Google Cloud Secret Manager

本教程介绍如何设置使用 GCP Secret Manager 作为持久密钥存储的 KES 服务器。

Google Cloud Secret Manager

The Google Cloud Secret Manager 是用于存储机密信息（如密码、访问令牌和加密密钥）的键值存储。

登录 GCP 控制台
创建一个新项目或选择一个现有项目
启用 Secret Manager 服务（如果您的项目尚未启用）。
转到 GCP IAM 用于服务帐户并为 KES 创建一个新的服务帐户。KES 使用此服务帐户来向 GCP 进行身份验证并访问 Secret Manager。
将一个或多个角色分配给新帐户

如果您想快速入门，请分配 Secret Manager Admin 角色。但是，这会授予 KES 比所需更多的权限。

或者，为 KES 创建一个新角色，该角色具有所需的最小权限
```
 secretmanager.secrets.create
 secretmanager.secrets.delete
 secretmanager.secrets.get
```

为服务帐户创建密钥（通过 Actions - Create Key）。

使用 JSON 密钥格式。

GCP 允许您下载一个具有以下结构的 JSON 文件

{
  "type":           "service_account",
  "project_id":     "<your-project-id>",
  "private_key_id": "<your-private-key-id>",
  "private_key":    "-----BEGIN PRIVATE KEY-----\n ... -----END PRIVATE KEY-----\n",
  "client_email":   "<your-service-account>@<your-project-id>.iam.gserviceaccount.com",
  "client_id":      "<your-client-id>"
}

使用此凭据文件配置 KES 以验证 Google Cloud Platform (GCP) 并访问 Secret Manager。

KES 服务器设置

KES 服务器需要 TLS 私钥和证书。

KES 服务器默认情况下是安全的，只能在 TLS 下运行。本教程使用自签名证书来简化操作。

对于生产环境，我们强烈建议您使用由可信证书颁发机构签发的证书。这可以是您的内部 CA 或公共 CA，例如 Let’s Encrypt。

为 KES 服务器生成 TLS 私钥和证书

以下命令生成一个新的 TLS 私钥 server.key 和一个自签名 X.509 证书 server.cert，该证书为 IP 127.0.0.1 和 DNS 名称 localhost（作为 SAN）颁发。自定义命令以匹配您的设置。
```
kes tool identity new --server --key server.key --cert server.cert --ip "127.0.0.1" --dns localhost
```
任何其他用于 X.509 证书生成的工具也能正常工作。例如，您可以使用 openssl
```
$ openssl ecparam -genkey -name prime256v1 | openssl ec -out server.key

$ openssl req -new -x509 -days 30 -key server.key -out server.cert \
    -subj "/C=/ST=/L=/O=/CN=localhost" -addext "subjectAltName = IP:127.0.0.1"
```

为应用程序创建私钥和证书

kes tool identity new --key=app.key --cert=app.cert app

您可以随时计算 app 标识。

kes tool identity of app.cert

创建配置文件 server-config.yml

address: 0.0.0.0:7373
root:    disabled  # We disable the root identity since we don't need it in this guide 

tls:
  key : server.key
  cert: server.cert

policy:
  my-app:
    allow:
    - /v1/key/create/my-app*
    - /v1/key/generate/my-app*
    - /v1/key/decrypt/my-app*
    identities:
    - ${APP_IDENTITY}

keystore:
  gcp:
    secretmanager:
      project_id: "<your-project-id>"                  # Use your GCP project ID
      credentials:
        client_email: "<your-client-email>"            # Use the client email from your GCP credentials file
        client_id: "<your-client-id>"                  # Use the client ID from your GCP credentials file
        private_key_id: "<your-private-key-id"         # Use the private key ID from your GCP credentials file
        private_key: "-----BEGIN PRIVATE KEY----- ..." # Use the private key from your GCP credentials file

