Hashicorp Vault 金鑰儲存庫

本教學說明如何設定 KES 伺服器，該伺服器使用 Vault 的 K/V 引擎作為持久且安全的金鑰儲存庫

先決條件

若要啟動開發伺服器或使用 Vault CLI 與 Vault 互動，請下載 Vault 二進位檔。

Vault 伺服器

KES 需要 Vault K/V 引擎 v1 或 v2，以及 AppRole 或 Kubernetes 驗證方法的憑證。

如果您沒有現有的 Vault 叢集可用，請執行下列其中一項

依照 Hashicorp Vault 安裝指南建立新的叢集
建立單節點開發實例

以下文件討論如何使用 AppRole 驗證方法，為開發目的設定單節點開發實例。

單節點開發 Vault 實例

以下命令會以開發模式啟動 Vault 伺服器

命令輸出

命令輸出類似如下：

==> Vault server configuration:

Administrative Namespace:
             Api Address: http://127.0.0.1:8200
                     Cgo: disabled
         Cluster Address: https://127.0.0.1:8201
   Environment Variables: 
              Go Version: go1.21.8
              Listener 1: tcp (addr: "127.0.0.1:8200", cluster address: "127.0.0.1:8201", disable_request_limiter: "false", max_request_duration: "
1m30s", max_request_size: "33554432", tls: "disabled")
               Log Level:
                   Mlock: supported: false, enabled: false
           Recovery Mode: false
                 Storage: inmem
                 Version: Vault v1.16.1, built 2024-04-03T12:35:53Z
             Version Sha: 6b5986790d7748100de77f7f127119c4a0f78946

==> Vault server started! Log data will stream in below:

...

WARNING! dev mode is enabled! In this mode, Vault runs entirely in-memory
and starts unsealed with a single unseal key. The root token is already
authenticated to the CLI, so you can immediately begin using Vault.

You may need to set the following environment variables:

    export VAULT_ADDR='http://127.0.0.1:8200'

The unseal key and root token are displayed below in case you want to
seal/unseal the Vault or re-authenticate.

Unseal Key: g+epWYiEy2vj+7UP3c+YXRhoOjUMCC9PoihIzqSgB84=
Root Token: hvs.O6QNQB33ksXtMxtlRKlRZL0R

Development mode should NOT be used in production installations!

這會在 127.0.0.1:8200 上以開發模式啟動單節點 Vault 伺服器。開發伺服器是暫時性的，不應在生產環境中執行。

將 Vault 連線至 Vault CLI

設定 VAULT_ADDR 端點

Vault CLI 需要知道 Vault 端點
```
export VAULT_ADDR='https://127.0.0.1:8200'
```
設定 VAULT_TOKEN

Vault CLI 需要驗證權杖才能執行操作。
```
export VAULT_TOKEN=hvs.O6QNQB33ksXtMxtlRKlRZL0R
```
將權杖值取代為您自己的 Vault 存取權杖，例如 vault server -dev 命令輸出中提供的 Root token。
啟用 K/V 後端

KES 會將金鑰儲存在 Vault K/V 後端。Vault 提供兩個 K/V 引擎，v1 和 v2。

MinIO 建議使用 K/V v1 引擎。
K/V v1
以下命令會啟用 K/V v1 機密引擎
```
vault secrets enable -version=1 kv
```
K/V v2
以下命令會啟用 K/V v2 機密引擎
```
vault secrets enable -version=2 kv
```
KES 的 Vault 政策取決於所選的 K/V 引擎版本。為 K/V v1 設計的政策不適用於 K/V v2 引擎。同樣地，為 K/V v2 設計的政策不適用於 K/V v1 引擎。

