S3 客户端的安全性
建议更改
PDF
StorageGRID租户帐户使用 S3 客户端应用程序将对象数据保存到StorageGRID。您应该检查针对客户端应用程序实施的安全措施。
摘要
以下列表总结了如何实现 S3 REST API 的安全性:
- 连接安全
-
TLS
- 服务器身份验证
-
由系统 CA 签名的 X.509 服务器证书或由管理员提供的自定义服务器证书
- 客户端身份验证
-
S3 帐户访问密钥 ID 和秘密访问密钥
- 客户端授权
-
存储桶所有权和所有适用的访问控制策略
StorageGRID如何为客户端应用程序提供安全性
S3 客户端应用程序可以连接到网关节点或管理节点上的负载均衡器服务,或者直接连接到存储节点。
-
连接到负载均衡器服务的客户端可以使用 HTTPS 或 HTTP,具体取决于您"配置负载均衡器端点"。
HTTPS 提供安全的 TLS 加密通信,值得推荐。您必须将安全证书附加到端点。
HTTP 提供的通信安全性较低,且未加密,因此仅应用于非生产或测试网格。
-
连接到存储节点的客户端也可以使用 HTTPS 或 HTTP。
HTTPS 是默认设置,也是推荐的。
HTTP 提供不太安全、未加密的通信,但可以选择"启用"适用于非生产或测试网格。
-
StorageGRID和客户端之间的通信使用 TLS 加密。
-
无论负载均衡器端点配置为接受 HTTP 还是 HTTPS 连接,负载均衡器服务和网格内的存储节点之间的通信都是加密的。
-
客户必须提供"HTTP 身份验证标头"到StorageGRID执行 REST API 操作。
安全证书和客户端应用程序
在所有情况下,客户端应用程序都可以使用网格管理员上传的自定义服务器证书或StorageGRID系统生成的证书建立 TLS 连接:
-
当客户端应用程序连接到负载均衡器服务时,它们使用为负载均衡器端点配置的证书。每个负载均衡器端点都有自己的证书——要么是网格管理员上传的自定义服务器证书,要么是网格管理员在配置端点时在StorageGRID中生成的证书。
看"负载平衡的注意事项" 。
-
当客户端应用程序直接连接到存储节点时,它们要么使用安装StorageGRID系统时为存储节点生成的系统生成的服务器证书(由系统证书颁发机构签名),要么使用网格管理员为网格提供的单个自定义服务器证书。看"添加自定义 S3 API 证书" 。
客户端应配置为信任签署其用于建立 TLS 连接的任何证书的证书颁发机构。
TLS 库支持的哈希和加密算法
StorageGRID系统支持一组客户端应用程序在建立 TLS 会话时可以使用的密码套件。要配置密码,请转到 配置 > 安全 > 安全设置 并选择 TLS 和 SSH 策略。
支持的 TLS 版本
StorageGRID支持 TLS 1.2 和 TLS 1.3。
|
SSLv3 和 TLS 1.1(或更早版本)不再受支持。 |