Erasure Code 計算機 
參考硬體 使用每個儲存桶金鑰的伺服器端加密 (SSE-KMS)
MinIO 伺服器端加密 (SSE) 在寫入操作期間保護物件,允許客戶利用伺服器處理能力在儲存層(靜態加密)保護物件。SSE 還為圍繞安全鎖定和擦除的法規和合規性要求提供金鑰功能。
MinIO SSE 使用 MinIO 金鑰加密服務 (KES) 和 受支援的外部金鑰管理服務 (KMS) 來大規模執行安全加密操作。MinIO 還支援客戶管理金鑰管理,其中應用程式完全負責建立和管理用於 MinIO SSE 的加密金鑰。
MinIO SSE-KMS 使用由金鑰管理系統 (KMS) 管理的外部金鑰 (EK) 加密或解密物件。每個儲存桶和物件都可以有一個單獨的 EK,支援部署中更精細的加密操作。MinIO 只有在可以存取 KMS 和用於加密該物件的 EK 時,才能解密物件。
您可以使用 mc encrypt set 命令啟用儲存桶預設的 SSE-KMS 加密
mc encrypt set sse-kms EXTERNALKEY play/mybucket
將
EXTERNALKEY替換為用於加密儲存桶中物件的 EK 名稱。將
play/mybucket替換為您想要啟用自動 SSE-KMS 加密的別名和儲存桶。
MinIO SSE-KMS 在功能上與 AWS S3 使用儲存在 AWS 中的 KMS 金鑰的伺服器端加密 相容,同時擴展支援以包括以下 KMS 提供商
快速入門
重要事項
在 MinIO 部署上啟用 SSE 會使用預設加密金鑰自動加密該部署的後端資料。
MinIO 需要 存取 KES 和外部 KMS 才能解密後端並正常啟動。KMS 必須 維護並提供對 MINIO_KMS_KES_KEY_NAME 的存取權限。您無法稍後停用 KES,或在稍後「復原」SSE 組態。
以下程序使用 play MinIO KES 沙箱,以在評估和早期開發環境中支援使用 SSE-KMS 的 SSE。
對於擴展開發或生產環境,請使用以下支援的外部金鑰管理服務 (KMS) 之一
重要事項
MinIO KES Play 沙箱是公開的,並授予對所有已建立的外部金鑰 (EK) 的根存取權。在 Play 沙箱中儲存的任何 EK 都可能隨時被存取或銷毀,導致受保護的資料變得脆弱或永久無法讀取。
切勿使用
Play沙箱來保護您無法承受損失或洩露的資料。切勿使用洩露您組織的私人、機密或內部命名慣例的名稱來產生 EK。
切勿在生產環境中使用
Play沙箱。
此程序需要以下元件
在具有網際網路連線的機器上安裝 MinIO 金鑰加密服務 (KES)。請參閱
kes入門指南,以取得下載、安裝和設定 KES 的說明。
1) 建立用於 SSE-KMS 加密的加密金鑰
使用 kes 命令列工具來建立新的外部金鑰 (EK),以用於 SSE-KMS 加密。
以下命令會擷取 play KES 伺服器的根 身分
curl -sSL --tlsv1.2 \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'
在終端機或 shell 中設定以下環境變數
export KES_CLIENT_KEY=root.key
export KES_CLIENT_CERT=root.cert
|
KES 伺服器上 身分的私密金鑰。該身分必須至少授予對 |
|---|---|
|
KES 伺服器上 身分的對應憑證。此步驟使用 MinIO |
以下命令透過 KES 建立新的 EK。
kes key create my-minio-sse-kms-key
本教學課程使用範例名稱 my-minio-sse-kms-key,以方便參考。請指定唯一的金鑰名稱,以防止與現有金鑰發生衝突。
2) 設定 MinIO 以進行 SSE-KMS 物件加密
在部署中每部 MinIO 伺服器主機的 shell 或終端機中指定以下環境變數
export MINIO_KMS_KES_ENDPOINT=https://play.min.io:7373
export MINIO_KMS_KES_API_KEY=<API-key-identity-string-from-KES> # Replace with the key string for your credentials
export MINIO_KMS_KES_KEY_NAME=my-minio-sse-s3-key
注意
API 金鑰是向 KES 伺服器進行驗證的首選方式,因為它為 KES 伺服器提供了簡化且安全的驗證程序。
或者,指定