如需有關從 v1 移轉至 v2 的詳細資訊，請參閱 Hashicorp 文件，關於從 v1 升級。

設定 KES 對 Vault 的存取

建立 Vault 政策

Vault 政策定義 KES 伺服器可以存取的 API 路徑。建立名為 kes-policy.hcl 的文字檔。

政策的內容會因使用的 K/V 引擎而異。
K/V v1
針對 K/V v1 後端使用以下 kes-policy.hcl 政策
```
path "kv/*" {
   capabilities = [ "create", "read", "delete", "list" ]
}
```
K/V v2
針對 K/V v2 後端使用以下 kes-policy.hcl 政策
```
path "kv/data/*" {
   capabilities = [ "create", "read" ]
}
path "kv/metadata/*" {
   capabilities = [ "list", "delete" ]       
}
```
將政策寫入 Vault

以下命令會在 Vault 中建立政策
```
vault policy write kes-policy kes-policy.hcl
```
啟用驗證

此步驟允許 KES 伺服器向 Vault 驗證。在本教學中，我們使用 AppRole 驗證方法。
```
vault auth enable approle
```

建立 KES 角色

以下命令會在 Vault 中新增一個名為 kes-server 的新角色

vault write auth/approle/role/kes-server token_num_uses=0  secret_id_num_uses=0  period=5m

將政策繫結至角色

以下命令會將 kes-server 角色繫結至 kes-policy
```
vault write auth/approle/role/kes-server policies=kes-policy
```

產生 AppRole ID

為 KES 伺服器請求 AppRole ID

vault read auth/approle/role/kes-server/role-id

產生 AppRole 機密

為 KES 伺服器請求 AppRole 機密
```
vault write -f auth/approle/role/kes-server/secret-id 
```
AppRole 機密會以 secret_id 列印。您可以忽略 secret_id_accessor。

KES 伺服器設定

產生 KES 伺服器私密金鑰和憑證

以下命令會為 IP 127.0.0.1 和 DNS 名稱 localhost (作為 SAN) 產生新的 TLS 私密金鑰 server.key 和自我簽署的 X.509 憑證 server.cert。如果您想要使用另一個 IP 或 DNS 名稱 (例如 10.1.2.3 或 https://kes.example.net) 來參照您的 KES 伺服器，請相應調整 --ip 和/或 --dns 參數。
```
kes identity new --key server.key --cert server.cert --ip "127.0.0.1" --dns localhost
```
以上命令會產生自我簽署的憑證。如果您已經有為您的伺服器簽發憑證的方法，您可以使用那些憑證。

用於產生 X.509 憑證的其他工具也可以運作。例如，您可以使用 openssl
```
openssl ecparam -genkey -name prime256v1 | openssl ec -out server.key

openssl req -new -x509 -days 30 -key server.key -out server.cert \
    -subj "/C=/ST=/L=/O=/CN=localhost" -addext "subjectAltName = IP:127.0.0.1"
```

產生 API 金鑰

以下命令會產生新的 KES API 金鑰。

kes identity new

輸出類似如下：

Your API key:

   kes:v1:ABfa1xsnIV0lltXQC8tHXic8lte7J6hT7EoGv6+s5QCW

This is the only time it is shown. Keep it secret and secure!

Your Identity:

   cf6c535e738c1dd47a1d746366fde7f0309d1e0a8471b9f6e909833906afbbfa

The identity is not a secret. It can be shared. Any peer
needs this identity in order to verify your API key.

The identity can be computed again via:

    kes identity of kes:v1:ABfa1xsnIV0lltXQC8tHXic8lte7J6hT7EoGv6+s5QCW

產生的 identity 不是機密，可以公開分享。它稍後會在 KES 組態檔中用作管理員身分或指派給政策。

API 金鑰 本身是機密，不應分享。您可以隨時重新計算 API 金鑰的身分。

設定 KES 伺服器

建立 KES 伺服器組態檔：config.yml。

請確保 policy 區段中的身分符合 client.crt 身分。新增先前取得的 approle role_id 和 secret_id。

admin:
  # Use the identity generated above by 'kes identity new'.
  identity: "" # For example: cf6c535e738c1dd47a1d746366fde7f0309d1e0a8471b9f6e909833906afbbfa

tls:
  key: private.key    # The KES server TLS private key
  cert: public.crt    # The KES server TLS certificate

keystore:
   vault:
     endpoint: https://127.0.0.1:8200
     version:  v1 # The K/V engine version - either "v1" or "v2".
     engine:   kv # The engine path of the K/V engine. The default is "kv".
     approle:
       id:     "" # Your AppRole ID
       secret: "" # Your AppRole Secret

