安全清单
在规划生产环境的分布式 MinIO 部署的安全配置时,请使用以下检查清单。
必需步骤
在 MinIO 或选定的第三方身份提供商(LDAP/Active Directory 或 OpenID)上定义组策略 |
|
在 MinIO 或选定的第三方身份提供商上定义个人访问策略 |
|
(仅适用于 Kubernetes 部署)配置租户以使用选定的第三方身份提供程序 |
|
授予对 MinIO Server S3 API 监听端口的 TCP 流量防火墙访问权限(默认端口: |
|
授予TCP流量的防火墙访问权限MinIO Server Console 监听端口(推荐默认值: |
静态加密
MinIO 通过密钥加密服务(KES)支持以下外部 KMS 提供商:
下载并安装 MinIO 密钥加密服务(KES) |
|
启用 TLS |
|
生成 KES 的私钥和公钥 |
|
为 MinIO 生成私钥和公钥 |
|
创建 KES 配置文件并启动服务 |
|
为密钥管理服务(KMS)生成外部密钥 |
|
将 MinIO 连接到 KES |
|
启用服务器端加密 |
传输中加密("传输中")
为访问 MinIO 的每个内部和外部域名分别添加独立的证书和密钥 |
|
使用支持的TLS 1.3或TLS 1.2密码套件生成TLS公钥和私钥 |
|
配置受信任的证书颁发机构(CA)存储 |
|
暴露你的 Kubernetes 服务,例如使用 NGINX |
|
(可选)验证证书,例如通过https://www.sslchecker.com/certdecoder |
本作品采用知识共享 署名 4.0 国际许可协议2020年至今,MinIO公司
