简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

S3或Swift客户端的安全性

02/14/2024 贡献者

StorageGRID租户帐户使用S3或Swift客户端应用程序将对象数据保存到StorageGRID。您应查看为客户端应用程序实施的安全措施。

摘要

下表总结了如何为S3和Swift REST API实施安全性：

Security 问题描述	实施 REST API
连接安全性	TLS
服务器身份验证	系统 CA 签名的 X.509 服务器证书或管理员提供的自定义服务器证书
客户端身份验证	S3 S3帐户(访问密钥ID和机密访问密钥) Swift Swift帐户(用户名和密码)
客户端授权	S3 存储分段所有权和所有适用的访问控制策略 Swift 管理员角色访问

Security 问题描述

实施 REST API

连接安全性

TLS

服务器身份验证

系统 CA 签名的 X.509 服务器证书或管理员提供的自定义服务器证书

客户端身份验证

客户端授权

S3和Swift客户端应用程序可以连接到网关节点或管理节点上的负载平衡器服务、也可以直接连接到存储节点。

连接到负载平衡器服务的客户端可以根据您的方式使用HTTPS或HTTP "配置负载平衡器端点"。

建议使用HTTPS提供安全的TLS加密通信。您必须向端点附加安全证书。

HTTP提供的未加密通信安全性较低、只能用于非生产或测试网格。
连接到存储节点的客户端也可以使用HTTPS或HTTP。

HTTPS是默认设置、建议使用。

HTTP提供的未加密通信安全性较低、但也可以选择 "enabled" 用于非生产或测试网格。
StorageGRID 与客户端之间的通信使用 TLS 进行加密。
无论将负载平衡器端点配置为接受 HTTP 或 HTTPS 连接，网格中的负载平衡器服务和存储节点之间的通信都会进行加密。
客户端必须向 StorageGRID 提供 HTTP 身份验证标头，才能执行 REST API 操作。请参见 "对请求进行身份验证" 和 "支持的 Swift API 端点"。

在所有情况下，客户端应用程序都可以使用网格管理员上传的自定义服务器证书或 StorageGRID 系统生成的证书进行 TLS 连接：

当客户端应用程序连接到负载平衡器服务时、它们将使用为负载平衡器端点配置的证书。每个负载平衡器端点都有自己的证书##8212;网格管理员上传的自定义服务器证书，或者网格管理员在配置端点时在StorageGRID中生成的证书。

请参见 "负载平衡注意事项"。
当客户端应用程序直接连接到存储节点时、它们会使用系统生成的服务器证书、这些证书是在安装StorageGRID 系统时为存储节点生成的(由系统证书颁发机构签名)。或网格管理员为网格提供的单个自定义服务器证书。请参见 "添加自定义S3或Swift API证书"。

应将客户端配置为信任对用于建立 TLS 连接的任何证书签名的证书颁发机构。

StorageGRID系统支持一组密码套件、客户端应用程序可以在建立TLS会话时使用这些套件。要配置加密方法，请进入*configuration*>*Security*>*Security settings，然后选择*TLS和SSH policies*。

StorageGRID 支持 TLS 1.2 和 TLS 1.3 。

不再支持 SSLv3 和 TLS 1.1 （或更早版本）。