使用每存储桶密钥的服务器端加密 (SSE-KMS)
MinIO 服务端加密(SSE)在写入操作过程中保护对象,使客户端能够利用服务器处理能力在存储层保护对象(静态加密)。 SSE 还为安全锁定和擦除方面的法规与合规要求提供了关键功能。
MinIO SSE 使用MinIO Key Encryption Service (KES)和一个支持的外部密钥管理服务 (KMS)用于大规模执行安全加密操作。 MinIO 还支持客户端管理的密钥管理,应用程序可全权负责创建和管理用于 MinIO SSE 的加密密钥。
MinIO SSE-KMS 使用由密钥管理系统(KMS)管理的外部密钥(EK)对对象进行加密或解密。 每个存储桶和对象都可以拥有独立的EK支持在部署中实现更细粒度的加密操作。 MinIO 只有在能够同时访问 KMS 的情况下才能解密对象。和theEK用于加密该对象。
您可以使用桶默认的SSE-KMS加密功能来启用mc encrypt set命令:
mc encrypt set sse-kms EXTERNALKEY play/mybucket
替换
EXTERNALKEY名为EK用于加密存储桶中对象的替换
play/mybucket随着alias以及您想要启用自动 SSE-KMS 加密的存储桶。
MinIO SSE-KMS 在功能上与 AWS S3 兼容使用存储在 AWS 中的 KMS 密钥进行服务器端加密同时扩展支持以包含以下 KMS 提供商:
快速入门
重要
启用SSE在 MinIO 部署中自动使用默认加密密钥对该部署的后端数据进行加密。
MinIO需要访问 KES 和外部 KMS 以解密后端并正常启动。
KMS必须维护并提供对...的访问权限MINIO_KMS_KES_KEY_NAME您之后无法禁用 KES 或"撤销"该操作SSE稍后进行配置。
以下过程使用playMinIOKES沙盒用于
支持SSE在评估和早期开发环境中使用 SSE-KMS。
对于扩展开发或生产环境,请使用以下受支持的外部密钥管理服务(KMS)之一:
重要
MinIO KESPlaysandbox 是公开的,并授予所有创建的外部密钥(EK)根访问权限。
任何EK存储在Play沙盒可能随时被访问或销毁,导致受保护的数据易受攻击或永久无法读取。
从不使用
Play沙盒,用于保护您无法承受丢失或泄露的数据。从不生成EK使用暴露组织私有、机密或内部命名约定的名称。
从不使用
Play生产环境的沙箱。
此过程需要以下组件:
安装MinIO Key Encryption Service (KES)在一台可以访问互联网的机器上。 请参阅
kes入门指南有关下载、安装和配置 KES 的指南说明。
1) 为 SSE-KMS 加密创建加密密钥
使用咳嗽用于创建新外部密钥(EK)的命令行工具,该密钥可与SSE-KMS加密配合使用。
以下命令检索根目录身份对于playKES服务器:
curl -sSL --tlsv1.2 \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'
在终端或shell中设置以下环境变量:
export KES_CLIENT_KEY=root.key
export KES_CLIENT_CERT=root.cert
|
用于身份在 KES 服务器上。
该身份必须至少授予对以下内容的访问权限: |
|---|---|
|
相应的证书身份在 KES 服务器上。
此步骤使用 |
以下命令创建一个新的EK通过 KES。
kes key create my-minio-sse-kms-key
本教程使用示例my-minio-sse-kms-key为便于引用,请指定一个唯一的键名,以避免与现有键发生冲突。
2) 配置 MinIO 以启用 SSE-KMS 对象加密
在部署中的每个 MinIO 服务器主机的 shell 或终端中指定以下环境变量:
export MINIO_KMS_KES_ENDPOINT=https://play.min.io:7373
export MINIO_KMS_KES_API_KEY=<API-key-identity-string-from-KES> # Replace with the key string for your credentials
export MINIO_KMS_KES_KEY_NAME=my-minio-sse-s3-key
Note
API密钥是与KES服务器进行身份验证的首选方式,因为它为KES服务器提供了简化且安全的身份验证流程。
或者,指定
MINIO_KMS_KES_KEY_FILE和MINIO_KMS_KES_CERT_FILE而不是MINIO_KMS_KES_API_KEY.API keys与基于证书的身份验证是互斥的。 指定要么API密钥变量or密钥文件和证书文件变量。
本网站的文档使用 API 密钥。
MinIO 的端点 |
|
API密钥由 KES 生成对于 MinIO 部署。 API 密钥的身份必须授予创建、生成和解密密钥的权限。 API key 是与 KES 服务器进行身份验证的首选方式。
如果情况需要,请指定 |
|
用于执行 SSE 加密操作的外部密钥(EK)名称。 KES 将检索该EK来自已配置的密钥管理服务(KMS)。 请指定上一步中创建的密钥名称。 |
3) 重启 MinIO 部署以启用 SSE-KMS
您必须重启 MinIO 部署以使配置更改生效。
使用mc admin service restart重启部署的命令。
mc admin service restart ALIAS
替换ALIAS随着别名部署的重启。
4) 配置存储桶自动加密
使用mc encrypt set启用对写入特定存储桶的所有对象自动进行 SSE-KMS 保护的命令。
mc encrypt set sse-kms my-minio-sse-kms-key ALIAS/BUCKET
写入指定存储桶的对象将自动使用指定的加密方式进行加密EK.
