AWS Secrets Manager

AWS Secrets Manager作为密码、访问令牌和加密密钥等机密的键值存储服务。 AWS 使用加密技术保护这些机密，AWS Key Management Service(AWS-KMS).

本教程展示如何设置一个使用 AWS Secrets Manager 作为持久化密钥存储的 KES 服务器，该存储通过 AWS-KMS 进行保护：

AWS Secrets Manager

前提条件

你需要一个AWS访问密钥和AWS密钥对有足够的IAM 策略使用 AWS Secrets Manager 创建、检索和删除机密的权限。

创建 AWS 访问密钥/密钥对
- 前往AWS console
- 创建新用户
  
  有关添加新 AWS 用户的详细信息，请参阅AWS 文档.
- 使用Programmatic access输入以创建新的访问密钥/密钥对

附加 AWS 策略

将授予访问 AWS Secrets Manager 和 AWS-KMS 权限的策略附加到新用户。

您的 AWS IAM 用户需要具备以下权限：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1578498399136",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:DeleteSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:ListSecrets"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Sid": "Stmt1578498562539",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:Encrypt"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

此示例策略授予对所有KMS和SecretsManager资源的访问权限。您可以通过指定一个AWS ARN as Resource而不是*.

AWS 有预定义策略（SecretsManagerReadWrite和 AWSKeyManagementServicePowerUser然而，这些授权提供了超出所需的权限。

KES Server Setup

生成 KES 服务器私钥和证书

首先，我们需要为KES服务器生成TLS私钥和证书。 KES服务器是默认安全并且只能通过 TLS 运行。为简化操作，这里我们使用自签名证书。

以下命令生成一个新的TLS私钥/公钥对以及IP地址的证书127.0.0.1DNS 名称为localhost:
```
$ kes identity new --ip "127.0.0.1" localhost

  Private key:  private.key
  Certificate:  public.crt
  Identity:     2e897f99a779cf5dd147e58de0fe55a494f546f4dcae8bc9e5426d2b5cd35680
```
如果你已经有 TLS 私钥和证书，例如来自 WebPKI 或内部 CA，你可以使用它们代替。记得调整tls稍后的配置部分。

生成客户端凭据

以下命令生成一个新的TLS私钥/公钥对：

$ kes identity new --key=client.key --cert=client.crt MyApp

  Private key:  client.key
  Certificate:  client.crt
  Identity:     02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b

TheIdentity是公钥的唯一指纹client.crt您可以随时重新计算：

$ kes identity of client.crt

  Identity:  02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b

配置 KES 服务器

创建 KES 服务器配置文件: config.yml身份必须匹配策略部分中的内容client.crt身份。

address: 0.0.0.0:7373 # Listen on all network interfaces on port 7373

admin:
  identity: disabled  # We disable the admin identity since we don't need it in this guide 

tls:
  key: private.key    # The KES server TLS private key
  cert: public.crt    # The KES server TLS certificate

policy:
  my-app: 
    allow:
    - /v1/key/create/my-key*
    - /v1/key/generate/my-key*
    - /v1/key/decrypt/my-key*
    identities:
    - 02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b # Use the identity of your client.crt

keystore:
     aws:
       secretsmanager:
         endpoint: secretsmanager.us-east-2.amazonaws.com  # Use the SecretsManager in your region.
         region:   us-east-2                               # Use your region
         kmskey:   ""                                      # Your AWS-KMS master key (CMK) - optional.
         credentials:
           accesskey: "" # Your AWS Access Key
           secretkey: "" # Your AWS Secret Key

启动 KES 服务器
```
$ kes server --config config.yml --auth off
```
Linux Swap Protection
在 Linux 环境中，KES 可以使用mlocksyscall 防止操作系统将内存中的数据写入磁盘（交换）。这可以防止敏感数据泄露。

使用以下命令允许 KES 使用mlock未以运行权限进行的系统调用rootprivileges:
```
sudo setcap cap_ipc_lock=+ep $(readlink -f $(which kes))
```
启动一个具有内存保护功能的 KES 服务器实例：
```
kes server --config config.yml --auth off --mlock
```

KES CLI 访问

SetKES_SERVER端点

这个环境变量告诉 KES CLI 它应该与哪个服务器通信。
```
$ export KES_SERVER=https://127.0.0.1:7373
```
使用客户端凭据

以下环境变量设置了 KES CLI 用于与 KES 服务器通信的访问凭证。
```
$ export KES_CLIENT_CERT=client.crt
```
```
$ export KES_CLIENT_KEY=client.key
```

测试访问

执行基于我们之前分配的策略所允许的任何API操作。

例如，要创建一个密钥：

$ kes key create my-key-1

使用密钥生成新的数据加密密钥：

$ kes key dek my-key-1
{
  plaintext : UGgcVBgyQYwxKzve7UJNV5x8aTiPJFoR+s828reNjh0=
  ciphertext: eyJhZWFkIjoiQUVTLTI1Ni1HQ00tSE1BQy1TSEEtMjU2IiwiaWQiOiIxMTc1ZjJjNDMyMjNjNjNmNjY1MDk5ZDExNmU3Yzc4NCIsIml2IjoiVHBtbHpWTDh5a2t4VVREV1RSTU5Tdz09Iiwibm9uY2UiOiJkeGl0R3A3bFB6S21rTE5HIiwiYnl0ZXMiOiJaaWdobEZrTUFuVVBWSG0wZDhSYUNBY3pnRWRsQzJqWFhCK1YxaWl2MXdnYjhBRytuTWx0Y3BGK0RtV1VoNkZaIn0=
}

