S3 用戶端的安全性
建議變更
PDF
StorageGRID 租戶帳戶使用 S3 用戶端應用程式、將物件資料儲存至 StorageGRID 。您應該檢閱為用戶端應用程式實作的安全性措施。
摘要
下表摘要說明如何實作 S3 REST API 的安全性:
- 連線安全性
-
TLS
- 伺服器驗證
-
由系統CA或系統管理員提供的自訂伺服器憑證簽署的X.509伺服器憑證
- 用戶端驗證
-
S3 帳戶存取金鑰 ID 和秘密存取金鑰
- 用戶端授權
-
貯體擁有權及所有適用的存取控制原則
StorageGRID 如何為用戶端應用程式提供安全性
S3 用戶端應用程式可以連線至 Gateway 節點或管理節點上的負載平衡器服務、或直接連線至 Storage Node 。
-
連接到負載平衡器服務的用戶端可以根據您的方式使用 HTTPS 或 HTTP "設定負載平衡器端點"。
HTTPS 提供安全的 TLS 加密通訊、建議使用。您必須將安全性憑證附加至端點。
HTTP 提供較不安全的未加密通訊、只能用於非正式作業或測試網格。
-
連線至儲存節點的用戶端也可以使用 HTTPS 或 HTTP 。
HTTPS 是預設值、建議使用。
HTTP 提供較不安全的未加密通訊、但可選擇性"已啟用"用於非正式作業或測試網格。
-
支援使用TLS加密支援不支援的客戶端與StorageGRID 之通訊。
-
無論負載平衡器端點是設定為接受HTTP或HTTPS連線、網格內負載平衡器服務與儲存節點之間的通訊都會加密。
-
用戶端必須提供"HTTP 驗證標頭"給 StorageGRID 才能執行 REST API 作業。
安全性憑證與用戶端應用程式
在任何情況下、用戶端應用程式都可以使用網格管理員上傳的自訂伺服器憑證或StorageGRID 由該系統產生的憑證來建立TLS連線:
-
當用戶端應用程式連線到負載平衡器服務時、會使用為負載平衡器端點設定的憑證。每個負載平衡器端點都有自己的憑證 — ;網格管理員上傳的自訂伺服器憑證、或是網格管理員在設定端點時在 StorageGRID 中產生的憑證。
請參閱。 "負載平衡考量"
-
當用戶端應用程式直接連線至儲存節點時、它們會使用安裝 StorageGRID 系統(由系統憑證授權單位簽署)時為儲存節點產生的系統產生的伺服器憑證、 或是由網格管理員提供給網格的單一自訂伺服器憑證。請參閱。 "新增自訂的 S3 API 憑證"
用戶端應設定為信任已簽署其用於建立TLS連線之任何憑證的憑證授權單位。
TLS程式庫支援的雜湊和加密演算法
StorageGRID 系統支援一組加密套件、用戶端應用程式可在建立 TLS 工作階段時使用這些套件。要配置加密算法,請轉至 * 配置 * > * 安全性 * > * 安全性設置 * ,然後選擇 *TLS 和 SSH 策略 * 。
支援的TLS版本
支援TLS 1.2和TLS 1.3。StorageGRID
|
不再支援SSLv3和TLS 1.1(或更早版本)。 |