对要启用自动 SSE-KMS 加密的每个存储桶重复此步骤。 您可以为每个存储桶或存储桶前缀生成额外密钥,从而确定每个密钥的作用范围。EK仅限于对象的一个子集。
安全擦除与锁定
SSE-KMS 使用密钥管理服务保护对象EK指定为存储桶自动加密设置的一部分or作为写入操作的一部分。 MinIO 因此需要访问该EK用于解密该对象。
禁用EK暂时锁定使用该密钥加密的对象EK通过使它们无法读取。您稍后可以启用EK恢复对这些对象的正常读取操作。
删除EK渲染所有由该对象加密的对象EK 永久地不可读。如果 KMS 没有或不支持备份EK这个过程是不可逆的.
单个的范围EK取决于:
哪些存储桶指定了EK对于自动SSE-KMS加密,和
指定的写入操作有哪些EK当请求 SSE-KMS 加密时。
例如,考虑一个使用单节点的MinIO部署EK每个存储桶。 禁用单个EK使关联存储桶中的所有对象变得不可读,而不会影响其他存储桶。如果部署改为使用一个EK对于所有对象和存储桶,禁用该功能EK使部署中的所有对象都变为不可读。
加密过程
Note
本节介绍 MinIO 的内部逻辑和功能。 这些信息仅供学习参考,并非配置或实现任何 MinIO 功能的先决条件。
SSE-KMS 使用由配置的密钥管理系统(KMS)管理的外部密钥(EK)来执行加密操作并保护对象。 下表描述了加密过程的每个阶段:
阶段 |
描述 |
|---|---|
SSE-Enabled Write Operation |
MinIO 接收到一个请求 SSE-KMS 加密的写入操作。 该写入操作必须有一个关联的外部密钥(EK)可用于加密该对象。
|
生成数据加密密钥(DEK) |
MinIO 使用EK具体来说,MinIO Key Encryption Service (KES)向 KMS 请求一个新的加密密钥EK作为"root"键。 KES 同时返回明文和 an EK- DEK 的加密表示形式。 MinIO 将加密表示形式存储为对象元数据的一部分。 |
生成密钥加密密钥 (KEK) |
MinIO使用确定性算法生成256位唯一的密钥加密密钥(KEK)。 密钥派生算法采用伪随机函数,该函数接收明文DEK一个随机生成的初始化向量,以及包含存储桶和对象名称等值的上下文。 MinIO 在每次加密或解密操作时生成 KEK,从不将 KEK 存储到驱动器。 |
生成对象加密密钥(OEK) |
MinIO 生成一个随机的 256 位唯一对象加密密钥(OEK),并使用该密钥对对象进行加密。 MinIO 永远不会在驱动器上存储 OEK 的明文形式。 在加密操作期间,明文 OEK 仅存在于 RAM 中。 |
加密对象 |
MinIO 使用OEK加密该对象之前到将对象存储到驱动器。MinIO 随后对数据进行加密OEK随着KEK. MinIO存储加密后的数据表示形式OEK和DEK作为元数据的一部分。 |
对于读取操作,MinIO通过检索来解密对象EK解密DEK然后 MinIO 重新生成KEK, 解密OEK,并解密该对象。