啟動 KES 伺服器

Linux

kes server --config config.yml

在 Linux 環境中，KES 可以使用 mlock syscall 來防止 OS 將記憶體中的資料寫入磁碟 (交換)。這可以防止洩漏敏感資料。

使用以下命令允許 KES 使用 mlock syscall 而無需以 root 權限執行

sudo setcap cap_ipc_lock=+ep $(readlink -f $(which kes))

容器

以下指示使用 Podman 來管理容器。您也可以使用 Docker。

根據您的部署需求修改位址和檔案路徑。

sudo podman pod create  \
  -p 9000:9000 -p 9001:9001 -p 7373:7373  \
  -v ~/minio-kes-vault/certs:/certs  \
  -v ~/minio-kes-vault/minio:/mnt/minio  \
  -v ~/minio-kes-vault/config:/etc/default/  \
  -n minio-kes-vault

sudo podman run -dt  \
  --cap-add IPC_LOCK  \
  --name kes-server  \
  --pod "minio-kes-vault"  \
  -e KES_SERVER=https://127.0.0.1:7373  \
  quay.io/minio/kes:2024-01-11T13-09-29Z server  \
    --config=/etc/default/kes-config.yaml

您可以使用以下命令驗證容器的狀態。該命令應顯示三個 Pod，一個用於 Pod，一個用於 KES，另一個用於 MinIO。

sudo podman container list

KES CLI 存取

設定 KES_SERVER 端點

以下環境變數指定 KES CLI 應與之通訊的 KES 伺服器
```
export KES_SERVER=https://127.0.0.1:7373
```
定義 CLI 存取認證

以下環境變數會設定用戶端用來與 KES 伺服器通訊的金鑰
```
export KES_API_KEY=kes:v1:ABfa1xsnIV0lltXQC8tHXic8lte7J6hT7EoGv6+s5QCW
```
將該值取代為您的伺服器 API 金鑰。當您啟動伺服器時，伺服器的 API 金鑰會顯示在輸出中。

測試組態

例如，檢查伺服器的狀態

kes status -k

使用金鑰來產生新的資料加密金鑰

kes key dek my-key-1 -k

命令輸出類似如下：

{
  plaintext : UGgcVBgyQYwxKzve7UJNV5x8aTiPJFoR+s828reNjh0=
  ciphertext: eyJhZWFkIjoiQUVTLTI1Ni1HQ00tSE1BQy1TSEEtMjU2IiwiaWQiOiIxMTc1ZjJjNDMyMjNjNjNmNjY1MDk5ZDExNmU3Yzc4NCIsIml2IjoiVHBtbHpWTDh5a2t4VVREV1RSTU5Tdz09Iiwibm9uY2UiOiJkeGl0R3A3bFB6S21rTE5HIiwiYnl0ZXMiOiJaaWdobEZrTUFuVVBWSG0wZDhSYUNBY3pnRWRsQzJqWFhCK1YxaWl2MXdnYjhBRytuTWx0Y3BGK0RtV1VoNkZaIn0=
}

搭配 MinIO 伺服器使用 KES

MinIO 伺服器需要 KES 才能啟用伺服器端資料加密。

請參閱 KES for MinIO 指示指南，以取得使用您的新 KES 伺服器與 MinIO 伺服器所需的其他步驟。

組態參考資料

以下章節說明金鑰加密服務 (KES) 組態設定，以使用 Hashicorp Vault 金鑰儲存區作為根 KMS，以儲存外部金鑰，例如用於 MinIO 伺服器伺服器端加密的金鑰。

