本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

S3 或 Swift 用戶端的安全性

02/14/2024 貢獻者

StorageGRID 租戶帳戶使用 S3 或 Swift 用戶端應用程式、將物件資料儲存至 StorageGRID 。您應該檢閱為用戶端應用程式實作的安全性措施。

摘要

下表摘要說明如何為 S3 和 Swift REST API 實作安全性：

安全問題	REST API的實作
連線安全性	TLS
伺服器驗證	由系統CA或系統管理員提供的自訂伺服器憑證簽署的X．509伺服器憑證
用戶端驗證	S3 S3 帳戶（存取金鑰 ID 和秘密存取金鑰） Swift Swift 帳戶（使用者名稱和密碼）
用戶端授權	S3 貯體擁有權及所有適用的存取控制原則 Swift 系統管理員角色存取

安全問題

REST API的實作

連線安全性

TLS

伺服器驗證

由系統CA或系統管理員提供的自訂伺服器憑證簽署的X．509伺服器憑證

用戶端驗證

用戶端授權

S3 和 Swift 用戶端應用程式可以連線至 Gateway 節點或管理節點上的負載平衡器服務、或直接連線至 Storage Node 。

連線至負載平衡器服務的用戶端可以根據您的方式使用 HTTPS 或 HTTP "設定負載平衡器端點"。

HTTPS 提供安全的 TLS 加密通訊、建議使用。您必須將安全性憑證附加至端點。

HTTP 提供較不安全的未加密通訊、只能用於非正式作業或測試網格。
連線至儲存節點的用戶端也可以使用 HTTPS 或 HTTP 。

HTTPS 是預設值、建議使用。

HTTP 提供較不安全、未加密的通訊、但可選擇性使用 "已啟用" 適用於非正式作業或測試網格。
支援使用TLS加密支援不支援的客戶端與StorageGRID 之通訊。
無論負載平衡器端點是設定為接受HTTP或HTTPS連線、網格內負載平衡器服務與儲存節點之間的通訊都會加密。
用戶端必須提供HTTP驗證標頭StorageGRID 給才能執行REST API作業。請參閱 "驗證要求" 和 "支援的Swift API端點"。

在任何情況下、用戶端應用程式都可以使用網格管理員上傳的自訂伺服器憑證或StorageGRID 由該系統產生的憑證來建立TLS連線：

當用戶端應用程式連線到負載平衡器服務時、會使用為負載平衡器端點設定的憑證。每個負載平衡器端點都有自己的憑證 &#8212 ；網格管理員上傳的自訂伺服器憑證、或是網格管理員在設定端點時在 StorageGRID 中產生的憑證。

請參閱 "負載平衡考量"。
當用戶端應用程式直接連線至儲存節點時、它們會使用安裝 StorageGRID 系統（由系統憑證授權單位簽署）時為儲存節點產生的系統產生的伺服器憑證、或是由網格管理員提供給網格的單一自訂伺服器憑證。請參閱 "新增自訂 S3 或 Swift API 憑證"。

用戶端應設定為信任已簽署其用於建立TLS連線之任何憑證的憑證授權單位。

StorageGRID 系統支援一組加密套件、用戶端應用程式可在建立 TLS 工作階段時使用這些套件。要配置加密算法，請轉至 * 配置 * > * 安全性 * > * 安全性設置 * ，然後選擇 *TLS 和 SSH 策略 * 。

支援TLS 1.2和TLS 1.3。StorageGRID

不再支援SSLv3和TLS 1.1（或更早版本）。