密钥加密服务设置
MinIO Server 包含三组环境变量,用于管理 MinIO Server 与密钥加密服务(KES)、密钥管理服务(KMS)或静态密钥文件的交互方式。 您只能定义这三组环境变量中的一组。 如果定义了多种类型的环境变量集,MinIO 将返回错误。
Note
这些设置没有用于配置的设置选项mc admin config set.
在启动或重启 MinIO 进程之前,请在主机系统中定义以下任意一组环境变量。 有关如何定义环境变量的具体操作,请参阅您操作系统的文档。
重要
每个配置设置控制着 MinIO 的基本行为和功能。 MinIO强烈建议在应用到生产环境之前,先在较低环境(如开发环境或测试环境)中测试配置变更。
密钥加密服务
定义以下变量以使用密钥加密服务(KES)连接到支持的第三方密钥管理服务提供商.
- MINIO_KMS_KES_ENDPOINT
MinIO Key Encryption Service (KES) 进程用于支持 SSE-S3 和 MinIO 后端加密操作的端点。 多个 KES 端点请使用
,.
- MINIO_KMS_KES_KEY_NAME
外部密钥在 KES(密钥加密服务)服务器上配置的密钥管理系统(KMS)中的名称,用于执行加密/解密操作。 MinIO 使用此密钥用于以下用途:
重要
启用SSE在 MinIO 部署中自动使用默认加密密钥对该部署的后端数据进行加密。
MinIO需要访问 KES 和外部 KMS 以解密后端并正常启动。 KMS必须维护并提供对...的访问权限
MINIO_KMS_KES_KEY_NAME您之后无法禁用 KES 或"撤销"该操作SSE稍后进行配置。
- MINIO_KMS_KES_API_KEY
使用从加密服务获取的KES API密钥进行身份验证的首选方法kes identity new命令。
此环境变量与
MINIO_KMS_KES_KEY_FILE和MINIO_KMS_KES_CERT_FILE环境变量。
- MINIO_KMS_KES_KEY_FILE
与私钥相关联的
MINIO_KMS_KES_CERT_FILE用于验证 KES 服务器身份的 x.509 证书。 KES 服务器要求客户端提供其证书以执行双向 TLS(mTLS)验证。查看KES wiki有关 KES 访问控制的更完整文档。
您还必须设置
MINIO_KMS_KES_CERT_FILE这个变量与以下内容互斥:MINIO_KMS_KES_API_KEY.
- MINIO_KMS_KES_CERT_FILE
要呈现给 KES 服务器的 x.509 证书。 KES 服务器要求客户端提供其证书以执行双向 TLS(mTLS)。
KES服务器计算一个身份来自证书并将其与其配置的策略进行比较。 KES服务器授予
minio服务器仅可访问策略明确授予的操作。查看KES wiki有关 KES 访问控制的更完整文档。
您还必须设置
MINIO_KMS_KES_KEY_FILE这个变量与以下内容互斥:MINIO_KMS_KES_API_KEY.
MinIO Key Management Server (KMS)
定义以下变量以供使用MinIO KMS管理密钥。
静态密钥文件
警告
这些设置支持在不依赖外部KMS的情况下对对象进行服务器端加密的早期开发和评估。 请勿在任何长期开发、QA或生产环境中使用这些设置。 参见使用 KES 进行服务端对象加密有关使用 MinIO 密钥加密服务(KES)和外部 KMS 部署 SSE 的指南。
提供一个静态的KMS密钥或密钥文件用于加密。
