擦除码计算器 
参考硬件 使用每个存储桶密钥的服务器端加密 (SSE-KMS)
MinIO 服务器端加密 (SSE) 在写入操作的一部分中保护对象,允许客户端利用服务器处理能力在存储层(静止加密)保护对象。SSE 还为有关安全锁定和擦除的监管和合规性要求提供关键功能。
MinIO SSE 使用 MinIO 密钥加密服务 (KES) 和 受支持的外部密钥管理服务 (KMS) 来执行大规模的安全加密操作。MinIO 还支持客户端管理的密钥管理,其中应用程序对用于 MinIO SSE 的创建和管理加密密钥承担全部责任。
MinIO SSE-KMS 使用由密钥管理系统 (KMS) 管理的外部密钥 (EK) 对对象进行加密或解密。每个存储桶和对象可以具有单独的 EK,从而支持部署中更细粒度的加密操作。只有在可以访问 KMS 和用于加密该对象的 EK 时,MinIO 才能解密对象。
您可以使用 mc encrypt set 命令启用存储桶默认 SSE-KMS 加密。
mc encrypt set sse-kms EXTERNALKEY play/mybucket
将
EXTERNALKEY替换为用于加密存储桶中对象的 EK 的名称。将
play/mybucket替换为您想要在其上启用自动 SSE-KMS 加密的alias和存储桶。
MinIO SSE-KMS 在功能上与 AWS S3 使用存储在 AWS 中的 KMS 密钥的服务器端加密 兼容,同时扩展支持以包括以下 KMS 提供商
快速入门
重要
在 MinIO 部署上启用 SSE 会自动使用默认加密密钥加密该部署的后端数据。
MinIO 需要 访问 KES 和外部 KMS 来解密后端并正常启动。KMS 必须 维护并提供对 MINIO_KMS_KES_KEY_NAME 的访问权限。您无法在以后禁用 KES 或“撤销”在以后某个时间点配置的 SSE。
以下过程使用 play MinIO KES 沙箱来支持在评估和早期开发环境中使用 SSE-KMS 进行 SSE。
对于扩展的开发或生产环境,请使用以下受支持的外部密钥管理服务 (KMS) 之一。
重要
MinIO KES Play 沙箱是公开的,并向所有创建的外部密钥 (EK) 授予 root 访问权限。存储在 Play 沙箱中的任何 EK 都可以随时被访问或销毁,从而使受保护的数据变得脆弱或永久无法读取。
切勿 使用
Play沙箱来保护您无法承受丢失或泄露的数据。切勿 使用会泄露您组织的私有、机密或内部命名约定的名称来生成 EK。
切勿 在生产环境中使用
Play沙箱。
此过程需要以下组件。
在具有互联网访问权限的机器上安装 MinIO 密钥加密服务 (KES)。有关下载、安装和配置 KES 的说明,请参阅
kes的 入门 指南。
1) 为 SSE-KMS 加密创建加密密钥
使用 kes 命令行工具为 SSE-KMS 加密创建一个新的外部密钥 (EK)。
以下命令检索 play KES 服务器的 root 身份。
curl -sSL --tlsv1.2 \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'
在终端或 shell 中设置以下环境变量。
export KES_CLIENT_KEY=root.key
export KES_CLIENT_CERT=root.cert
|
KES 服务器上 身份 的私钥。该身份必须至少授予对 |
|---|---|
|
KES 服务器上 身份 的相应证书。此步骤使用 MinIO |
以下命令通过 KES 创建一个新的 EK。
kes key create my-minio-sse-kms-key
本教程使用示例名称 my-minio-sse-kms-key 来方便参考。指定一个唯一的密钥名称,以避免与现有密钥发生冲突。
2) 配置 MinIO 以进行 SSE-KMS 对象加密
在部署中的每个 MinIO 服务器主机上的 shell 或终端中指定以下环境变量。
export MINIO_KMS_KES_ENDPOINT=https://play.min.io:7373
export MINIO_KMS_KES_API_KEY=<API-key-identity-string-from-KES> # Replace with the key string for your credentials
export MINIO_KMS_KES_KEY_NAME=my-minio-sse-s3-key
注意
