本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

KMS與應用裝置組態總覽

貢獻者

在使用金鑰管理伺服器(KMS)來保護StorageGRID 應用裝置節點上的各項資料之前、您必須先完成兩項組態工作:設定一或多個KMS伺服器、以及為應用裝置節點啟用節點加密。完成這兩項組態工作之後、就會自動執行金鑰管理程序。

流程圖顯示使用KMS保護StorageGRID 應用裝置節點上的資訊安全的高階步驟。

KMS組態總覽

流程圖會顯示KMS設定與應用裝置設定並行執行、不過您可以根據需求、在新應用裝置節點啟用節點加密之前或之後、設定金鑰管理伺服器。

設定金鑰管理伺服器(KMS)

設定金鑰管理伺服器包括下列高層級步驟。

步驟 請參閱

存取KMS軟體、並在StorageGRID 每個KMS或KMS叢集上新增一個用戶端以供使用。

在StorageGRID KMS取得有關該客戶端的必要資訊。

將KMS新增至Grid Manager、指派給單一站台或預設站台群組、上傳必要的憑證、並儲存KMS組態。

設定產品

設定KMS使用的應用裝置節點包括下列高層級步驟。

  1. 在設備安裝的硬體組態階段、請使用StorageGRID 「支援服務」功能的「應用程式安裝程式」來啟用應用裝置的「節點加密」設定。

    重要 將應用裝置新增至網格後、您無法啟用*節點加密*設定、也無法將外部金鑰管理用於未啟用節點加密的應用裝置。
  2. 執行StorageGRID 《程式安裝程式:在安裝期間、會將隨機資料加密金鑰(DEek)指派給每個應用裝置磁碟區、如下所示:

    • DEK用於加密每個Volume上的資料。這些金鑰是使用應用裝置作業系統中的Linux Unified Key Setup(LUKS)磁碟加密產生、無法變更。

    • 每個個別的「DEK」都是使用主要金鑰加密金鑰(KEK)進行加密。初始KEK是加密DEK的暫用金鑰、直到應用裝置連線至KMS為止。

  3. 將應用裝置節點新增StorageGRID 至

如需詳細資料、請參閱下列內容:

金鑰管理加密程序(自動執行)

金鑰管理加密包括下列自動執行的高層級步驟。

  1. 當您在網格中安裝已啟用節點加密的應用裝置時StorageGRID 、即可判斷包含新節點的站台是否存在KMS組態。

    • 如果站台已設定KMS、則裝置會接收KMS組態。

    • 如果尚未為站台設定KMS、則在您為站台設定KMS、且裝置收到KMS組態之前、應用裝置上的資料會繼續由暫用KEK加密。

  2. 應用裝置使用KMS組態連線至KMS、並要求加密金鑰。

  3. KMS會傳送加密金鑰給應用裝置。來自KMS的新金鑰取代了暫用KEK、現在用於加密和解密應用裝置磁碟區的DEK。

    重要 加密應用裝置節點連線至設定的KMS之前存在的任何資料、都會以暫用金鑰加密。不過、除非KMS加密金鑰取代暫用金鑰、否則應用裝置磁碟區不應被視為受到保護、以免從資料中心移除。
  4. 如果裝置電源已開啟或重新開機、則會重新連線至KMS以要求金鑰。儲存在揮發性記憶體中的金鑰、無法在電力中斷或重新開機後繼續運作。