简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

KMS 和设备配置

10/01/2025

在使用密钥管理服务器 (KMS) 保护设备节点上的StorageGRID数据之前，您必须完成两个配置任务：设置一个或多个 KMS 服务器并为设备节点启用节点加密。当这两个配置任务完成后，密钥管理过程将自动发生。

该流程图显示了使用 KMS 保护设备节点上的StorageGRID数据的高级步骤。

流程图显示 KMS 设置和设备设置并行进行；但是，您可以根据需要在为新设备节点启用节点加密之前或之后设置密钥管理服务器。

设置密钥管理服务器（KMS）

设置密钥管理服务器包括以下高级步骤。

步骤	参考
访问 KMS 软件并向每个 KMS 或 KMS 集群添加StorageGRID的客户端。	"在 KMS 中将StorageGRID配置为客户端"
获取 KMS 上StorageGRID客户端所需的信息。	"在 KMS 中将StorageGRID配置为客户端"
将 KMS 添加到网格管理器，将其分配给单个站点或默认站点组，上传所需的证书，然后保存 KMS 配置。	"添加密钥管理服务器 (KMS)"

步骤

参考

访问 KMS 软件并向每个 KMS 或 KMS 集群添加StorageGRID的客户端。

获取 KMS 上StorageGRID客户端所需的信息。

将 KMS 添加到网格管理器，将其分配给单个站点或默认站点组，上传所需的证书，然后保存 KMS 配置。

设置用于 KMS 的设备节点包括以下高级步骤。

在设备安装的硬件配置阶段，使用StorageGRID设备安装程序为设备启用 节点加密 设置。

将设备添加到电网后，您无法启用*节点加密*设置，并且无法对未启用节点加密的设备使用外部密钥管理。
运行StorageGRID设备安装程序。在安装过程中，会为每个设备卷分配一个随机数据加密密钥 (DEK)，如下所示：
- DEK 用于加密每个卷上的数据。这些密钥是使用设备操作系统中的 Linux 统一密钥设置 (LUKS) 磁盘加密生成的，无法更改。
- 每个单独的 DEK 都由主密钥加密密钥 (KEK) 加密。初始 KEK 是一个临时密钥，用于加密 DEK，直到设备可以连接到 KMS。
将设备节点添加到StorageGRID。

密钥管理加密包括以下自动执行的高级步骤。

当您将启用了节点加密的设备安装到网格中时， StorageGRID会确定包含新节点的站点是否存在 KMS 配置。
- 如果已经为站点配置了 KMS，设备将接收 KMS 配置。
- 如果尚未为站点配置 KMS，设备上的数据将继续由临时 KEK 加密，直到您为站点配置 KMS 并且设备收到 KMS 配置为止。
该设备使用 KMS 配置连接到 KMS 并请求加密密钥。

KMS 向设备发送加密密钥。 KMS 的新密钥取代了临时 KEK，现在用于加密和解密设备卷的 DEK。

加密设备节点连接到配置的 KMS 之前存在的任何数据都使用临时密钥加密。但是，在临时密钥被 KMS 加密密钥替换之前，设备卷不应被视为受到保护，不能从数据中心移除。