Erasure Code 計算機 
參考硬體 伺服器端加密每個部署金鑰 (SSE-S3)
MinIO 伺服器端加密 (SSE) 作為寫入操作的一部分保護物件,允許用戶端利用伺服器處理能力來保護儲存層的物件 (靜態加密)。SSE 還為圍繞安全鎖定和抹除的法規和合規要求提供金鑰功能。
MinIO SSE 使用 MinIO 金鑰加密服務 (KES) 和外部金鑰管理服務 (KMS) 來大規模執行安全的加密操作。MinIO 還支援用戶端管理的金鑰管理,應用程式完全負責建立和管理用於 MinIO SSE 的加密金鑰。
MinIO SSE-S3 使用由金鑰管理系統 (KMS) 管理的外部金鑰 (EK) 加密/解密物件。您必須使用 MINIO_KMS_KES_KEY_NAME 環境變數在啟動 MinIO 伺服器時指定 EK。MinIO 對所有 SSE-S3 加密操作使用相同的 EK。
您可以使用 mc encrypt set 命令啟用儲存貯體預設的 SSE-S3 加密。
mc encrypt set sse-s3 play/mybucket
將
play/mybucket替換為您要啟用自動 SSE-KMS 加密的別名和儲存貯體。
MinIO SSE-S3 在功能上與 AWS S3 使用 Amazon S3 管理的金鑰進行伺服器端加密 相容,同時擴展支援以包括以下 KMS 提供者
快速入門
重要
在 MinIO 部署上啟用 SSE 會使用預設加密金鑰自動加密該部署的後端資料。
MinIO 需要 存取 KES 和外部 KMS,才能解密後端並正常啟動。KMS 必須 維護並提供對 MINIO_KMS_KES_KEY_NAME 的存取權。您稍後無法停用 KES,也無法「復原」稍後的 SSE 設定。
下列程序使用 play MinIO KES 沙箱,以在評估和早期開發環境中支援使用 SSE-S3 的 SSE。
若為擴展開發或生產環境,請使用下列支援的外部金鑰管理服務 (KMS) 之一
重要
MinIO KES Play 沙箱是公開的,並授予所有建立的外部金鑰 (EK) 根存取權。任何儲存在 Play 沙箱中的 EK 都可以隨時被存取或銷毀,導致受保護的資料容易受到攻擊或永久無法讀取。
絕對不要 使用
Play沙箱來保護您無法承擔遺失或洩漏風險的資料。絕對不要 使用會洩漏您組織的私人、機密或內部命名慣例的名稱來產生 EK。
絕對不要 將
Play沙箱用於生產環境。
此程序需要下列元件
在具有網際網路存取權的機器上安裝 MinIO 金鑰加密服務 (KES)。如需下載、安裝和設定 KES 的指示,請參閱 KES 的 開始使用 指南。
1) 建立用於 SSE-S3 加密的加密金鑰
使用 kes 命令列工具來建立新的外部金鑰 (EK),以用於 SSE-S3 加密。
下列命令會擷取連線至 KES play 沙箱的 KES 伺服器的根 身分
curl -sSL --tlsv1.2 \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'
在終端機或 Shell 中設定下列環境變數
export KES_CLIENT_KEY=root.key
export KES_CLIENT_CERT=root.cert
|
KES 伺服器上 身分的私密金鑰。該身分必須至少授與對 |
|---|---|
|
KES 伺服器上 身分的對應憑證。此步驟會使用 MinIO |
下列命令會透過 KES CLI 建立新的 EK
kes key create my-minio-sse-s3-key
本教學課程使用範例名稱 my-minio-sse-s3-key,以方便參考。指定唯一的金鑰名稱,以避免與現有金鑰發生衝突。
2) 設定 MinIO 以進行 SSE-S3 物件加密
在部署中每個 MinIO 伺服器主機的 Shell 或終端機中指定下列環境變數
export MINIO_KMS_KES_ENDPOINT=https://play.min.io:7373
export MINIO_KMS_KES_API_KEY=<API-key-identity-string-from-KES> # Replace with the key string for your credentials