在新窗口/标签页中启动 KES 服务器

Linux

export APP_IDENTITY=$(kes tool identity of app.cert)

kes server --config=server-config.yml --auth=off

该命令使用 --auth=off，因为我们的 root.cert 和 app.cert 证书是自签名的。

容器

以下说明使用 Podman 来管理容器。您也可以使用 Docker。

根据您的部署需要修改地址和文件路径。

sudo podman pod create  \
  -p 9000:9000 -p 9001:9001 -p 7373:7373  \
  -v ~/minio-kes-gcp/certs:/certs  \
  -v ~/minio-kes-gcp/minio:/mnt/minio  \
  -v ~/minio-kes-gcp/config:/etc/default/  \
  -n minio-kes-gcp

sudo podman run -dt  \
  --cap-add IPC_LOCK  \
  --name kes-server  \
  --pod "minio-kes-gcp"  \
  -e KES_SERVER=https://127.0.0.1:7373  \
  -e KES_CLIENT_KEY=/certs/kes-server.key  \
  -e KES_CLIENT_CERT=/certs/kes-server.cert  \
  quay.io/minio/kes:2024-01-11T13-09-29Z server  \
    --auth  \
    --config=/etc/default/kes-config.yaml  \

sudo podman run -dt  \
  --name minio-server  \
  --pod "minio-kes-gcp"  \
  -e "MINIO_CONFIG_ENV_FILE=/etc/default/minio"  \
  quay.io/minio/minio:RELEASE.2024-01-31T20-20-33Z server  \
    --console-address ":9001"

您可以使用以下命令验证容器的状态。该命令应该显示三个 pod，一个用于 Pod，一个用于 KES，一个用于 MinIO。

sudo podman container list

在另一个窗口或标签页中，连接到服务器
```
export KES_CLIENT_CERT=app.cert
export KES_CLIENT_KEY=app.key
kes key create -k my-app-key
```
```
export APP_IDENTITY=$(kes tool identity of app.cert)

kes server --config=server-config.yml --auth=off
```
该命令使用 --auth=off，因为我们的 root.cert 和 app.cert 证书是自签名的。

现在，如果您转到 GCP Secret Manager，您应该看到一个名为 my-app-key 的密钥。

从之前创建的 my-app-key 中导出和解密数据密钥

kes key derive -k my-app-key
{
  plaintext : ...
  ciphertext: ...
}

kes key decrypt -k my-app-key <base64-ciphertext>

使用 KES 与 MinIO 服务器

MinIO 服务器需要 KES 才能启用服务器端数据加密。

有关将新 KES 服务器与 MinIO 服务器一起使用所需的其他步骤，请参阅 KES for MinIO 说明指南。

配置参考

以下部分介绍了密钥加密服务 (KES) 配置设置，以使用 Google Cloud Secret Manager 作为根 KMS 来存储外部密钥，例如用于 MinIO 服务器上的服务器端加密的密钥。

MinIO 服务器需要扩展权限

从 MinIO Server RELEASE.2023-02-17T17-52-43Z 开始，MinIO 需要扩展 KES 权限才能实现功能。本节中的示例配置包含所有必需的权限。

YAML 概述

带有 ${<STRING>} 的字段使用与 <STRING> 值匹配的环境变量。您可以使用此功能设置凭据，而无需将其写入配置文件。

YAML 假设访问 KES 的 MinIO 部署具有最少的权限集。或者，您可以省略 policy.minio-server 部分，而是将 ${MINIO_IDENTITY} 哈希设置为 ${ROOT_IDENTITY}。

address: 0.0.0.0:7373
root: ${ROOT_IDENTITY}

tls:
  key: kes-server.key
  cert: kes-server.cert

api:
  /v1/ready:
    skip_auth: false
    timeout:   15s

policy:
  minio-server:
    allow:
    - /v1/key/create/*
    - /v1/key/generate/*
    - /v1/key/decrypt/*
    - /v1/key/bulk/decrypt
    - /v1/key/list/*
    - /v1/status
    - /v1/metrics
    - /v1/log/audit
    - /v1/log/error
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - ${MINIO_IDENTITY}

    my-app:
    allow:
    - /v1/key/create/my-app*
    - /v1/key/generate/my-app*
    - /v1/key/decrypt/my-app*
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - df7281ca3fed4ef7d06297eb7cb9d590a4edc863b4425f4762bb2afaebfd3258
    - c0ecd5962eaf937422268b80a93dde4786dc9783fb2480ddea0f3e5fe471a731

keys:
  - name: "minio-encryption-key-alpha"
  - name: "minio-encryption-key-baker"
  - name: "minio-encryption-key-charlie"

cache:
  expiry:
    any: 5m0s
    unused: 20s
    offline: 0s

log:

