Erasure Code Calculator 
參考硬體 使用每個儲存貯體金鑰的伺服器端加密 (SSE-KMS)
MinIO 伺服器端加密 (SSE) 在寫入操作時保護物件,允許用戶端利用伺服器處理能力在儲存層保護物件(靜態加密)。SSE 還為關於安全鎖定和清除的法規和合規性要求提供金鑰功能。
MinIO SSE 使用 MinIO 金鑰加密服務 (KES) 和 支援的外部金鑰管理服務 (KMS),以大規模執行安全的加密操作。MinIO 還支援用戶端管理的金鑰管理,其中應用程式完全負責建立和管理用於 MinIO SSE 的加密金鑰。
MinIO SSE-KMS 使用金鑰管理系統 (KMS) 管理的外部金鑰 (EK) 加密或解密物件。每個儲存貯體和物件都可以有單獨的 EK,支援部署中更精細的加密操作。只有當 MinIO 可以存取 KMS *和* 用於加密該物件的 EK 時,才能解密物件。
您可以使用 mc encrypt set 命令啟用儲存貯體預設 SSE-KMS 加密
mc encrypt set sse-kms EXTERNALKEY play/mybucket
將
EXTERNALKEY替換為要用於加密儲存貯體中物件的 EK 的名稱。將
play/mybucket替換為您要啟用自動 SSE-KMS 加密的別名和儲存貯體。
MinIO SSE-KMS 在功能上與 AWS S3 的伺服器端加密 (使用儲存在 AWS 中的 KMS 金鑰) 相容,同時擴展支援以下 KMS 提供者:
快速入門
重要事項
在 MinIO 部署上啟用SSE 會自動使用預設的加密金鑰加密該部署的後端資料。
MinIO *必須*存取 KES 和外部 KMS 才能解密後端並正常啟動。KMS *必須*維護並提供對MINIO_KMS_KES_KEY_NAME的存取權。(參考 MinIO Linux 文件)。您之後無法停用 KES 或「還原」SSE 設定。
以下程序使用 play MinIO KES 沙箱,以便在評估和早期開發環境中支援使用 SSE-KMS 的SSE。
對於擴展開發或生產環境,請使用以下支援的外部金鑰管理服務 (KMS) 之一
重要事項
MinIO KES Play 沙箱是公開的,並授予對所有已建立的外部金鑰 (EK) 的根存取權。儲存在 Play 沙箱上的任何 EK 都可能隨時被存取或銷毀,導致受保護的資料變得容易受到攻擊或永久無法讀取。
絕對不要使用
Play沙箱來保護您無法承受遺失或洩漏的資料。絕對不要使用會洩漏您組織的私人、機密或內部命名慣例的名稱來產生 EK。
絕對不要在生產環境中使用
Play沙箱。
此程序需要以下元件
在具有網際網路存取權的機器上安裝 MinIO 金鑰加密服務 (KES)。請參閱
kes入門指南,以取得有關下載、安裝和設定 KES 的說明。
1) 建立用於 SSE-KMS 加密的加密金鑰
使用 kes 命令列工具建立新的外部金鑰 (EK),以用於 SSE-KMS 加密。
以下命令會擷取 play KES 伺服器的根身分
curl -sSL --tlsv1.2 \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'
在終端機或 Shell 中設定下列環境變數
export KES_CLIENT_KEY=root.key
export KES_CLIENT_CERT=root.cert
|
KES 伺服器上身分的私密金鑰。該身分必須至少授予 |
|---|---|
|
KES 伺服器上身分的對應憑證。此步驟使用 MinIO |
以下命令透過 KES 建立新的 EK。
kes key create my-minio-sse-kms-key
本教學課程使用範例名稱 my-minio-sse-kms-key,方便參考。請指定唯一的金鑰名稱,以防止與現有的金鑰衝突。
2) 設定 MinIO 以進行 SSE-KMS 物件加密
在部署中每個 MinIO 伺服器主機的 Shell 或終端機中指定下列環境變數
export MINIO_KMS_KES_ENDPOINT=https://play.min.io:7373
export MINIO_KMS_KES_API_KEY=<API-key-identity-string-from-KES> # Replace with the key string for your credentials
export MINIO_KMS_KES_KEY_NAME=my-minio-sse-s3-key
注意
API 金鑰是與 KES 伺服器進行驗證的慣用方法,因為它提供簡化且安全的 KES 伺服器驗證程序。
