MinIO 服务器文档
客户登录
产品
MinIO 企业版对象存储
概述 架构
功能
面向公有云的 MinIO
AWS GCS Azure
面向私有云的 MinIO
OpenShift SUSE Rancher Tanzu
面向裸机服务器的 MinIO
Linux 和 Windows
确定您的原始容量和可用容量 擦除码计算器 MinIO 的推荐硬件配置 参考硬件
解决方案
AI 存储 对象存储正在推动 AI 革命。了解 MinIO 如何通过规模化性能引领 AI 存储市场。 现代数据湖 现代多引擎数据湖依赖于能够提供规模化性能的对象存储。详细了解这个核心 MinIO 使用场景。 混合云 有效的混合云存储策略依赖于能够在不同环境之间无缝运行的架构和工具。 Equinix 将您的数据迁移到您控制的云上,使用 Equinix 上的 MinIO 降低成本,同时保持公有云邻近性。 Splunk 了解 MinIO 如何为 Splunk SmartStore 提供规模化性能。 Snowflake 使用 Snowflake Data Cloud 查询和分析包括流数据在内的多个数据源,这些数据源驻留在 MinIO 上。无需移动数据,只需使用 SnowSQL 查询。 SQL Server 了解如何将 SQL Server 2022 与 MinIO 配对,以便在任何云上运行数据查询,无需移动数据。 HDFS 迁移 使用来自 MinIO 的高性能、原生 Kubernetes 对象存储,现代化和简化您的大数据存储基础设施。 VMware 了解 MinIO 如何在 VMware 的整个产品组合中集成,从持久数据平台到 TKG,以及我们如何支持他们的 Kubernetes 愿景。 Veeam 了解 MinIO 和 Veeam 如何携手合作,为各种备份用例提供性能和可扩展性。 Commvault 了解 Commvault 和 MinIO 如何携手合作,为关键任务备份和恢复工作负载提供规模化性能。 集成 浏览我们庞大的集成产品组合。
社区
GitHub 加入我们的 GitHub 开源社区:探索、实验、提问和贡献。 Slack 频道 MinIO 社区 Slack 为讨论与 MinIO 相关的主题提供了一个公开论坛。所有支持均以尽力而为的原则提供。
文档 博客 资源 培训 合作伙伴 价格 下载

文档

面向 Azure Kubernetes 服务的 MinIO 对象存储

使用客户管理密钥的服务器端加密 (SSE-C)

MinIO 服务器端加密 (SSE) 在写入操作期间保护对象,允许客户端利用服务器处理能力在存储层(静止数据加密)保护对象。SSE 还为围绕安全锁定和擦除的监管和合规性要求提供关键功能。

此页面上的过程配置并启用使用客户管理密钥的服务器端加密 (SSE-C)。MinIO SSE-C 支持在将对象写入驱动器之前对对象进行客户端驱动的加密。客户端必须指定正确的密钥才能解密用于读取操作的对象。