  # Log error events to STDERR. Valid values are "on" or "off". 
  # Default is "on".
  error: on

  # Log audit events to STDOUT. Valid values are "on" and "off". 
  # Default is "off".
  audit: off

keystore:
  gcp:
    # https://cloud.google.com/secret-manager
    secretmanager:
      # See: https://cloud.google.com/resource-manager/docs/creating-managing-projects#before_you_begin
      project_id: ""
      endpoint: ""
      # Refer to: https://developers.google.com/identity/protocols/oauth2/scopes
      # If not set, the GCP default scopes are used.
      scopes: 
      - ""
      credentials:
        client_email: 
        client_id:    
        private_key_id: 
        private_key:

参考

有关完整文档，请参阅配置页面。

键	描述
`address`	KES 服务器在启动时监听的网络地址和端口。默认情况下为所有主机网络接口上的端口 `7373`。
`root`	KES 超级用户 (`root`) 标识的标识。使用 TLS 证书连接的客户端，其哈希 (`kes identity of client.cert`) 与此值匹配，将有权访问所有 KES API 操作。指定 `disabled` 以删除 root 标识，并且仅依赖 `policy` 配置来控制对 KES 的标识和访问管理。
`tls`	KES 用于建立 TLS 安全通信的 TLS 私钥和证书。分别为私钥 `.key` 和公钥 `.cert` 指定完整路径到 `key` 和 `cert` 字段。
`policy`	指定一个或多个策略来控制对 KES 服务器的访问。MinIO SSE 需要访问以下 KES 密码 API `/v1/key/create/` `/v1/key/generate/` `/v1/key/decrypt/` 指定其他键不会扩展 MinIO SSE 功能，并且可能违反有关向客户端提供对密码密钥操作的不必要访问权限的安全最佳实践。您可以在执行 SSE 的过程中限制 MinIO 可以创建的密钥名称范围，方法是在 `.` 之前指定一个前缀。例如，`minio-sse-*` 仅授予对使用 `minio-sse-` 前缀的 `create`、`generate` 或 `decrypt` 密钥的访问权限。 KES 使用 mTLS 通过将 TLS 证书的哈希与每个配置策略的 `identities` 进行比较来授权连接的客户端。使用 `kes identity of` 命令计算 MinIO mTLS 证书的标识，并将其添加到 `policy.<NAME>.identities` 数组中，以将 MinIO 与 `<NAME>` 策略关联起来。
`keys`	指定一个键数组，这些键必须存在于根 KMS 上，KES 才能成功启动。如果键不存在，KES 会尝试创建这些键，如果创建失败，则会退出并显示错误。在完成对所有指定键的验证之前，KES 不会接受任何客户端请求。
`cache`	以 `#d#h#m#s` 格式指定缓存密钥的过期时间。如果 KMS 暂时不可用，则可以使用未过期的密钥。可以为 `any` 密钥、`unused` 密钥或 `offline` 密钥设置条目。如果未设置，KES 会使用以下值：所有密钥为 `5m`，未使用密钥为 `20s`，脱机密钥为 `0s`。
`log`	启用或禁用将 `error` 和 `audit` 类型日志事件输出到控制台。
`keystore.gcp.secretmanager.project_id`	该项目 ID 是 Google API 可以使用的唯一用户分配 ID。项目 ID 必须是 6 到 30 个小写字母、数字或连字符的唯一字符串。它必须以字母开头，并且不能以连字符结尾。
`keystore.gcp.secretmanager.endpoint`	可选的 GCP Secret Manager 终结点。如果未设置，则默认为：`secretmanager.googleapis.com:443`。
`keystore.gcp.secretmanager.scopes`	可选的 GCP OAuth2 范围列表。如果未设置，则使用 GCP 默认范围。
`keystore.gcp.secretmanager.credentials.client_email`	服务帐户电子邮件。例如，`<account>@<project-ID>.iam.gserviceaccount.com`。
`keystore.gcp.secretmanager.credentials.client_id`	服务帐户客户端 ID。例如，`113491952745362495489`
`keystore.gcp.secretmanager.credentials.private_key_id`	服务帐户私钥。例如，`381514ebd3cf45a64ca8adc561f0ce28fca5ec06`。
`keystore.gcp.secretmanager.credentials.private_key`	服务帐户的原始编码私钥。例如，`-----BEGIN PRIVATE KEY-----\n ... \n-----END PRIVATE KEY-----\n`。