加密服务设置

MinIO Server 包含三组环境变量来管理 MinIO Server 如何与密钥加密服务(KES)，密钥管理服务 (KMS) 或静态密钥文件交互。您只能定义这三个集合中的一个。如果定义了多种类型的环境变量集，MinIO 将返回错误。

备注

这些设置没有配置选项可供与 mc admin config set 一起使用。

在启动或重新启动 MinIO 进程之前，在主机系统中定义这些环境变量中的任意一组。请参考您操作系统的文档，了解如何定义一个环境变量。

重要

每个配置设置都控制着MinIO的基本行为和功能。 MinIO 强烈建议 在较低的环境中，如DEV或QA，测试配置更改，然后再将其应用到生产环境中。

密钥加密服务

定义以下变量以使用密钥加密服务 (KES) 连接到 supported 3rd party Key Management Service provider。

MINIO_KMS_KES_ENDPOINT: 用于支持 SSE-S3 和 MinIO 后端加密操作的 MinIO 密钥加密服务 (KES) 进程的端点。用 ， 分隔多个 KES 端点。

MINIO_KMS_KES_KEY_NAME

在 KES 服务器上配置的密钥管理系统 (KMS) 上的外部密钥的名称，用于执行加密/解密操作。 MinIO 使用此密钥进行以下操作:

重要

在 MinIO 部署中启用 SSE 将会自动使用默认加密密钥加密该部署的后端数据。

MinIO 需要访问 KES 和外部 KMS 以解密后端并正常启动。 KMS 必须维护并提供对 MINIO_KMS_KES_KEY_NAME 的访问。

MINIO_KMS_KES_API_KEY

使用从: kes-docs: `kes identity new <cli/kes-identity/new/>`命令获取的 KES API 密钥对加密服务进行身份验证的首选方法。

MINIO_KMS_KES_KEY_FILE

与 MINIO_KMS_KES_CERT_FILE x.509证书关联的私钥，用于在向KES服务器进行身份验证时使用。 KES服务器要求客户端在执行相互传输层安全性(mTLS)时出示其证书。

有关 KES 访问控制的更完整文档，请参阅 :minio-git: KES wiki <kes/wiki/Configuration#policy-configuration> 。

MINIO_KMS_KES_CERT_FILE

向KES服务器出示的x.509证书。 KES服务器要求客户端出示其证书以执行相互TLS (mTLS) 。

KES服务器从证书中计算出一个:minio-git:identity <kes/wiki/Configuration#policy-configuration>，并将其与配置的政策进行比较。 KES服务器仅授予 minio 服务器那些明确由策略授予的操作权限。

有关KES访问控制的更完整文档，请参阅 KES wiki。

MINIO_KMS_KES_CAPATH

Optional

允许验证自签名或第三方的 KES 服务器证书 CA。指定 KES 部署的 CA 证书位置的路径。

如果您使用公共证书颁发机构，则不需要此变量。

定义以下变量以使用 MinIO KMS 来管理密钥。

MINIO_KMS_SERVER: 用于支持 SSE-S3 和 MinIO 后端加密操作的 MinIO 密钥管理服务 (KMS) 进程的端点。使用 , 分隔多个 KMS 端点。

警告

这些设置支持早期开发和评估服务器端对象加密，而无需依赖外部 KMS。请勿在任何扩展开发、质量保证或生产环境中使用这些设置。有关使用 MinIO 密钥加密服务 (KES) 和外部 KMS 部署 SSE 的指导，请参阅使用 KES 的服务器端对象加密。

提供用于加密的静态 KMS 密钥或密钥文件。

MINIO_KMS_SECRET_KEY: 静态 KMS 密钥的 base64 格式如下 <key-name>:<base64-32byte-key> 。实现 KMS API 的子集。