密钥管理

运维人员通过使用各种加密技术来保护云部署中的敏感信息。例如，对静态数据进行加密或对镜像进行签名以证明其未被篡改。在所有情况下，这些加密能力都需要某种密钥材料才能运行。

密钥管理描述了一组旨在在软件系统中保护密钥材料的技术。传统上，密钥管理涉及部署硬件安全模块 (HSM)。这些设备在物理上已针对篡改进行了加固。

随着技术的进步，需要保护的秘密内容已增加到密钥材料之外，包括证书对、API 密钥、系统密码、签名密钥等。这种增加创造了对更可扩展的密钥管理方法的需求，并导致创建了许多提供可扩展动态密钥管理的软件服务。本章描述了当今存在的服务，并重点关注那些可以集成到 OpenStack 云中的服务。

• 现有技术的总结
• 相关 OpenStack 项目
• 用例
  • 镜像签名验证
  • 卷加密
  • 临时磁盘加密
  • Sahara
  • Magnum
  • Octavia/LBaaS
  • Swift
  • 配置文件中的密码
• Barbican
  • 概述
  • 加密插件
  • 简单加密插件
  • PKCS#11 加密插件
  • 密钥存储插件
  • KMIP 插件
  • Dogtag 插件
  • Vault 插件
• Castellan
  • 概述
• 常见问题解答
• 检查清单
  • 检查-密钥管理器-01：配置文件所有权是否设置为 root/barbican？
  • 检查-密钥管理器-02：是否为配置文件设置了严格的权限？
  • 检查-密钥管理器-03：是否使用 OpenStack Identity 进行身份验证？
  • 检查-密钥管理器-04：是否为身份验证启用了 TLS？