S3 用戶端的安全性
建議變更
PDF
StorageGRID租用戶帳戶使用 S3 用戶端應用程式將物件資料儲存到StorageGRID。您應該檢查針對客戶端應用程式實施的安全措施。
總結
以下列表總結如何實現 S3 REST API 的安全性:
- 連線安全
-
TLS
- 伺服器身份驗證
-
由系統 CA 簽署的 X.509 伺服器憑證或由管理員提供的自訂伺服器憑證
- 客戶端身份驗證
-
S3 帳戶存取金鑰 ID 和秘密存取金鑰
- 客戶端授權
-
儲存桶所有權和所有適用的存取控制策略
StorageGRID如何為客戶端應用程式提供安全性
S3 用戶端應用程式可以連接到網關節點或管理節點上的負載平衡器服務,或直接連接到儲存節點。
-
連接到負載平衡器服務的用戶端可以使用 HTTPS 或 HTTP,具體取決於您"配置負載平衡器端點"。
HTTPS 提供安全的 TLS 加密通信,值得推薦。您必須將安全性憑證附加到端點。
HTTP 提供的通訊安全性較低,且未加密,因此僅套用於非生產或測試網格。
-
連接到儲存節點的用戶端也可以使用 HTTPS 或 HTTP。
HTTPS 是預設設置,也是建議的。
HTTP 提供較不安全、未加密的通信,但可以選擇"已啟用"適用於非生產或測試網格。
-
StorageGRID和客戶端之間的通訊使用 TLS 加密。
-
無論負載平衡器端點配置為接受 HTTP 還是 HTTPS 連接,負載平衡器服務和網格內的儲存節點之間的通訊都是加密的。
-
客戶必須提供"HTTP 驗證標頭"到StorageGRID執行 REST API 操作。
安全性憑證和客戶端應用程式
在所有情況下,用戶端應用程式都可以使用網格管理員上傳的自訂伺服器憑證或StorageGRID系統產生的憑證建立 TLS 連線:
-
當客戶端應用程式連接到負載平衡器服務時,它們使用為負載平衡器端點配置的憑證。每個負載平衡器端點都有自己的證書——要么是網格管理員上傳的自訂伺服器證書,要么是網格管理員在配置端點時在StorageGRID中產生的證書。
看"負載平衡的注意事項" 。
-
當客戶端應用程式直接連接到儲存節點時,它們要麼使用安裝StorageGRID系統時為儲存節點產生的系統產生的伺服器憑證(由系統憑證授權單位簽署),要麼使用網格管理員為網格提供的單一自訂伺服器憑證。看"新增自訂 S3 API 證書" 。
用戶端應設定為信任簽署其用於建立 TLS 連線的任何憑證的憑證授權單位。
TLS 庫支援的雜湊和加密演算法
StorageGRID系統支援一組用戶端應用程式在建立 TLS 會話時可以使用的密碼套件。若要設定密碼,請前往 設定 > 安全 > 安全設定 並選擇 TLS 和 SSH 原則。
支援的 TLS 版本
StorageGRID支援 TLS 1.2 和 TLS 1.3。
|
SSLv3 和 TLS 1.1(或更早版本)不再支援。 |