MINIO_KMS_KES_KEY_FILE和MINIO_KMS_KES_CERT_FILE,而不是MINIO_KMS_KES_API_KEY。API 金鑰與基於憑證的驗證互斥。請指定 API 金鑰變數或金鑰檔案和憑證檔案變數。
此網站上的文件使用 API 金鑰。
MinIO |
|
KES 產生的 MinIO 部署 API 金鑰。API 金鑰的身分必須授予建立、產生和解密金鑰的權限。 API 金鑰是向 KES 伺服器進行驗證的首選方式。如果情況需要,請指定 |
|
用於執行 SSE 加密作業的外部金鑰 (EK) 名稱。KES 會從已設定的金鑰管理服務 (KMS) 擷取 EK。請指定在上一個步驟中建立的金鑰名稱。 |
3) 重新啟動 MinIO 部署以啟用 SSE-KMS
您必須重新啟動 MinIO 部署才能套用組態變更。請使用 mc admin service restart 命令來重新啟動部署。
mc admin service restart ALIAS
將 ALIAS 取代為要重新啟動的部署的 別名。
4) 設定自動儲存貯體加密
使用 mc encrypt set 命令,以啟用對寫入特定儲存貯體的所有物件的自動 SSE-KMS 保護。
mc encrypt set sse-kms my-minio-sse-kms-key ALIAS/BUCKET
寫入指定儲存貯體的物件會使用指定的 EK 自動加密。
針對您要在其中啟用自動 SSE-KMS 加密的每個儲存貯體重複此步驟。您可以針對每個儲存貯體或儲存貯體首碼產生額外的金鑰,使得每個 EK 的範圍限制在物件的子集中。
安全清除和鎖定
SSE-KMS 會使用 EK 來保護物件,該 EK 要麼指定為儲存貯體自動加密設定的一部分,要麼指定為寫入操作的一部分。因此,MinIO 需要存取該 EK 才能解密該物件。
停用 EK 會暫時鎖定使用該 EK 加密的物件,使其無法讀取。您稍後可以啟用 EK,以恢復對這些物件的正常讀取操作。
刪除 EK 會使所有使用該 EK 加密的物件永久無法讀取。如果 KMS 沒有或不支援 EK 的備份,則此程序是不可逆的。
單個 EK 的範圍取決於
哪些儲存貯體指定該 EK 以進行自動 SSE-KMS 加密,以及
哪些寫入操作在要求 SSE-KMS 加密時指定了該 EK。
例如,考慮使用每個儲存貯體一個 EK 的 MinIO 部署。停用單個 EK 會使相關儲存貯體中的所有物件無法讀取,而不會影響其他儲存貯體。如果部署改為對所有物件和儲存貯體使用一個 EK,則停用該 EK 會使部署中的所有物件無法讀取。
加密程序
注意
本節說明 MinIO 內部邏輯和功能。此資訊純粹是教育性質,並非設定或實作任何 MinIO 功能的先決條件。
SSE-KMS 使用已設定的金鑰管理系統 (KMS) 管理的外部金鑰 (EK) 來執行密碼編譯作業並保護物件。下表說明了加密程序的每個階段
階段 |
說明 |
|---|---|
啟用 SSE 的寫入操作 |
MinIO 接收到請求使用 SSE-KMS 加密的寫入操作。該寫入操作必須具備關聯的外部金鑰 (External Key, EK) 才能用於加密物件。
|
產生資料加密金鑰 (Data Encryption Key, DEK) |
MinIO 使用 EK 產生資料加密金鑰 (DEK)。具體來說,MinIO 金鑰加密服務 (KES) 會使用 EK 作為「根」金鑰,向 KMS 請求新的加密金鑰。 KES 會同時返回 DEK 的明文和使用 EK 加密後的表示形式。MinIO 會將加密後的表示形式儲存為物件中繼資料的一部分。 |
產生金鑰加密金鑰 (Key Encryption Key, KEK) |
MinIO 使用確定性演算法來產生一個 256 位元的唯一金鑰加密金鑰 (KEK)。金鑰衍生演算法使用虛擬隨機函數,該函數會使用明文的 DEK、隨機產生的初始化向量,以及包含儲存桶和物件名稱等數值的上下文。 MinIO 會在每次加密或解密操作時產生 KEK,絕不將 KEK 儲存到磁碟機。 |
產生物件加密金鑰 (Object Encryption Key, OEK) |
MinIO 會產生一個隨機的 256 位元唯一物件加密金鑰 (OEK),並使用該金鑰來加密物件。MinIO 絕不會將 OEK 的明文表示形式儲存在磁碟機上。明文的 OEK 在加密操作期間會駐留在 RAM 中。 |
加密物件 |
MinIO 會使用 OEK 來加密物件,然後再將物件儲存到磁碟機。接著,MinIO 會使用 KEK 來加密 OEK。 MinIO 會將 OEK 和 DEK 的加密表示形式儲存為中繼資料的一部分。 |
對於讀取操作,MinIO 會先擷取 EK 以解密 DEK,然後解密物件。接著,MinIO 會重新產生 KEK、解密 OEK,並解密物件。
