文档

每个部署密钥的服务器端加密 (SSE-S3)

MinIO 服务器端加密 (SSE) 在写入操作过程中保护对象,允许客户端利用服务器处理能力在存储层(静态加密)保护对象。SSE 还为围绕安全锁定和擦除的监管和合规性要求提供关键功能。

MinIO SSE 使用 MinIO 密钥加密服务 (KES) 和外部密钥管理服务 (KMS) 来大规模执行安全的加密操作。MinIO 还支持客户端管理的密钥管理,其中应用程序全面负责创建和管理用于 MinIO SSE 的加密密钥。

MinIO SSE-S3 使用由密钥管理系统 (KMS) 管理的外部密钥 (EK) 对对象进行加密/解密。在启动 MinIO 服务器时,必须使用 MINIO_KMS_KES_KEY_NAME 环境变量指定 EK。MinIO 对所有 SSE-S3 加密操作使用相同的 EK。

您可以使用 mc encrypt set 命令启用存储桶默认 SSE-S3 加密

mc encrypt set sse-s3 play/mybucket
  • play/mybucket 替换为您要启用自动 SSE-KMS 加密的 别名 和存储桶。

MinIO SSE-S3 在功能上与 AWS S3 使用 Amazon S3 托管密钥的服务器端加密 兼容,同时扩展支持以包括以下 KMS 提供商

快速入门

重要

在 MinIO 部署上启用 SSE 会自动使用默认加密密钥加密该部署的后端数据。

MinIO需要访问 KES 和外部 KMS 才能解密后端并正常启动。KMS **必须**维护并提供对 MINIO_KMS_KES_KEY_NAME 的访问权限。您以后无法禁用 KES 或在以后的某个时间点“撤消”SSE 配置。

以下过程使用 play MinIO KES 沙箱来支持评估和早期开发环境中的 SSE-S3 的 SSE

对于扩展的开发或生产环境,请使用以下支持的外部密钥管理服务 (KMS) 之一

重要

MinIO KES Play 沙箱是公开的,并授予对所有创建的外部密钥 (EK) 的 root 访问权限。存储在 Play 沙箱上的任何 EK 随时可能被访问或销毁,从而使受保护的数据变得脆弱或永久无法读取。

  • **切勿**使用 Play 沙箱来保护您无法承受丢失或泄露的数据。

  • **切勿**使用泄露您组织的私有、机密或内部命名约定的名称生成 EK

  • **切勿**将 Play 沙箱用于生产环境。

此过程需要以下组件

  • 在具有源部署网络访问权限的机器上安装 mc。有关下载和安装 mc 的说明,请参阅 mc安装快速入门

  • 在具有互联网访问权限的机器上安装 MinIO 密钥加密服务 (KES)。有关下载、安装和配置 KES 的说明,请参阅 KES 的 入门指南。

1) 为 SSE-S3 加密创建加密密钥

使用 kes 命令行工具为 SSE-S3 加密创建一个新的外部密钥 (EK)。

以下命令检索连接到 KES play 沙箱的 KES 服务器的根 身份

curl -sSL --tlsv1.2 \
  -O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \
  -O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'

在终端或 shell 中设置以下环境变量

export KES_CLIENT_KEY=root.key
export KES_CLIENT_CERT=root.cert

KES_CLIENT_KEY

KES 服务器上 身份 的私钥。该身份必须至少授予对 /v1/create/v1/generate/v1/list API 端点 的访问权限。此步骤使用 MinIO play KES 沙箱的 root 身份,该身份提供对 KES 服务器上所有操作的访问权限。

KES_CLIENT_CERT

KES 服务器上 身份 的对应证书。此步骤使用 MinIO play KES 沙箱的 root 身份,该身份提供对 KES 服务器上所有操作的访问权限。

以下命令通过 KES CLI 创建一个新的 EK

kes key create my-minio-sse-s3-key

本教程使用示例名称 my-minio-sse-s3-key 以便于参考。指定一个唯一的密钥名称以防止与现有密钥冲突。

2) 配置 MinIO 以进行 SSE-S3 对象加密

在部署中的每个 MinIO 服务器主机上的 shell 或终端中指定以下环境变量

export MINIO_KMS_KES_ENDPOINT=https://play.min.io:7373
export MINIO_KMS_KES_API_KEY=<API-key-identity-string-from-KES> # Replace with the key string for your credentials
export MINIO_KMS_KES_KEY_NAME=my-minio-sse-s3-key