MinIO SSE-C 在功能上与 Amazon 使用客户提供密钥的服务器端加密 兼容。

安全擦除和锁定

SSE-C 使用客户端在写入操作期间指定的 EK 来保护对象。假设客户端密钥管理支持禁用或删除这些密钥

  • 禁用 EK 将暂时锁定使用该密钥加密的所有对象

    EK 使它们无法读取。您以后可以启用 EK 以恢复对这些对象的正常读取操作。

  • 删除 EK 将使使用该 EK 加密的所有对象

    永久无法读取。如果客户端 KMS 不支持 EK 的备份,则此过程是不可逆的

单个 EK 的范围取决于在请求 SSE-C 加密时指定该 EK 的写入操作次数。

注意事项

带有复制功能的 SSE-C

版本更改: RELEASE.2024-03-30T09-41-56Z

使用 SSE-C 加密的对象可以通过站点复制或存储桶复制进行复制。以前版本的 MinIO 对象存储无法复制使用 SSE-C 加密的对象。

使用 SSE-C 加密且已压缩的对象与 MinIO 存储桶复制站点复制 不兼容。使用 SSE-KMSSSE-S3 以确保加密对象与复制兼容。

SSE-C 覆盖 SSE-S3 和 SSE-KMS

使用 SSE-C 加密对象会阻止 MinIO 对该对象应用 SSE-KMSSSE-S3 加密。

快速入门

MinIO SSE-C 要求客户端执行所有密钥创建和存储操作。

此过程使用 mc 在源 MinIO 部署上执行操作。在具有网络访问源部署的机器上安装 mc。请参阅 mc 安装快速入门 获取有关下载和安装 mc 的说明。

SSE-C 密钥 *必须* 是 256 位原始编码字符串或十六进制编码字符串。客户端应用程序负责生成和存储加密密钥。MinIO *不* 存储 SSE-C 加密密钥,并且无法在没有客户端管理密钥的情况下解密 SSE-C 加密对象。

注意

对十六进制编码密钥的支持已添加到 MinIO 客户端 RELEASE.2024-06-20T14-50-54Z 中。

1) 生成加密密钥

生成 256 位 Base64 原始编码字符串或十六进制编码字符串,用作加密密钥。

以下示例生成满足加密密钥要求的字符串。生成的字符串适用于非生产环境

cat /dev/urandom | head -c 32 | base64 -

请遵循贵组织生成加密安全的加密密钥的要求。

复制加密密钥,以便在下一步中使用。

2) 使用 SSE-C 加密对象

MinIO 支持以下 AWS S3 标头,用于指定 SSE-C 加密

  • X-Amz-Server-Side-Encryption-Customer-Algorithm 设置为 AES256

  • X-Amz-Server-Side-Encryption-Customer-Key 设置为加密密钥值。

  • X-Amz-Server-Side-Encryption-Customer-Key-MD5 设置为加密密钥的 128 位 MD5 摘要。

MinIO mc 命令行工具和 S3 兼容 SDK 包括用于设置标头的特定语法。某些 mc 命令(如 mc cp)包含用于启用 SSE-S3 加密的特定参数。

mc cp ~/data/mydata.json ALIAS/BUCKET/mydata.json \
   --encrypt-key "ALIAS/BUCKET/=c2VjcmV0ZW5jcnlwdGlvbmtleWNoYW5nZW1lMTIzNAo="

  • ALIAS 替换为要在其上写入 SSE-C 加密对象的 MinIO 部署的 alias

  • BUCKET 替换为要在其上写入 SSE-C 加密对象的存储桶或存储桶前缀的完整路径。

3) 复制 SSE-C 加密对象

MinIO 支持以下 AWS S3 标头,用于将 SSE-C 加密对象复制到另一个 S3 兼容服务

  • X-Amz-Copy-Source-Server-Side-Encryption-Algorithm 设置为 AES256

  • X-Amz-Copy-Source-Server-Side-Encryption-Key 设置为加密密钥值。如果指定的密钥与用于 SSE-C 加密对象的密钥不匹配,则复制操作将失败。

  • X-Amz-Copy-Source-Server-Side-Encryption-Key-MD5 设置为加密密钥的 128 位 MD5 摘要。

MinIO mc 命令行工具和 S3 兼容 SDK 包括用于设置标头的特定语法。某些 mc 命令(如 mc cp)包含用于启用 SSE-S3 加密的特定参数。

mc cp SOURCE/BUCKET/mydata.json TARGET/BUCKET/mydata.json  \
--encrypt-key "SOURCE/BUCKET/=c2VjcmV0ZW5jcnlwdGlvbmtleWNoYW5nZW1lMTIzNAo=,TARGET/BUCKET/=c2VjcmV0ZW5jcnlwdGlvbmtleWNoYW5nZW1lMTIzNAo="

  • SOURCE/BUCKET 替换为要从中读取加密对象的 MinIO 部署的 alias 以及要从中读取 SSE-C 加密对象的存储桶或存储桶前缀的完整路径。

  • TARGET/BUCKET 替换为要写入加密对象的 MinIO 部署的 alias 以及要写入 SSE-C 加密对象的存储桶或存储桶前缀的完整路径。

此作品受 知识共享署名 4.0 国际许可协议 许可。2020 年至今,MinIO, Inc. Creative Commons License