擦除码计算器 
参考硬件 使用每桶密钥的服务器端加密 (SSE-KMS)
MinIO 服务器端加密 (SSE) 在写入操作期间保护对象,允许客户端利用服务器处理能力在存储层 (静止加密) 保护对象。SSE 还为围绕安全锁定和擦除的监管和合规性要求提供关键功能。
MinIO SSE 使用 MinIO 密钥加密服务 (KES) 和 受支持的外部密钥管理服务 (KMS) 来执行大规模的安全加密操作。MinIO 还支持客户管理密钥管理,应用程序完全负责创建和管理用于 MinIO SSE 的加密密钥。
MinIO SSE-KMS 使用由密钥管理系统 (KMS) 管理的外部密钥 (EK) 对对象进行加密或解密。每个存储桶和对象都可以拥有独立的 EK,支持部署中更细粒度的加密操作。MinIO 只能在可以访问 KMS 和 用于加密该对象的 EK 时解密对象。
可以使用 mc encrypt set 命令启用存储桶默认 SSE-KMS 加密
mc encrypt set sse-kms EXTERNALKEY play/mybucket
将
EXTERNALKEY替换为用于加密存储桶中对象的 EK 的名称。将
play/mybucket替换为要启用自动 SSE-KMS 加密的alias和存储桶。
MinIO SSE-KMS 在功能上与 AWS S3 使用存储在 AWS 中的 KMS 密钥的服务器端加密 兼容,同时扩展了支持,以包括以下 KMS 提供商
快速入门
重要事项
在 MinIO 部署上启用 SSE 将自动使用默认加密密钥对该部署的后端数据进行加密。
MinIO 需要 访问 KES 和外部 KMS 才能解密后端并正常启动。KMS 必须 保持并提供对 MINIO_KMS_KES_KEY_NAME 的访问权限。您不能在稍后禁用 KES 或在稍后撤消 SSE 配置。
以下过程使用 play MinIO KES 沙箱来支持在评估和早期开发环境中使用 SSE-KMS 的 SSE。
对于扩展的开发或生产环境,请使用以下受支持的外部密钥管理服务 (KMS) 之一
重要事项
MinIO KES 的 Play 沙箱是公开的,并且授予所有创建的外部密钥(EK)的 root 访问权限。任何存储在 Play 沙箱中的 EK 随时都可以被访问或销毁,从而使受保护的数据变得脆弱或永久无法读取。
切勿 使用
Play沙箱来保护您无法承受丢失或泄露的数据。切勿 使用会泄露组织的私有、机密或内部命名约定的名称来生成 EK。
切勿 将
Play沙箱用于生产环境。
此过程需要以下组件
在具有互联网访问权限的机器上安装 MinIO 密钥加密服务 (KES)。有关下载、安装和配置 KES 的说明,请参阅
kes的 入门 指南。
1) 为 SSE-KMS 加密创建加密密钥
使用 kes 命令行工具为 SSE-KMS 加密创建一个新的外部密钥 (EK)。
以下命令检索 play KES 服务器的根 身份
curl -sSL --tlsv1.2 \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \
-O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'
在终端或 shell 中设置以下环境变量
export KES_CLIENT_KEY=root.key
export KES_CLIENT_CERT=root.cert
|
KES 服务器上的 身份 的私钥。该身份必须至少授予对 |
|---|---|
|
KES 服务器上的 身份 的对应证书。此步骤使用 MinIO |
以下命令通过 KES 创建一个新的 EK。
kes key create my-minio-sse-kms-key
本教程使用示例名称 my-minio-sse-kms-key 以便于参考。指定一个唯一的密钥名称以防止与现有密钥发生冲突。
2) 为 SSE-KMS 对象加密配置 MinIO
在部署中的每个 MinIO 服务器主机上的 shell 或终端中指定以下环境变量
export MINIO_KMS_KES_ENDPOINT=https://play.min.io:7373
export MINIO_KMS_KES_API_KEY=<API-key-identity-string-from-KES> # Replace with the key string for your credentials
export MINIO_KMS_KES_KEY_NAME=my-minio-sse-s3-key
注意
API 密钥是与 KES 服务器进行身份验证的首选方式,因为它为 KES 服务器提供了简化且安全的身份验证流程。
