注意
本文档适用于 Ceph 的开发版本。
OpenStack Barbican 集成
OpenStack Barbican 可用作服务端加密的安全密钥管理服务。
配置 Keystone
Barbican 依赖 Keystone 对其密钥进行授权和访问控制。
创建 Keystone 用户
创建一个新用户,供 Ceph 对象网关用于检索密钥。
例如
user = rgwcrypt-user
pass = rgwcrypt-password
tenant = rgwcrypt
请参阅 OpenStack 文档中的管理项目、用户和角色。
在 Barbican 中创建密钥
请参阅 Barbican 文档中的如何创建密钥。对 Barbican 的请求必须在 X-Auth-Token 标头中包含有效的 Keystone 令牌。
注意
服务端加密密钥必须为 256 位长且经过 base64 编码。
请求示例
POST /v1/secrets HTTP/1.1
Host: barbican.example.com:9311
Accept: */*
Content-Type: application/json
X-Auth-Token: 7f7d588dd29b44df983bc961a6b73a10
Content-Length: 299
{
"name": "my-key",
"expiration": "2016-12-28T19:14:44.180394",
"algorithm": "aes",
"bit_length": 256,
"mode": "cbc",
"payload": "6b+WOZ1T3cqZMxgThRcXAQBrS5mXKdDUphvpxptl9/4=",
"payload_content_type": "application/octet-stream",
"payload_content_encoding": "base64"
}
响应
{"secret_ref": "http://barbican.example.com:9311/v1/secrets/d1e7ef3b-f841-4b7c-90b2-b7d90ca2d723"}
在响应中,d1e7ef3b-f841-4b7c-90b2-b7d90ca2d723 是密钥 ID,可用于任何 SSE-KMS 请求。
新创建的密钥无法被用户 rgwcrypt-user 访问。必须通过 ACL 添加此权限。有关详细信息,请参阅如何设置/替换 ACL。
请求示例(假设 rgwcrypt-user 的 Keystone ID 为 906aa90bd8a946c89cdff80d0869460f)
PUT /v1/secrets/d1e7ef3b-f841-4b7c-90b2-b7d90ca2d723/acl HTTP/1.1
Host: barbican.example.com:9311
Accept: */*
Content-Type: application/json
X-Auth-Token: 7f7d588dd29b44df983bc961a6b73a10
Content-Length: 101
{
"read":{
"users":[ "906aa90bd8a946c89cdff80d0869460f" ],
"project-access": true
}
}
响应
{"acl_ref": "http://barbican.example.com:9311/v1/secrets/d1e7ef3b-f841-4b7c-90b2-b7d90ca2d723/acl"}
配置 Ceph 对象网关
编辑 Ceph 配置文件以启用 Barbican 作为 KMS,并添加有关 Barbican 服务器和 Keystone 用户的信息
rgw crypt s3 kms backend = barbican
rgw barbican url = http://barbican.example.com:9311
rgw keystone barbican user = rgwcrypt-user
rgw keystone barbican password = rgwcrypt-password
使用 Keystone API 版本 2 时
rgw keystone barbican tenant = rgwcrypt
使用 API 版本 3 时
rgw keystone barbican project
rgw keystone barbican domain