它们。

创建加密密钥

1. 生成一个至少 16 个字符的密钥（越长越好！）。我们建议使用安全的随机密钥生成器，例如 openssl。

   没有此密钥，您无法解密连接详细信息。如果您丢失（或更改）了密钥，您将不得不重置管理面板中所有使用该密钥加密的连接详细信息。

2. 将您的密钥设置为环境变量 MB_ENCRYPTION_SECRET_KEY。在自托管的 专业版和企业版计划中，您还可以使用配置文件来设置此项。

创建和添加密钥的示例命令

1. 您可以使用 openssl 生成一个加密安全的随机 32 字符密钥。

   openssl rand -base64 32
   

2. 将密钥复制到剪贴板。它应该看起来像这样

   IYqrSi5QDthvFWe4/WdAxhnra5DZC3RKx3ZSrOJDKsM=
   

3. 将密钥设置为环境变量，并像往常一样启动 Metabase。

   MB_ENCRYPTION_SECRET_KEY="IYqrSi5QDthvFWe4/WdAxhnra5DZC3RKx3ZSrOJDKsM=" java --add-opens java.base/java.nio=ALL-UNNAMED -jar metabase.jar
   

设置 MB_ENCRYPTION_SECRET_KEY 值后，Metabase 将自动加密并存储您添加的每个新数据库的连接详细信息。要加密现有连接，请参阅下一节。

加密现有连接

如果您在设置 MB_ENCRYPTION_SECRET_KEY 值之前添加了数据库，您可以通过在管理设置 > 数据库中找到这些数据库并点击保存按钮来加密连接详细信息。未加密的现有数据库将继续正常工作。

轮换加密密钥

1. 我们建议您在执行密钥轮换之前备份您的数据。
2. 停止运行您的 Metabase 应用程序。
3. 运行 CLI 命令 rotate-encryption-key。
   • 将当前加密密钥设置为 MB_ENCRYPTION_SECRET_KEY。
   • 将新的加密密钥设置为参数。

轮换密钥的示例命令

MB_ENCRYPTION_SECRET_KEY=your-current-key java --add-opens java.base/java.nio=ALL-UNNAMED -jar metabase.jar rotate-encryption-key new-key

禁用加密密钥

要禁用加密密钥，请按照轮换加密密钥的步骤操作，但使用空字符串 ("") 作为新密钥。

禁用密钥的示例命令

MB_ENCRYPTION_SECRET_KEY="your-current-key" java --add-opens java.base/java.nio=ALL-UNNAMED -jar metabase.jar rotate-encryption-key ""