StorageGRID支持 KMIP 版本 1.4。

"密钥管理互操作性协议规范版本 1.4"

网络防火墙设置必须允许每个设备节点通过用于密钥管理互操作协议 (KMIP) 通信的端口进行通信。默认 KMIP 端口为 5696。

您必须确保使用节点加密的每个设备节点都具有对您为站点配置的 KMS 或 KMS 群集的网络访问权限。

设备节点和配置的 KMS 之间的通信使用安全的 TLS 连接。 StorageGRID在与 KMS 或 KMS 集群建立 KMIP 连接时，可以支持 TLS 1.2 或 TLS 1.3 协议，具体取决于 KMS 支持的内容以及"TLS 和 SSH 策略"您正在使用。

StorageGRID在建立连接时与 KMS 协商协议和密码（TLS 1.2）或密码套件（TLS 1.3）。要查看可用的协议版本和密码/密码套件，请查看 `tlsOutbound`网格的活动 TLS 和 SSH 策略部分（配置 > 安全 安全设置）。

您可以使用密钥管理服务器 (KMS) 来管理网格中启用了 节点加密 设置的任何StorageGRID设备的加密密钥。此设置只能在使用StorageGRID Appliance Installer 的设备安装硬件配置阶段启用。

您可以将配置的 KMS 用于StorageGRID设备和设备节点。

您不能将配置的 KMS 用于基于软件（非设备）的节点，包括以下内容：

部署在这些其他平台上的节点可以在数据存储或磁盘级别使用StorageGRID之外的加密。

对于新安装，您通常应该在创建租户之前在网格管理器中设置一个或多个密钥管理服务器。此顺序确保在节点上存储任何对象数据之前，节点受到保护。

您可以在安装设备节点之前或之后在网格管理器中配置密钥管理服务器。

您可以配置一个或多个外部密钥管理服务器来为StorageGRID系统中的设备节点提供加密密钥。每个 KMS 为单个站点或一组站点的StorageGRID设备节点提供单个加密密钥。

StorageGRID支持使用 KMS 集群。每个 KMS 集群包含多个共享配置设置和加密密钥的复制密钥管理服务器。建议使用 KMS 集群进行密钥管理，因为它可以提高高可用性配置的故障转移能力。

例如，假设您的StorageGRID系统有三个数据中心站点。您可以配置一个 KMS 群集来为数据中心 1 的所有设备节点提供密钥，并配置第二个 KMS 群集来为所有其他站点的所有设备节点提供密钥。当您添加第二个 KMS 集群时，您可以为数据中心 2 和数据中心 3 配置一个默认 KMS。

请注意，您不能将 KMS 用于非设备节点或安装期间未启用 节点加密 设置的任何设备节点。

作为最佳安全做法，您应该定期"旋转加密密钥"由每个配置的 KMS 使用。

当新的密钥版本可用时：

如果需要将加密设备安装到另一个StorageGRID系统中，则必须首先停用网格节点才能将对象数据移动到另一个节点。然后，您可以使用StorageGRID Appliance Installer "清除 KMS 配置" 。清除 KMS 配置将禁用 节点加密 设置并删除设备节点与StorageGRID站点的 KMS 配置之间的关联。