密钥管理服务(KMS,Key management service)用于统一管理及生成用户根密钥。用户根密钥用于对象存储加密,即将上传至对象存储中保存的对象文件进行加密,以提升对象存储中文件的安全性。
对象存储加密是一种数据保护方式,包含对象数据在传输和存储到设备后的保护。在传输节点,可采用SSL(安全套接字层)协议传输或通过CSE(Client-Side Encryption,客户端加密)将数据加密后再进行传输,以保障数据安全。在存储到设备后,可通过CSE和SSE(Server-Side Encryption,服务端加密)两种方式进行数据加密。
本系统支持采用SSE方法将对象存储接收到的对象文件数据先加密后存储,以确保落盘存储数据的安全性。SSE使用的密钥由密钥管理服务统一管理。
对象加密有以下优势:
符合标准协议:符合标准的AWS:KMS协议,通过服务端加密保护静态数据。
数据保护,密钥与文件分开存储,即使数据磁盘丢失,也不会泄露文件内容。
有限感知:密钥管理不存储文件与密钥的对应关系,只存储密钥ID与密钥对应关系,用户根密钥由用户管理,即使密钥信息泄露也不影响数据安全。
密钥管理服务目前仅支持对ONEStor对象存储的对象文件进行加解密。
登录ONEStor管理平台,修改对象网关开启加密配置的操作过程中会影响部分业务,具体限制需参考ONEStor产品资料。
登录云平台,确认云平台已拥有状态正常的IaaS和密钥管理的license,确认用户具有密钥管理相关的操作权限。
登录ONEStor管理平台,配置RGW已开启加密功能并正确配置了与ONEStor对接的云平台的Keystone及Barbican的相关信息。
云平台对象存储模块中的连接配置已与ONEStor正确对接。