MinIO 伺服器需要擴充權限

從 MinIO 伺服器 RELEASE.2023-02-17T17-52-43Z 開始，MinIO 需要擴充 KES 權限才能運作。本節中的範例組態包含所有必要的權限。

YAML 概觀

使用 ${<STRING>} 的欄位會使用與 <STRING> 值相符的環境變數。您可以使用此功能來設定認證，而無需將其寫入組態檔。

YAML 假設 MinIO 部署存取 KES 的最低權限集合。或者，您可以省略 policy.minio-server 區段，而是將 ${MINIO_IDENTITY} 雜湊設定為 ${ROOT_IDENTITY}。

address: 0.0.0.0:7373
root: ${ROOT_IDENTITY}

tls:
  key: kes-server.key
  cert: kes-server.cert

api:
  /v1/ready:
    skip_auth: false
    timeout:   15s

policy:
  minio-server:
    allow:
    - /v1/key/create/*
    - /v1/key/generate/*
    - /v1/key/decrypt/*
    - /v1/key/bulk/decrypt
    - /v1/key/list/*
    - /v1/status
    - /v1/metrics
    - /v1/log/audit
    - /v1/log/error
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - ${MINIO_IDENTITY}

    my-app:
    allow:
    - /v1/key/create/my-app*
    - /v1/key/generate/my-app*
    - /v1/key/decrypt/my-app*
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - df7281ca3fed4ef7d06297eb7cb9d590a4edc863b4425f4762bb2afaebfd3258
    - c0ecd5962eaf937422268b80a93dde4786dc9783fb2480ddea0f3e5fe471a731

keys:
  - name: "minio-encryption-key-alpha"
  - name: "minio-encryption-key-baker"
  - name: "minio-encryption-key-charlie"

cache:
  expiry:
    any: 5m0s
    unused: 20s
    offline: 0s

log:

  # Log error events to STDERR. Valid values are "on" or "off". 
  # Default is "on".
  error: on

  # Log audit events to STDOUT. Valid values are "on" and "off". 
  # Default is "off".
  audit: off

keystore:
  vault:
    endpoint: ""  
    engine: ""    
    version: ""   
    namespace: "" 
    prefix: ""    
    transit:      
      engine: ""  
      key: ""     
    approle:    
      namespace: "" 
      engine: ""    
      id: ""        
      secret: ""    
    kubernetes: 
      namespace: "" 
      engine: ""    
      role: ""      
      jwt:  ""      
    tls:        
      key: ""   
      cert: ""  
      ca: ""    
    status:     
      ping: 10s

