Fernet

Airflow 使用 Fernet 加密连接配置和变量配置中的密码。它保证使用它加密的密码不会被操纵或在没有密钥的情况下被读取。Fernet 是对称(也称为“密钥”)认证密码术的一种实现。

首次启动 Airflow 时,将生成 airflow.cfg 文件,其中包含默认配置和唯一的 Fernet 密钥。该密钥将保存到 [core] 部分的 fernet_key 选项。

你还可以使用环境变量配置 Fernet 密钥。这将覆盖 airflow.cfg 文件中的值

# Note the double underscores
export AIRFLOW__CORE__FERNET_KEY=your_fernet_key

生成 Fernet 密钥

如果您需要生成新的 Fernet 密钥,可以使用以下代码片段。

from cryptography.fernet import Fernet

fernet_key = Fernet.generate_key()
print(fernet_key.decode())  # your fernet_key, keep it in secured place!

轮换加密密钥

一旦连接凭证和变量使用 Fernet 密钥加密,更改密钥将导致现有凭证的解密失败。要在不使现有加密值失效的情况下轮换 Fernet 密钥,请将新密钥添加到 fernet_key 设置中,运行 airflow rotate-fernet-key,然后从 fernet_key 中删除原始密钥

  1. fernet_key 设置为 new_fernet_key,old_fernet_key

  2. 运行 airflow rotate-fernet-key 以使用新 Fernet 密钥重新加密现有凭证

  3. fernet_key 设置为 new_fernet_key

此条目是否有用?