或者,指定
MINIO_KMS_KES_KEY_FILE和MINIO_KMS_KES_CERT_FILE,而不是MINIO_KMS_KES_API_KEY。API 密钥与基于证书的身份验证互斥。指定API 密钥变量或密钥文件和证书文件变量中的一个。
本网站上的文档使用 API 密钥。
MinIO |
|
为 MinIO 部署 由 KES 生成的 API 密钥。API 密钥的身份必须授予创建、生成和解密密钥的权限。 API 密钥是与 KES 服务器进行身份验证的首选方式。如果情况需要,请指定 |
|
用于执行 SSE 加密操作的外部密钥 (EK) 的名称。KES 从配置的密钥管理服务 (KMS) 中检索 EK。指定在上一步骤中创建的密钥的名称。 |
3) 重新启动 MinIO 部署以启用 SSE-KMS
您必须重新启动 MinIO 部署以应用配置更改。使用 mc admin service restart 命令重新启动部署。
mc admin service restart ALIAS
将 ALIAS 替换为要重新启动的部署的 别名。
4) 配置自动桶加密
使用 mc encrypt set 命令启用对写入特定桶的所有对象的自动 SSE-KMS 保护。
mc encrypt set sse-kms my-minio-sse-kms-key ALIAS/BUCKET
写入指定桶的对象将使用指定的 EK 自动加密。
对要启用自动 SSE-KMS 加密的每个桶重复此步骤。您可以为每个桶或桶前缀生成额外的密钥,这样每个 EK 的范围仅限于对象的子集。
安全擦除和锁定
SSE-KMS 使用作为桶自动加密设置的一部分或写入操作的一部分指定的 EK 来保护对象。因此,MinIO需要访问该 EK 才能解密该对象。
禁用 EK 会通过使它们无法读取来暂时锁定使用该 EK 加密的对象。您稍后可以启用 EK 以恢复对这些对象的正常读取操作。
删除 EK 会使所有使用该 EK 加密的永久无法读取。如果 KMS 没有或不支持 EK 的备份,则此过程是不可逆的。
单个 EK 的范围取决于
哪些桶指定了用于自动 SSE-KMS 加密的 EK,以及
在请求 SSE-KMS 加密时,哪些写入操作指定了该 EK。
例如,考虑一个 MinIO 部署,每个桶使用一个 EK。禁用单个 EK 会使关联桶中的所有对象无法读取,而不会影响其他桶。如果部署改为对所有对象和桶使用一个 EK,则禁用该 EK 会使部署中的所有对象无法读取。
加密过程
注意
本节介绍 MinIO 内部逻辑和功能。此信息仅供教育目的,不是配置或实施任何 MinIO 功能的先决条件。
SSE-KMS 使用由配置的密钥管理系统 (KMS) 管理的外部密钥 (EK) 来执行加密操作并保护对象。下表描述了加密过程的每个阶段
阶段 |
描述 |
|---|---|
启用 SSE 的写入操作 |
MinIO 接收一个请求 SSE-KMS 加密的写入操作。写入操作必须具有一个关联的外部密钥 (EK) 用于加密对象。
|
生成数据加密密钥 (DEK) |
MinIO 使用 EK 生成数据加密密钥 (DEK)。具体来说,MinIO 密钥加密服务 (KES) 使用 EK 作为“根”密钥,从 KMS 请求一个新的加密密钥。 KES 返回 DEK 的明文和 EK 加密表示。MinIO 将加密表示存储为对象元数据的一部分。 |
生成密钥加密密钥 (KEK) |
MinIO 使用确定性算法生成一个 256 位的唯一密钥加密密钥 (KEK)。密钥推导算法使用一个伪随机函数,该函数采用明文 DEK、一个随机生成的初始化向量以及一个包含桶和对象名称等值的上下文。 MinIO 在每次加密或解密操作时生成 KEK,并且从不将 KEK 存储到驱动器。 |
生成对象加密密钥 (OEK) |
MinIO 生成一个随机的 256 位唯一对象加密密钥 (OEK),并使用该密钥加密对象。MinIO 从不将 OEK 的明文表示存储到驱动器。明文 OEK 在加密操作期间驻留在 RAM 中。 |
加密对象 |
MinIO 使用 **对象加密密钥 (OEK)** 对对象进行加密,**在**将对象存储到磁盘之前。然后,MinIO 使用 **密钥加密密钥 (KEK)** 对 **对象加密密钥 (OEK)** 进行加密。 MinIO 将 **对象加密密钥 (OEK)** 和 **数据加密密钥 (DEK)** 的加密表示存储为元数据的一部分。 |
对于读取操作,MinIO 通过检索 **外部密钥 (EK)** 来解密 **数据加密密钥 (DEK)**,从而解密对象。然后,MinIO 重新生成 **密钥加密密钥 (KEK)**,解密 **对象加密密钥 (OEK)**,最后解密对象。