參考資料

如需完整文件，請參閱組態頁面。

金鑰	描述
`address`	KES 伺服器在啟動時接聽的網路位址和連接埠。預設為所有主機網路介面上的連接埠 `7373`。
`root`	KES 超級使用者 (`root`) 身分的身分。使用 TLS 憑證連線的用戶端，其雜湊 (`kes identity of client.cert`) 與此值相符，可以存取所有 KES API 操作。指定 `disabled` 以移除根身分，並僅依賴 `policy` 組態來控制身分和 KES 的存取管理。
`tls`	KES 用於建立 TLS 安全通訊的 TLS 私密金鑰和憑證。分別為 `key` 和 `cert` 欄位指定私密 `.key` 和公用 `.cert` 的完整路徑。
`policy`	指定一或多個政策來控制 KES 伺服器的存取。MinIO SSE 需要存取以下 KES 加密 API `/v1/key/create/` `/v1/key/generate/` `/v1/key/decrypt/` 指定其他金鑰不會擴充 MinIO SSE 功能，且可能會違反提供不必要的用戶端存取加密金鑰操作的安全性最佳實務。您可以限制 MinIO 作為執行 SSE 一部分所能建立的金鑰名稱範圍，方法是在 `.` 之前指定前置詞。例如，`minio-sse-*` 只會授予使用 `minio-sse-` 前置詞來 `create`、`generate` 或 `decrypt` 金鑰的存取權。 KES 使用 mTLS 來授權連線的用戶端，方法是將 TLS 憑證的雜湊與每個已設定政策的 `identities` 進行比較。使用 `kes identity of` 命令來計算 MinIO mTLS 憑證的身分，並將其新增至 `policy.<NAME>.identities` 陣列，以將 MinIO 與 `<NAME>` 政策建立關聯。
`keys`	指定金鑰陣列，這些金鑰必須存在於根 KMS 上，KES 才能成功啟動。如果金鑰不存在，KES 會嘗試建立金鑰，並且如果無法建立一或多個金鑰，則會以錯誤結束。在完成所有指定金鑰的驗證之前，KES 不會接受任何用戶端要求。
`cache`	以 `#d#h#m#s` 格式指定快取金鑰的到期時間。如果 KMS 暫時無法使用，可能會使用未過期的金鑰。可以為 `any` 金鑰、`unused` 金鑰或 `offline` 金鑰設定項目。如果未設定，KES 會對所有金鑰使用 `5m`、未使用金鑰使用 `20s` 以及離線金鑰使用 `0s` 的值。
`log`	啟用或停用主控台中 `error` 和 `audit` 類型記錄事件的輸出。
`keystore.vault.endpoint`	Vault 端點。例如，`https://127.0.0.1:8200`
`keystore.vault.engine`	K/V 引擎的路徑。例如，`secrets`。如果為空，則預設為：`kv` (Vault 預設值)。
`keystore.vault.version`	K/V 引擎版本，可選擇 `v1` 或 `v2`。建議使用 `v1` 引擎。
`keystore.vault.namespace`	一個可選的 Vault 命名空間。
`keystore.vault.prefix`	一個可選的 K/V 前綴。伺服器會將金鑰儲存在這個前綴下。
`keystore.vault.transit`	可選擇使用 Vault 管理的金鑰加密儲存在 K/V 引擎上的金鑰。
`keystore.vault.transit.engine`	Transit 引擎的路徑。例如，`my-transit`。如果為空，則預設為：`transit` (Vault 預設值)。
`keystore.vault.transit.key`	用於加密儲存在 K/V 引擎上的條目的金鑰名稱。
`keystore.vault.approle`	AppRole 憑證.
`keystore.vault.approle.namespace`	僅用於身份驗證的可選 Vault 命名空間。對於 Vault 根命名空間，請使用 `/`。
`keystore.vault.approle.engine`	AppRole 引擎的路徑。例如，`authenticate`。如果為空，則預設為：`approle` (Vault 預設值)。
`keystore.vault.approle.id`	您的 AppRole 角色 ID
`keystore.vault.approle.secret`	您的 AppRole ID 的密碼
`keystore.vault.kubernetes`	Kubernetes 憑證.
`keystore.vault.kubernetes.namespace`	僅用於身份驗證的可選 Vault 命名空間。對於 Vault 根命名空間，請使用 “/”。
`keystore.vault.kubernetes.engine`	Kubernetes 引擎的路徑。例如，`authenticate`。如果為空，則預設為：`kubernetes` (Vault 預設值)。
`keystore.vault.kubernetes.role`	Kubernetes JWT 的角色
`keystore.vault.kubernetes.jwt`	Kubernetes 提供的 JWT，或包含 JWT 的 Kubernetes secret 的路徑。
`keystore.vault.tls`	用於 mTLS 身份驗證和憑證驗證的 Vault 客戶端 TLS 配置。
`keystore.vault.tls.key`	用於對 Vault 進行 mTLS 身份驗證的 TLS 客戶端私鑰的路徑。
`keystore.vault.tls.cert`	用於對 Vault 進行 mTLS 身份驗證的 TLS 客戶端憑證的路徑。
`keystore.vault.tls.ca`	一個或多個 PEM 根 CA 憑證的路徑。
`keystore.vault.status`	Vault 狀態配置。伺服器會定期連線到 Vault 以檢查其狀態。
`keystore.vault.status.ping`	伺服器再次檢查 Vault 狀態的時間間隔。例如，`10s`。

