AWS Secrets Manager

AWS Secrets Manager 充当密码、访问令牌和加密密钥等密钥的键值存储。AWS 使用 AWS Key Management Service (AWS-KMS) 对这些密钥进行加密。

本教程介绍如何设置使用 AWS Secrets Manager 作为持久密钥存储的 KES 服务器，该存储由 AWS-KMS 保护。

AWS Secrets Manager

先决条件

您需要一个 AWS 访问密钥和 AWS 秘密密钥对，该密钥对具有足够的 IAM 策略权限来创建、检索和删除 AWS Secrets Manager 中的密钥。

创建 AWS 访问/秘密密钥对
- 转到 AWS 控制台
- 创建一个新用户
  
  有关添加新 AWS 用户的详细信息，请参阅 AWS 文档。
- 使用“编程访问”类型创建新的访问密钥/秘密密钥对

附加 AWS 策略

将策略或策略附加到新用户，以授予对 AWS Secrets Manager 和 AWS-KMS 的访问权限。

您的 AWS IAM 用户需要具有以下权限

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1578498399136",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:DeleteSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:ListSecrets"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1578498562539",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:Encrypt"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

此示例策略允许访问所有 KMS 和 SecretsManager 资源。您可以通过指定一个AWS ARN作为Resource而不是*来限制访问权限。

AWS 提供了预定义的策略（SecretsManagerReadWrite 和 AWSKeyManagementServicePowerUser）。但是，这些策略授予的权限超出了实际需求。

KES 服务器设置

生成 KES 服务器私钥和证书

首先，我们需要为 KES 服务器生成一个 TLS 私钥和证书。KES 服务器默认情况下是安全的，只能在 TLS 环境下运行。为了简便起见，这里使用自签名证书。

以下命令将生成一个新的 TLS 私钥/公钥对，以及一个用于 IP 地址 127.0.0.1 的证书，其 DNS 名称是 localhost。
```
$ kes identity new --ip "127.0.0.1" localhost

  Private key:  private.key
  Certificate:  public.crt
  Identity:     2e897f99a779cf5dd147e58de0fe55a494f546f4dcae8bc9e5426d2b5cd35680
```
如果您已经拥有 TLS 私钥和证书，例如来自 WebPKI 或内部 CA，您可以使用它们代替。请记住稍后调整 tls 配置部分。

生成客户端凭据

以下命令将生成一个新的 TLS 私钥/公钥对

$ kes identity new --key=client.key --cert=client.crt MyApp

  Private key:  client.key
  Certificate:  client.crt
  Identity:     02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b

Identity 是 client.crt 中公钥的唯一指纹，您可以随时重新计算它。

$ kes identity of client.crt

  Identity:  02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b

配置 KES 服务器

创建 KES 服务器的配置文件：config.yml。身份信息**必须**与 client.crt 身份的策略部分中的身份信息相匹配。

address: 0.0.0.0:7373 # Listen on all network interfaces on port 7373

admin:
  identity: disabled  # We disable the admin identity since we don't need it in this guide 

tls:
  key: private.key    # The KES server TLS private key
  cert: public.crt    # The KES server TLS certificate

policy:
  my-app: 
    allow:
    - /v1/key/create/my-key*
    - /v1/key/generate/my-key*
    - /v1/key/decrypt/my-key*
    identities:
    - 02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b # Use the identity of your client.crt

keystore:
     aws:
       secretsmanager:
         endpoint: secretsmanager.us-east-2.amazonaws.com  # Use the SecretsManager in your region.
         region:   us-east-2                               # Use your region
         kmskey:   ""                                      # Your AWS-KMS master key (CMK) - optional.
         credentials:
           accesskey: "" # Your AWS Access Key
           secretkey: "" # Your AWS Secret Key

启动 KES 服务器
```
$ kes server --config config.yml --auth off
```
Linux 交换保护
在 Linux 环境中，KES 可以使用 mlock 系统调用来阻止操作系统将内存中的数据写入磁盘（交换）。这可以防止敏感数据泄露。

