本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定REST API的安全性

貢獻者

您應該檢閱針對REST API實作的安全措施、並瞭解如何保護系統安全。

如何為REST API提供安全性StorageGRID

您應該瞭解StorageGRID 什麼是讓此系統為REST API實作安全性、驗證和授權。

使用下列安全措施。StorageGRID

  • 如果已針對負載平衡器端點設定HTTPS、則用戶端與負載平衡器服務的通訊會使用HTTPS。

    當您設定負載平衡器端點時、可以選擇啟用HTTP。例如、您可能想要使用HTTP進行測試或其他非正式作業用途。如StorageGRID 需詳細資訊、請參閱《關於管理功能的說明》。

  • 根據預設StorageGRID 、使用HTTPS與儲存節點進行用戶端通訊、並在閘道節點上使用CLB服務。

    您可以選擇性地為這些連線啟用HTTP。例如、您可能想要使用HTTP進行測試或其他非正式作業用途。如StorageGRID 需詳細資訊、請參閱《關於管理功能的說明》。

    附註 CLB服務已過時。
  • 支援使用TLS加密支援不支援的客戶端與StorageGRID 之通訊。

  • 無論負載平衡器端點是設定為接受HTTP或HTTPS連線、網格內負載平衡器服務與儲存節點之間的通訊都會加密。

  • 用戶端必須提供HTTP驗證標頭StorageGRID 給才能執行REST API作業。

安全性憑證與用戶端應用程式

用戶端可連線至閘道節點或管理節點上的負載平衡器服務、直接連線至儲存節點、或連線至閘道節點上已過時的CLB服務。

在任何情況下、用戶端應用程式都可以使用網格管理員上傳的自訂伺服器憑證或StorageGRID 由該系統產生的憑證來建立TLS連線:

  • 當用戶端應用程式連線至負載平衡器服務時、應用程式會使用針對用於建立連線的特定負載平衡器端點所設定的憑證來執行此作業。每個端點都有自己的憑證、可以是由網格管理員上傳的自訂伺服器憑證、也可以是網格管理員StorageGRID 在設定端點時產生的憑證。

  • 當用戶端應用程式直接連線至儲存節點或閘道節點上的CLB服務時、它們會使用StorageGRID 安裝時(由系統憑證授權單位簽署)為儲存節點產生的系統產生伺服器憑證、 或是由網格管理員提供的單一自訂伺服器憑證。

用戶端應設定為信任已簽署其用於建立TLS連線之任何憑證的憑證授權單位。

如StorageGRID 需設定負載平衡器端點的相關資訊、以及新增單一自訂伺服器憑證以供TLS連線直接連線至儲存節點或閘道節點上的CLB服務的相關指示、請參閱《for Administering》(管理功能)。

摘要

下表顯示S3和Swift REST API如何實作安全性問題:

安全問題 REST API的實作

連線安全性

TLS

伺服器驗證

由系統CA或系統管理員提供的自訂伺服器憑證簽署的X.509伺服器憑證

用戶端驗證

  • S3:S3帳戶(存取金鑰ID和秘密存取金鑰)

  • Swift:Swift帳戶(使用者名稱和密碼)

用戶端授權

  • S3:貯體所有權及所有適用的存取控制原則

  • Swift:系統管理員角色存取

TLS程式庫支援的雜湊和加密演算法

支援一套有限的加密套件、用戶端應用程式可在建立傳輸層安全性(TLS)工作階段時使用。StorageGRID

支援的TLS版本

支援TLS 1.2和TLS 1.3。StorageGRID

重要 不再支援SSLv3和TLS 1.1(或更早版本)。

支援的加密套件

TLS版本 加密套件的IANA名稱

1.2

TLS_ECDHE_RSA_with _AES-256_GCM_SHA384

TLS_ECDHE_RSA_with _CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_with _AES-122_GCM_SHA256

1.3

TLS_AES-256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_AES-128_GCM_SHA256

已過時的加密套件

下列加密套件已過時。未來版本將會移除對這些密碼的支援。

IANA名稱

TLS_RSA_AT_AES-122_GCM_SHA256

TLS_RSA_AT_AES-256_GCM_SHA384