文档

每个部署密钥的服务器端加密 (SSE-S3)

MinIO 服务器端加密 (SSE) 在写入操作过程中保护对象,允许客户端利用服务器的处理能力在存储层(静态加密)保护对象。SSE 还为围绕安全锁定和擦除的监管和合规性要求提供关键功能。

MinIO SSE 使用 MinIO 密钥加密服务 (KES) 和外部密钥管理服务 (KMS) 来大规模执行安全的加密操作。MinIO 还支持客户端管理的密钥管理,其中应用程序全权负责创建和管理用于 MinIO SSE 的加密密钥。

MinIO SSE-S3 使用由密钥管理系统 (KMS) 管理的外部密钥 (EK) 对对象进行加密/解密。在启动 MinIO 服务器时,必须使用 MINIO_KMS_KES_KEY_NAME 环境变量指定 EK。MinIO 对所有 SSE-S3 加密操作使用相同的 EK。

您可以使用 mc encrypt set 命令启用存储桶默认的 SSE-S3 加密

mc encrypt set sse-s3 play/mybucket
  • play/mybucket 替换为您要启用自动 SSE-KMS 加密的 别名 和存储桶。

MinIO SSE-S3 在功能上与 AWS S3 使用 Amazon S3 托管密钥的服务器端加密 兼容,同时扩展支持以包含以下 KMS 提供商

快速入门

重要

在 MinIO 部署上启用 SSE 会自动使用默认加密密钥加密该部署的后端数据。

MinIO需要访问 KES 和外部 KMS 才能解密后端并正常启动。KMS**必须**维护并提供对 MINIO_KMS_KES_KEY_NAME 的访问权限。您以后无法禁用 KES 或在以后撤消 SSE 配置。

以下过程使用 play MinIO KES 沙箱来支持在评估和早期开发环境中使用 SSE-S3 进行 SSE

对于扩展开发或生产环境,请使用以下支持的外部密钥管理服务 (KMS) 之一

重要

MinIO KES Play 沙箱是公开的,并授予对所有创建的外部密钥 (EK) 的根访问权限。存储在 Play 沙箱上的任何 EK 随时可能被访问或销毁,从而使受保护的数据变得脆弱或永久无法读取。

  • **切勿**使用 Play 沙箱来保护您无法承受丢失或泄露的数据。

  • 切勿使用揭示您组织的私有、机密或内部命名约定的名称生成EK

  • 切勿Play沙箱用于生产环境。

此过程需要以下组件

  • 在能够访问源部署网络的机器上安装mc。有关下载和安装mc的说明,请参阅mc安装快速入门

  • 在能够访问互联网的机器上安装MinIO 密钥加密服务 (KES)。有关下载、安装和配置 KES 的说明,请参阅 KES 的入门指南。

1) 为 SSE-S3 加密创建加密密钥

使用kes命令行工具为 SSE-S3 加密创建一个新的外部密钥 (EK)。

以下命令检索连接到 KES play沙箱的 KES 服务器的根标识

curl -sSL --tlsv1.2 \
  -O 'https://raw.githubusercontent.com/minio/kes/master/root.key' \
  -O 'https://raw.githubusercontent.com/minio/kes/master/root.cert'

在终端或 Shell 中设置以下环境变量

export KES_CLIENT_KEY=root.key
export KES_CLIENT_CERT=root.cert

KES_CLIENT_KEY

KES 服务器上标识的私钥。该标识必须至少授予对/v1/create/v1/generate/v1/listAPI 端点的访问权限。此步骤使用 MinIO play KES 沙箱的root标识,它提供对 KES 服务器上所有操作的访问权限。

KES_CLIENT_CERT

KES 服务器上标识的对应证书。此步骤使用 MinIO play KES 沙箱的root标识,它提供对 KES 服务器上所有操作的访问权限。

以下命令通过KES CLI创建一个新的EK

kes key create my-minio-sse-s3-key

本教程使用示例名称my-minio-sse-s3-key以便于参考。指定一个唯一的密钥名称以防止与现有密钥冲突。

2) 配置 MinIO 以进行 SSE-S3 对象加密

在部署中的每个 MinIO 服务器主机上的 Shell 或终端中指定以下环境变量

export MINIO_KMS_KES_ENDPOINT=https://play.min.io:7373
export MINIO_KMS_KES_API_KEY=<API-key-identity-string-from-KES> # Replace with the key string for your credentials
export MINIO_KMS_KES_KEY_NAME=my-minio-sse-s3-key