使用以下命令允许 KES 使用 mlock 系统调用，而无需以 root 权限运行
```
sudo setcap cap_ipc_lock=+ep $(readlink -f $(which kes))
```
启动具有内存保护的 KES 服务器实例
```
kes server --config config.yml --auth off --mlock
```

KES CLI 访问

设置 KES_SERVER 端点

此环境变量告诉 KES CLI 应该连接到哪个服务器。
```
$ export KES_SERVER=https://127.0.0.1:7373
```
使用客户端凭据

以下环境变量设置 KES CLI 用于与 KES 服务器通信的访问凭据。
```
$ export KES_CLIENT_CERT=client.crt
```
```
$ export KES_CLIENT_KEY=client.key
```

测试访问

执行任何基于我们分配的策略允许的 API 操作。

例如，要创建密钥

$ kes key create my-key-1

使用密钥生成一个新的数据加密密钥

$ kes key dek my-key-1
{
  plaintext : UGgcVBgyQYwxKzve7UJNV5x8aTiPJFoR+s828reNjh0=
  ciphertext: eyJhZWFkIjoiQUVTLTI1Ni1HQ00tSE1BQy1TSEEtMjU2IiwiaWQiOiIxMTc1ZjJjNDMyMjNjNjNmNjY1MDk5ZDExNmU3Yzc4NCIsIml2IjoiVHBtbHpWTDh5a2t4VVREV1RSTU5Tdz09Iiwibm9uY2UiOiJkeGl0R3A3bFB6S21rTE5HIiwiYnl0ZXMiOiJaaWdobEZrTUFuVVBWSG0wZDhSYUNBY3pnRWRsQzJqWFhCK1YxaWl2MXdnYjhBRytuTWx0Y3BGK0RtV1VoNkZaIn0=
}

将 KES 与 MinIO 服务器一起使用

MinIO 服务器需要 KES 来启用服务器端数据加密。

请参阅用于 MinIO 的 KES 指导手册，了解将新 KES 服务器与 MinIO 服务器一起使用所需的额外步骤。

配置参考

以下部分介绍了用于将 AWS Secrets Manager 和 AWS Key Management System 作为根 KMS 来存储外部密钥（例如用于 MinIO 服务器上的服务器端加密的密钥）的 Key Encryption Service (KES) 配置设置。

MinIO 服务器需要扩展的权限

从 MinIO 服务器 RELEASE.2023-02-17T17-52-43Z 开始，MinIO 需要扩展的 KES 权限才能实现功能。本节中的示例配置包含所有必需的权限。

YAML 概述

带有 ${<STRING>} 的字段使用与 <STRING> 值匹配的环境变量。您可以使用此功能来设置凭据，而无需将它们写入配置文件。

YAML 假设访问 KES 的 MinIO 部署权限集最小。作为替代方案，您可以省略 policy.minio-server 部分，而是将 ${MINIO_IDENTITY} 哈希值设置为 ${ROOT_IDENTITY}。

address: 0.0.0.0:7373
root: ${ROOT_IDENTITY}

tls:
  key: kes-server.key
  cert: kes-server.cert

api:
  /v1/ready:
    skip_auth: false
    timeout:   15s

policy:
  minio-server:
    allow:
    - /v1/key/create/*
    - /v1/key/generate/*
    - /v1/key/decrypt/*
    - /v1/key/bulk/decrypt
    - /v1/key/list/*
    - /v1/status
    - /v1/metrics
    - /v1/log/audit
    - /v1/log/error
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - ${MINIO_IDENTITY}

    my-app:
    allow:
    - /v1/key/create/my-app*
    - /v1/key/generate/my-app*
    - /v1/key/decrypt/my-app*
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - df7281ca3fed4ef7d06297eb7cb9d590a4edc863b4425f4762bb2afaebfd3258
    - c0ecd5962eaf937422268b80a93dde4786dc9783fb2480ddea0f3e5fe471a731

keys:
  - name: "minio-encryption-key-alpha"
  - name: "minio-encryption-key-baker"
  - name: "minio-encryption-key-charlie"

cache:
  expiry:
    any: 5m0s
    unused: 20s
    offline: 0s

log:

