常见问题解答

  1. 在 OpenStack 中安全存储密钥的推荐方法是什么?

在 OpenStack 中安全存储和管理密钥的推荐方法是使用 Barbican。

  1. 我应该使用 Barbican 的原因是什么?

Barbican 是一个 OpenStack 服务,它具有多租户感知能力,并使用 Keystone 令牌进行身份验证。这意味着对密钥的访问通过 OpenStack 策略为租户和 RBAC 角色控制。

Barbican 具有多个可插拔的后端,这些后端可以使用 PKCS#11 或 KMIP 与基于软件和硬件的安全模块进行通信。

  1. 如果我不想使用 Barbican 怎么办?

在 OpenStack 环境中,需要管理两种类型的密钥 - 需要 Keystone 令牌才能访问的密钥,以及不需要 Keystone 令牌才能访问的密钥。

需要 Keystone 身份验证的密钥的示例是属于特定项目的密码和密钥。这些包括,例如,项目的加密 cinder 卷的加密密钥或项目的 glance 镜像的签名密钥。

不需要 Keystone 令牌即可访问的密钥的示例是服务配置文件中的服务用户密码,或不属于任何特定项目的加密密钥。

需要 Keystone 令牌的密钥应使用 Barbican 存储。

不需要 Keystone 身份验证的密钥可以存储在任何实现通过 Castellan 暴露的简单密钥存储 API 的密钥存储中。这包括 Barbican。

  1. 如何使用 Vault、Keywhiz、Custodia 等?

如果为该密钥管理器编写了 Castellan 插件,则可以选择的密钥管理器可以与 OpenStack 一起使用。编写了该插件后,直接或通过 Barbican 使用该插件相对容易。

目前,Vault 和 Custodia 插件正在 Queens 周期中开发。