注意

  • API 密钥是使用 KES 服务器进行身份验证的首选方法,因为它为 KES 服务器提供了简化且安全的身份验证流程。

  • 或者,指定MINIO_KMS_KES_KEY_FILEMINIO_KMS_KES_CERT_FILE而不是MINIO_KMS_KES_API_KEY

    API 密钥与基于证书的身份验证互斥。指定API 密钥变量密钥文件证书文件变量

  • 本网站上的文档使用 API 密钥。

MINIO_KMS_KES_ENDPOINT

MinIO Play KES 服务的端点。

MINIO_KMS_KES_KEY_FILE

与 KES 服务上的标识相对应的私钥文件。该标识必须授予创建、生成和解密密钥的权限。指定与上一步中的KES_KEY_FILE环境变量相同的标识密钥文件。

MINIO_KMS_KES_CERT_FILE

与 KES 服务上的标识相对应的公钥证书文件。该标识必须授予创建、生成和解密密钥的权限。指定与上一步中的KES_CERT_FILE环境变量相同的标识证书。

MINIO_KMS_KES_KEY_NAME

用于执行 SSE 加密操作的外部密钥 (EK) 的名称。KES 从配置的密钥管理系统 (KMS) 中检索EK。指定上一步中创建的密钥的名称。

3) 重新启动 MinIO 部署以启用 SSE-S3

必须重新启动 MinIO 部署才能应用配置更改。使用mc admin service restart命令重新启动部署。

mc admin service restart ALIAS

ALIAS替换为要重新启动的部署的别名

4) 配置自动存储桶加密

可选

如果只想使用客户端驱动的 SSE-S3,可以跳过此步骤。

使用mc encrypt set命令启用对写入特定存储桶的所有对象的自动 SSE-S3 保护。

mc encrypt set sse-s3 ALIAS/BUCKET
  • ALIAS替换为在其中启用了 SSE-S3 的 MinIO 部署的别名

  • BUCKET替换为要在其中启用自动 SSE-S3 的存储桶或存储桶前缀的完整路径。

安全擦除和锁定

SSE-S3 使用在服务器启动时使用MINIO_KMS_KES_KEY_NAME环境变量指定的EK来保护对象。因此,MinIO需要访问该EK才能解密该对象。

  • 临时禁用EK会通过使 SSE-S3 加密的对象无法读取来锁定部署中的这些对象。稍后可以启用EK以恢复正常的读取操作。

  • 删除EK将使部署中所有 SSE-S3 加密的对象永久无法读取。如果 KMS 没有或不支持EK的备份,则此过程不可逆

EK的范围取决于

  • 指定了自动 SSE-S3 加密的存储桶,以及

  • 请求 SSE-S3 加密的写入操作。

加密过程

注意

以下部分描述了 MinIO 内部逻辑和功能。此信息仅供教育目的,配置或实现任何 MinIO 功能都不需要此信息。

SSE-S3 使用由配置的密钥管理系统 (KMS) 管理的外部密钥 (EK) 来执行加密操作和保护对象。下表描述了加密过程的每个阶段

阶段

描述

启用 SSE 的写入操作

MinIO 收到请求 SSE-S3 加密的写入操作。MinIO 使用指定的密钥名称作为MINIO_KMS_KES_KEY_NAME指定的外部密钥 (EK)。

生成数据加密密钥 (DEK)

MinIO 使用EK生成数据加密密钥 (DEK)。具体来说,MinIO 密钥加密服务 (KES)使用EK作为“根”密钥向 KMS 请求新的加密密钥。

KES 返回 DEK 的明文EK加密表示形式。MinIO 将加密表示形式存储为对象元数据的一部分。

生成密钥加密密钥 (KEK)

MinIO 使用确定性算法生成 256 位唯一的密钥加密密钥 (KEK)。密钥派生算法使用伪随机函数,该函数采用明文DEK、随机生成的初始化向量以及由存储桶和对象名称等值组成的上下文。

MinIO 在每次加密或解密操作时生成 KEK,并且从不将 KEK 存储到驱动器上。

生成对象加密密钥 (OEK)

MinIO 生成一个随机的 256 位唯一的对象加密密钥 (OEK),并使用该密钥加密对象。MinIO 从不将 OEK 的明文表示形式存储到驱动器上。明文 OEK 在加密操作期间驻留在 RAM 中。

加密对象

MinIO 使用OEK将对象存储到驱动器之前加密对象。然后,MinIO 使用KEK加密OEK

MinIO 将OEKDEK的加密表示形式存储为元数据的一部分。