  # Log error events to STDERR. Valid values are "on" or "off". 
  # Default is "on". 
  error: on

  # Log audit events to STDOUT. Valid values are "on" and "off". 
  # Default is "off". 
  audit: off

keystore:
  aws:
    # See: https://aws.amazon.com/secrets-manager
    secretsmanager:
      endpoint: secretsmanager.REGION.amazonaws
      region: REGION 
      kmskey: "" 
      credentials: 
        accesskey: "${AWS_ACCESS_KEY}" 
        secretkey: "${AWS_SECRET_KEY}" 
        token: ""

参考

有关完整文档，请参阅配置页面。

密钥	描述
`address`	KES 服务器在启动时监听的网络地址和端口。默认情况下，端口为 `7373`，位于所有主机网络接口上。
`root`	KES 超级用户（`root`）身份的标识。使用其哈希值（`kes identity of client.cert`）与该值匹配的 TLS 证书连接的客户端可以访问所有 KES API 操作。指定 `disabled` 可移除根身份，并仅依赖于 `policy` 配置来控制对 KES 的身份和访问管理。
`tls`	KES 用于建立 TLS 安全通信的 TLS 私钥和证书。分别将私钥 `.key` 和公钥 `.cert` 的完整路径指定给 `key` 和 `cert` 字段。
`policy`	指定一个或多个策略来控制对 KES 服务器的访问。MinIO SSE 需要访问以下 KES 密码学 API `/v1/key/create/` `/v1/key/generate/` `/v1/key/decrypt/` 指定其他密钥不会扩展 MinIO SSE 功能，并且可能会违反有关向客户端提供对密码学密钥操作的不必要访问权限的安全最佳实践。您可以通过在 `.` 之前指定前缀来限制 MinIO 可以创建的密钥名称范围。例如，`minio-sse-*` 仅授予对使用 `minio-sse-` 前缀创建、生成或解密密钥的访问权限。 KES 使用 mTLS 通过将 TLS 证书的哈希值与每个配置策略的 `identities` 进行比较来授权连接的客户端。使用 `kes identity of` 命令计算 MinIO mTLS 证书的身份，并将其添加到 `policy.<NAME>.identities` 数组中，以将 MinIO 与 `<NAME>` 策略关联起来。
`keys`	指定一个密钥数组，这些密钥必须存在于根 KMS 上，才能使 KES 成功启动。如果密钥不存在，KES 会尝试创建这些密钥，如果无法创建其中一个或多个密钥，则会退出并显示错误。在完成所有指定密钥的验证之前，KES 不会接受任何客户端请求。
`cache`	指定以 `#d#h#m#s` 格式缓存的密钥的过期时间。如果 KMS 暂时不可用，可能会使用未过期的密钥。可以为 `any` 密钥、`unused` 密钥或 `offline` 密钥设置条目。如果未设置，KES 使用以下值：所有密钥为 `5m`，未使用密钥为 `20s`，脱机密钥为 `0s`。
`log`	启用或禁用将 `error` 和 `audit` 类型的日志事件输出到控制台。
`keystore.aws.secretsmanager`	使用此部分值来配置 AWS Secrets Manager 和 AWS KMS。
`keystore.aws.secretsmanager.endpoint`	Secrets Manager 服务的端点，包括区域。例如，`secretsmanager.us-east-1.amazonaws.com`。
`keystore.aws.secretsmanager.region`	用于其他 AWS 服务的 AWS 区域。
`keystore.aws.secretsmanager.kmskey`	用于密码学操作的根 KMS 密钥。以前称为客户主密钥。
`keystore.aws.secretsmanager.credentials`	用于对 Secrets Manager 和 KMS 执行身份验证操作的 AWS 凭据。指定的凭据必须具有适当的权限。分别为 `accesskey` 和 `secretkey` 创建条目。`token` 的条目通常是可选的。