或者,指定
MINIO_KMS_KES_KEY_FILE和MINIO_KMS_KES_CERT_FILE,而不是MINIO_KMS_KES_API_KEY。API 金鑰與基於憑證的驗證互斥。請指定 API 金鑰變數 *或* 金鑰檔案和憑證檔案變數 *其中之一*。
本網站上的文件使用 API 金鑰。
MinIO |
|
由 KES 為 MinIO 部署產生的API 金鑰。API 金鑰的身分必須授予建立、產生和解密金鑰的權限。 API 金鑰是與 KES 伺服器進行驗證的慣用方法。如果情況需要,請改為指定 |
|
用於執行 SSE 加密操作的外部金鑰 (EK) 名稱。KES 會從已設定的金鑰管理服務 (KMS) 擷取 EK。請指定上一步驟中建立的金鑰名稱。 |
3) 重新啟動 MinIO 部署以啟用 SSE-KMS
您必須重新啟動 MinIO 部署才能套用組態變更。請使用 mc admin service restart 命令來重新啟動部署。
mc admin service restart ALIAS
請將 ALIAS 取代為要重新啟動的部署的 別名。
4) 設定自動儲存貯體加密
使用 mc encrypt set 命令,以啟用對寫入特定儲存貯體的所有物件進行自動 SSE-KMS 保護。
mc encrypt set sse-kms my-minio-sse-kms-key ALIAS/BUCKET
寫入指定儲存貯體的物件會使用指定的 EK 自動加密。
請針對您想要啟用自動 SSE-KMS 加密的每個儲存貯體重複此步驟。您可以針對每個儲存貯體或儲存貯體前置詞產生其他金鑰,如此每個 EK 的範圍會限制為物件的子集。
安全清除和鎖定
SSE-KMS 使用 EK 保護物件,該 EK 可以指定為儲存貯體自動加密設定的一部分,*或* 作為寫入操作的一部分。因此,MinIO *必須*存取該 EK 才能解密該物件。
停用 EK 會暫時鎖定使用該 EK 加密的物件,使其無法讀取。您可以稍後啟用 EK,以繼續在這些物件上執行正常的讀取操作。
刪除 EK 會使由該 EK 加密的所有物件 *永久* 無法讀取。如果 KMS 沒有或不支援 EK 的備份,則此程序是 *不可逆的*。
單一 EK 的範圍取決於
哪些儲存貯體為自動 SSE-KMS 加密指定該 EK,*以及*
哪些寫入操作在請求 SSE-KMS 加密時指定該 EK。
例如,假設 MinIO 部署針對每個儲存貯體使用一個 EK。停用單一 EK 會使相關聯儲存貯體中的所有物件都無法讀取,而不會影響其他儲存貯體。如果部署改為針對所有物件和儲存貯體使用一個 EK,則停用該 EK 會使部署中的所有物件都無法讀取。
加密程序
注意
本節說明 MinIO 的內部邏輯和功能。此資訊純粹是教育性質,並非設定或實作任何 MinIO 功能的先決條件。
SSE-KMS 使用由已設定的金鑰管理系統 (KMS) 管理的外部金鑰 (EK),以執行密碼編譯操作和保護物件。下表說明加密程序的每個階段
階段 |
說明 |
|---|---|
啟用 SSE 的寫入操作 |
MinIO 接收到要求使用 SSE-KMS 加密的寫入操作。該寫入操作必須具有一個相關聯的外部金鑰 (EK),用於加密物件。
|
產生資料加密金鑰 (DEK) |
MinIO 使用EK產生資料加密金鑰 (DEK)。具體來說,MinIO 金鑰加密服務 (KES) 會使用EK作為「根」金鑰,向 KMS 請求新的加密金鑰。 KES 會傳回純文字和一個 EK 加密的 DEK 表示法。MinIO 會將加密的表示法儲存為物件中繼資料的一部分。 |
產生金鑰加密金鑰 (KEK) |
MinIO 使用確定性演算法來產生 256 位元的唯一金鑰加密金鑰 (KEK)。金鑰衍生演算法使用一個偽隨機函數,該函數會使用純文字DEK、一個隨機產生的初始化向量,以及由儲存桶和物件名稱等值組成的上下文。 MinIO 在每次加密或解密操作時產生 KEK,並且絕不將 KEK 儲存到磁碟機。 |
產生物件加密金鑰 (OEK) |
MinIO 產生一個隨機的 256 位元唯一物件加密金鑰 (OEK),並使用該金鑰來加密物件。MinIO 永遠不會將純文字表示法的 OEK 儲存在磁碟機上。純文字的 OEK 在加密操作期間駐留在 RAM 中。 |
加密物件 |
MinIO 在將物件儲存到磁碟機之前,使用OEK 來加密物件。然後,MinIO 會使用KEK來加密OEK。 MinIO 會將OEK和DEK的加密表示法儲存為中繼資料的一部分。 |
對於讀取操作,MinIO 會先取得EK來解密DEK,進而解密物件。然後,MinIO 會重新產生KEK、解密OEK,並解密物件。