API 密钥是与 KES 服务器进行身份验证的首选方法,因为它为 KES 服务器提供了一种简化且安全的身份验证流程。
或者,指定
MINIO_KMS_KES_KEY_FILE和MINIO_KMS_KES_CERT_FILE,而不是MINIO_KMS_KES_API_KEY。API 密钥与基于证书的身份验证互斥。指定API 密钥变量或密钥文件和证书文件变量。
本网站上的文档使用 API 密钥。
MinIO |
|
为 MinIO 部署 由 KES 生成的 API 密钥。API 密钥的身份必须授予创建、生成和解密密钥的权限。 API 密钥是与 KES 服务器进行身份验证的首选方法。如果情况需要,请指定 |
|
要用于执行 SSE 加密操作的外部密钥 (EK) 的名称。KES 从配置的密钥管理服务 (KMS) 中检索 EK。指定上一步中创建的密钥的名称。 |
3) 重新启动 MinIO 部署以启用 SSE-KMS
您必须重新启动 MinIO 部署以应用配置更改。使用 mc admin service restart 命令来重新启动部署。
mc admin service restart ALIAS
将 ALIAS 替换为要重新启动的部署的 别名。
4) 配置自动存储桶加密
使用 mc encrypt set 命令启用对写入特定存储桶的所有对象的自动 SSE-KMS 保护。
mc encrypt set sse-kms my-minio-sse-kms-key ALIAS/BUCKET
写入指定存储桶的对象会自动使用指定的 EK 进行加密。
对要启用自动 SSE-KMS 加密的每个存储桶重复此步骤。您可以为每个存储桶或存储桶前缀生成其他密钥,以便每个 EK 的范围仅限于对象的子集。
安全擦除和锁定
SSE-KMS 使用作为存储桶自动加密设置的一部分或写入操作的一部分指定的 EK 来保护对象。因此,MinIO 需要 访问该 EK 才能解密该对象。
禁用 EK 会暂时锁定使用该 EK 加密的对象,使其无法读取。您可以在以后启用 EK 以恢复对这些对象的正常读取操作。
删除 EK 会使所有使用该 EK 加密的对象永久无法读取。如果 KMS 没有或不支持 EK 的备份,则此过程不可逆。
单个 EK 的范围取决于
为自动 SSE-KMS 加密指定了该 EK 的存储桶,以及
在请求 SSE-KMS 加密时指定了该 EK 的写入操作。
例如,假设一个 MinIO 部署使用一个 EK 每个存储桶。禁用单个 EK 会使关联存储桶中的所有对象无法读取,而不会影响其他存储桶。如果部署改为使用一个 EK 来加密所有对象和存储桶,则禁用该 EK 会使部署中的所有对象无法读取。
加密过程
注意
本节介绍 MinIO 内部逻辑和功能。此信息仅供教育目的,不是配置或实现任何 MinIO 功能的先决条件。
SSE-KMS 使用配置的密钥管理系统 (KMS) 管理的外部密钥 (EK) 来执行加密操作并保护对象。下表描述了加密过程的每个阶段。
阶段 |
描述 |
|---|---|
启用 SSE 的写入操作 |
MinIO 接收一个请求使用 SSE-KMS 加密的写入操作。该写入操作必须 具有与之关联的外部密钥 (EK),用于加密该对象。
|
生成数据加密密钥 (DEK) |
MinIO 使用 EK 生成数据加密密钥 (DEK)。具体来说,MinIO 密钥加密服务 (KES) 使用 EK 作为“根”密钥来请求 KMS 提供一个新的加密密钥。 KES 返回明文和 EK 加密后的 DEK 表示。MinIO 将加密后的表示存储为对象元数据的一部分。 |
生成密钥加密密钥 (KEK) |
MinIO 使用确定性算法生成 256 位唯一的密钥加密密钥 (KEK)。密钥派生算法使用伪随机函数,该函数接收明文 DEK、随机生成的初始化向量和包含桶和对象名称等值的上下文。 MinIO 在每次加密或解密操作时生成 KEK,并且从不将 KEK 存储到驱动器。 |
生成对象加密密钥 (OEK) |
MinIO 生成一个随机的 256 位唯一的对象加密密钥 (OEK),并使用该密钥对对象进行加密。MinIO 从不将 OEK 的明文表示存储在驱动器上。明文 OEK 在加密操作期间驻留在 RAM 中。 |
加密对象 |
MinIO 使用 OEK 在将对象存储到驱动器之前加密对象。然后,MinIO 使用 KEK 加密 OEK。 MinIO 将 OEK 和 DEK 的加密表示存储为元数据的一部分。 |
对于读取操作,MinIO 通过检索 EK 来解密 DEK 以解密对象。然后,MinIO 重新生成 KEK,解密 OEK 并解密对象。