export MINIO_KMS_KES_KEY_NAME=my-minio-sse-s3-key
注意
API 金鑰是與 KES 伺服器進行驗證的首選方式,因為它為 KES 伺服器提供了簡化且安全的驗證程序。
或者,指定
MINIO_KMS_KES_KEY_FILE和MINIO_KMS_KES_CERT_FILE,而不是MINIO_KMS_KES_API_KEY。API 金鑰與基於憑證的驗證互斥。指定 API 金鑰變數或金鑰檔案和憑證檔案變數其中之一。
本網站上的文件使用 API 金鑰。
MinIO |
|
對應於 KES 服務上 身分的私密金鑰檔案。該身分必須授與建立、產生和解密金鑰的權限。指定與上一個步驟中 |
|
對應於 KES 服務上 身分的公開憑證檔案。該身分必須授與建立、產生和解密金鑰的權限。指定與上一個步驟中 |
|
用於執行 SSE 加密操作的外部金鑰 (EK) 名稱。KES 從設定的金鑰管理系統 (KMS) 中擷取 EK。指定在上一個步驟中建立的金鑰名稱。 |
3) 重新啟動 MinIO 部署以啟用 SSE-S3
您必須重新啟動 MinIO 部署才能套用組態變更。使用 mc admin service restart 命令重新啟動部署。
mc admin service restart ALIAS
將 ALIAS 取代為要重新啟動之部署的 別名。
4) 設定自動儲存貯體加密
選用
如果您僅打算使用用戶端驅動的 SSE-S3,則可以跳過此步驟。
使用 mc encrypt set 命令,以對寫入特定儲存貯體的所有物件啟用自動 SSE-S3 保護。
mc encrypt set sse-s3 ALIAS/BUCKET
安全抹除和鎖定
SSE-S3 會使用伺服器啟動時使用 MINIO_KMS_KES_KEY_NAME 環境變數指定的 EK 來保護物件。因此,MinIO 需要存取該 EK 才能解密該物件。
停用 EK 會暫時鎖定部署中經過 SSE-S3 加密的物件,使其無法讀取。您稍後可以啟用 EK 以恢復正常的讀取操作。
刪除 EK 會導致部署中所有經過 SSE-S3 加密的物件永久無法讀取。如果 KMS 沒有或不支援 EK 的備份,則此程序是不可逆的。
EK 的範圍取決於
哪些儲存貯體指定了自動 SSE-S3 加密,以及
哪些寫入操作要求了 SSE-S3 加密。
加密程序
注意
以下章節說明 MinIO 內部邏輯和功能。此資訊純粹是教育性質,對於設定或實作任何 MinIO 功能並非必要。
SSE-S3 使用由設定的金鑰管理系統 (KMS) 管理的外部金鑰 (EK),來執行密碼編譯操作和保護物件。下表說明加密程序的每個階段
階段 |
描述 |
|---|---|
啟用 SSE 的寫入操作 |
MinIO 接收一個要求使用 SSE-S3 加密的寫入操作。MinIO 使用指定的金鑰名稱,即 |
產生資料加密金鑰(Data Encryption Key,DEK) |
MinIO 使用 EK 產生資料加密金鑰(DEK)。具體而言,MinIO 金鑰加密服務(KES)會使用 EK 作為「根」金鑰,向金鑰管理服務(KMS)請求一個新的加密金鑰。 KES 會返回 DEK 的純文字版本*以及*一個使用 EK 加密過的版本。MinIO 會將加密過的版本儲存為物件元數據的一部分。 |
產生金鑰加密金鑰(Key Encryption Key,KEK) |
MinIO 使用決定性演算法產生一個 256 位元的唯一金鑰加密金鑰(KEK)。金鑰衍生演算法使用一個偽隨機函數,該函數會使用純文字的 DEK、一個隨機產生的初始化向量,以及一個包含諸如 bucket 和物件名稱等值的上下文。 MinIO 在每次加密或解密操作時產生 KEK,並且*永遠不會*將 KEK 儲存到磁碟上。 |
產生物件加密金鑰(Object Encryption Key,OEK) |
MinIO 產生一個隨機的 256 位元唯一物件加密金鑰(OEK),並使用該金鑰來加密物件。MinIO 永遠不會將 OEK 的純文字版本儲存到磁碟上。純文字的 OEK 會在加密操作期間存在於 RAM 中。 |
加密物件 |
MinIO 使用 OEK 來加密物件,*然後*才將物件儲存到磁碟上。接著,MinIO 使用 KEK 來加密 OEK。 MinIO 會將 OEK 和 DEK 的加密版本儲存為元數據的一部分。 |