注意

  • API 密钥是使用 KES 服务器进行身份验证的首选方式,因为它为 KES 服务器提供了一种简化且安全的身份验证流程。

  • 或者,指定 MINIO_KMS_KES_KEY_FILEMINIO_KMS_KES_CERT_FILE 而不是 MINIO_KMS_KES_API_KEY

    API 密钥与基于证书的身份验证互斥。指定 API 密钥变量密钥文件和证书文件变量

  • 本网站上的文档使用 API 密钥。

MINIO_KMS_KES_ENDPOINT

MinIO Play KES 服务的端点。

MINIO_KMS_KES_KEY_FILE

对应于 KES 服务上 身份 的私钥文件。该身份必须授予创建、生成和解密密钥的权限。指定与上一步中 KES_KEY_FILE 环境变量相同的身份密钥文件。

MINIO_KMS_KES_CERT_FILE

对应于 KES 服务上 身份 的公钥证书文件。该身份必须授予创建、生成和解密密钥的权限。指定与上一步中 KES_CERT_FILE 环境变量相同的身份证书。

MINIO_KMS_KES_KEY_NAME

用于执行 SSE 加密操作的外部密钥 (EK) 的名称。KES 从配置的密钥管理系统 (KMS) 中检索 EK。指定上一步中创建的密钥的名称。

3) 重新启动 MinIO 部署以启用 SSE-S3

必须重新启动 MinIO 部署才能应用配置更改。使用 mc admin service restart 命令重新启动部署。

mc admin service restart ALIAS

ALIAS 替换为要重新启动的部署的 别名

4) 配置自动存储桶加密

可选

如果只想使用客户端驱动的 SSE-S3,则可以跳过此步骤。

使用 mc encrypt set 命令启用对写入特定存储桶的所有对象的自动 SSE-S3 保护。

mc encrypt set sse-s3 ALIAS/BUCKET
  • ALIAS 替换为已在其中启用 SSE-S3 的 MinIO 部署的 别名

  • BUCKET 替换为要启用自动 SSE-S3 的存储桶或存储桶前缀的完整路径。

安全擦除和锁定

SSE-S3 使用在服务器启动时使用 MINIO_KMS_KES_KEY_NAME 环境变量指定的 EK 来保护对象。因此,MinIO 需要访问该 EK 才能解密该对象。

  • 临时禁用 EK 会通过使部署中的 SSE-S3 加密对象无法读取来锁定它们。以后可以启用 EK 以恢复正常的读取操作。

  • 删除 EK 将使部署中所有 SSE-S3 加密的对象永久无法读取。如果 KMS 没有或不支持 EK 的备份,则此过程不可逆

EK 的范围取决于

  • 指定自动 SSE-S3 加密的存储桶,以及

  • 请求 SSE-S3 加密的写入操作。

加密过程

注意

以下部分描述了 MinIO 内部逻辑和功能。此信息仅供教育之用,配置或实现任何 MinIO 功能不需要此信息。

SSE-S3 使用配置的密钥管理系统 (KMS) 管理的外部密钥 (EK) 执行加密操作并保护对象。下表描述了加密过程的每个阶段

阶段

描述

启用 SSE 的写入操作

MinIO 收到请求 SSE-S3 加密的写入操作。MinIO 使用指定给 MINIO_KMS_KES_KEY_NAME 的密钥名称作为外部密钥 (EK)。

生成数据加密密钥 (DEK)

MinIO 使用 EK 生成数据加密密钥 (DEK)。具体来说,MinIO 密钥加密服务 (KES) 使用 EK 作为“根”密钥向 KMS 请求一个新的加密密钥。

KES 返回 DEK 的明文 EK 加密表示。MinIO 将加密表示存储为对象元数据的一部分。

生成密钥加密密钥 (KEK)

MinIO 使用确定性算法生成一个 256 位唯一的密钥加密密钥 (KEK)。密钥派生算法使用伪随机函数,该函数采用明文 DEK、随机生成的初始化向量以及包含存储桶和对象名称等值的上下文。

MinIO 在每次加密或解密操作时生成 KEK,并且从不将 KEK 存储到驱动器上。

生成对象加密密钥 (OEK)

MinIO 生成一个随机的 256 位唯一对象加密密钥 (OEK),并使用该密钥加密对象。MinIO 从不将 OEK 的明文表示存储到驱动器上。明文 OEK 在加密操作期间驻留在 RAM 中。

加密对象

MinIO 使用 OEK将对象存储到驱动器之前加密对象。然后,MinIO 使用 KEK 加密 OEK

MinIO 将 OEKDEK 的加密表示存储为元数据的一部分。