使用 KES 与 MinIO 服务器

MinIO Server 需要 KES 来启用服务器端数据加密。

查看MinIO KES 操作指南有关将新的 KES 服务器与 MinIO 服务器配合使用所需的额外步骤。

配置参考

以下部分介绍了如何使用 AWS Secrets Manager 和 AWS 密钥管理系统作为根 KMS 来存储外部密钥的 Key Encryption Service (KES) 配置设置，例如用于 MinIO 服务器端加密的密钥。

MinIO Server 需要扩展权限

从MinIO Server RELEASE.2023-02-17T17-52-43ZMinIO 需要扩展的 KES 权限才能实现功能。本节中的示例配置包含所有必需的权限。

YAML 概述

带有${<STRING>}使用匹配的环境变量<STRING>值。您可以使用此功能设置凭据，而无需将其写入配置文件。

YAML 假设 MinIO 部署访问 KES 时具有最小权限集。作为替代方案，您可以省略policy.minio-serversection 并改为设置${MINIO_IDENTITY}hash 作为${ROOT_IDENTITY}.

address: 0.0.0.0:7373
root: ${ROOT_IDENTITY}

tls:
  key: kes-server.key
  cert: kes-server.cert

api:
  /v1/ready:
    skip_auth: false
    timeout:   15s

policy:
  minio-server:
    allow:
    - /v1/key/create/*
    - /v1/key/generate/*
    - /v1/key/decrypt/*
    - /v1/key/bulk/decrypt
    - /v1/key/list/*
    - /v1/status
    - /v1/metrics
    - /v1/log/audit
    - /v1/log/error
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - ${MINIO_IDENTITY}

    my-app:
    allow:
    - /v1/key/create/my-app*
    - /v1/key/generate/my-app*
    - /v1/key/decrypt/my-app*
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - df7281ca3fed4ef7d06297eb7cb9d590a4edc863b4425f4762bb2afaebfd3258
    - c0ecd5962eaf937422268b80a93dde4786dc9783fb2480ddea0f3e5fe471a731

keys:
  - name: "minio-encryption-key-alpha"
  - name: "minio-encryption-key-baker"
  - name: "minio-encryption-key-charlie"

cache:
  expiry:
    any: 5m0s
    unused: 20s
    offline: 0s

log:

  # Log error events to STDERR. Valid values are "on" or "off". 
  # Default is "on". 
  error: on

  # Log audit events to STDOUT. Valid values are "on" and "off". 
  # Default is "off". 
  audit: off

keystore:
  aws:
    # See: https://aws.amazon.com/secrets-manager
    secretsmanager:
      endpoint: secretsmanager.REGION.amazonaws
      region: REGION 
      kmskey: "" 
      credentials: 
        accesskey: "${AWS_ACCESS_KEY}" 
        secretkey: "${AWS_SECRET_KEY}" 
        token: ""

参考

有关完整文档，请参阅配置页面.

Key	描述
`address`	KES服务器启动时监听的网络地址和端口。默认端口为`7373`在所有主机网络接口上。
`root`	KES超级用户的身份（`root`) 身份。使用TLS证书连接的客户端，其哈希值(`kes identity of client.cert`) 匹配此值的实体有权访问所有 KES API 操作。指定`disabled`移除根身份并仅依赖于`policy`用于控制 KES 身份和访问管理的配置。
`tls`	KES 用于建立 TLS 安全通信的 TLS 私钥和证书。请同时指定私钥和证书的完整路径。`.key`和公共`.cert`到`key`和`cert`字段，分别。
`policy`	指定一个或多个策略用于控制对 KES 服务器的访问。MinIO SSE 需要访问以下 KES 加密 API： `/v1/key/create/` `/v1/key/generate/` `/v1/key/decrypt/` 指定额外的密钥不会扩展 MinIO SSE 功能，且可能违反关于向客户端提供不必要的加密密钥操作访问权限的安全最佳实践。您可以通过在 MinIO 创建密钥名称前指定前缀来限制其执行 SSE 时的密钥名称范围`.`例如，`minio-sse-*`仅授予访问权限`create`, `generate`或`decrypt`使用密钥`minio-sse-`prefix. KES 使用 mTLS 对连接客户端进行授权，通过将 TLS 证书的哈希值与`identities`每个已配置策略的。使用`kes identity of`命令用于计算 MinIO mTLS 证书的身份并将其添加到`policy.<NAME>.identities`将数组关联到 MinIO`<NAME>`policy.
`keys`	指定一个键的数组必须必须存在于根 KMS 上，KES 才能成功启动。如果这些密钥不存在，KES 会尝试创建它们；如果未能创建一个或多个密钥，则会退出并报错。在完成对所有指定密钥的验证之前，KES 不会接受任何客户端请求。
`cache`	指定缓存密钥的过期时间`#d#h#m#s`格式。在 KMS 暂时不可用的情况下，可以使用未过期的密钥。条目可以设置为`any`key,`unused`键，或`offline`keys. 如果未设置，KES将使用以下值：`5m`对于所有键，`20s`对于未使用的密钥，`0s`对于离线密钥。
`log`	启用或禁用输出`error`和`audit`将日志事件输出到控制台。
`keystore.aws.secretsmanager`	使用此值部分配置 AWS Secrets Manager 和 AWS KMS。
`keystore.aws.secretsmanager.endpoint`	Secrets Manager 服务的端点，包括区域信息。例如，`secretsmanager.us-east-1.amazonaws.com`.
`keystore.aws.secretsmanager.region`	用于其他 AWS 服务的 AWS 区域。
`keystore.aws.secretsmanager.kmskey`	用于加密操作的根KMS密钥。以前称为客户主密钥。
`keystore.aws.secretsmanager.credentials`	用于对Secrets Manager和KMS执行认证操作的AWS凭据。指定的凭据必须有适当权限. 为两者都创建条目`accesskey`和`secretkey`. 条目`token`通常是可选的。