進階配置

這些額外的配置步驟可能會解決特定問題。

使用 K/V 前綴進行多租戶

Vault 可以作為多個隔離的 KES 租戶的後端。每個 KES 租戶可以由 N 個副本組成。可以有 M 個 KES 租戶連接到同一個 Vault 伺服器/叢集。

這表示 N × M 個 KES 伺服器實例可以連接到單個 Vault。

在這些配置中，每個 KES 租戶在 K/V 密鑰引擎上都有一個單獨的前綴。對於每個 KES 租戶，必須有對應的 Vault 政策。

對於 K/V v1

path "kv/<tenant-name>/*" {
   capabilities = [ "create", "read", "delete" ]
}

對於 K/V v2

path "kv/data/<tenant-name>/*" {
  capabilities = [ "create", "read" ]
}
path "kv/metadata/<tenant-name>/*" {
  capabilities = [ "list", "delete" ]       
}

為每個 KES 租戶建立不同的設定檔。該檔案包含租戶要使用的 Vault K/V 前綴。

keystore:
   vault:
     endpoint: https://127.0.0.1:8200
     prefix: <tenant-name>
     approle:
       id:     "" # Your AppRole ID
       secret: "" # Your AppRole Secret
       retry:  15s
     status:
       ping: 10s
     tls:
       ca: vault.crt # Manually trust the vault certificate since we use self-signed certificates

使用 Vault 命名空間進行多租戶

Vault 可以作為多個隔離的 KES 租戶的後端。每個 KES 租戶可以由 N 個副本組成。可以有 M 個 KES 租戶連接到同一個 Vault 伺服器/叢集。

這表示 N × M 個 KES 伺服器實例可以連接到單個 Vault。

因此，每個 KES 租戶在 K/V 密鑰引擎上都有一個單獨的前綴。對於每個 KES 租戶，都必須有對應的 Vault 政策。

對於 K/V v1

path "kv/<tenant-name>/*" {
   capabilities = [ "create", "read", "delete" ]
}

對於 K/V v2

path "kv/data/<tenant-name>/*" {
   capabilities = [ "create", "read" ]
}
path "kv/metadata/<tenant-name>/*" {
   capabilities = [ "list", "delete" ]       
}

為每個 KES 租戶使用不同的設定檔。該檔案包含 KES 租戶應該使用的 Vault 命名空間。

keystore:
   vault:
     endpoint: https://127.0.0.1:8200
     namespace: <vault-namespace>
     approle:
       id:     "" # Your AppRole ID
       secret: "" # Your AppRole Secret
       retry:  15s
     status:
       ping: 10s
     tls:
       ca: vault.crt # Manually trust the vault certificate since we use self-signed certificates

加密 Vault 儲存的金鑰

Hashicorp 的 Transit 功能提供了一種加密和解密儲存在 Vault 中的金鑰的方法。這提供了一個額外的加密層，在特定情況下可能會很有用。

啟用後，Hashicorp 會在 Vault 中儲存一個金鑰，以加密或解密儲存在 Vault 中的其他金鑰。然後，KES 使用 Vault 管理的金鑰來儲存或從 Vault 檢索金鑰。

潛在的資料遺失

如果指定的 Transit 金鑰不正確、已停用、已移除或無法存取，則 KES 無法檢索任何 Vault 金鑰，也無法執行任何依賴這些金鑰的加解密操作。

要設定 Transit，請將以下區段新增至 KES 設定 YAML 的 keystore.vault 區段

keystore:
  vault:
    transit:      # Optionally encrypt keys stored on the K/V engine with a Vault-managed key.
      engine: ""  # The path of the transit engine - e.g. "my-transit". If empty, defaults to: transit (Vault default)
      key: ""     # The key name that should be used to encrypt entries stored on the K/V engine.