密钥管理¶

为了解决经常提及的租户数据隐私问题并限制云服务提供商的责任，OpenStack 社区对使数据加密更加普及表现出更大的兴趣。最终用户在将其数据保存到云端之前对其进行加密相对容易，这对于媒体文件、数据库归档等租户对象来说是一种可行的途径。在某些情况下，客户端加密被用于加密虚拟化技术持有的数据，这需要客户端交互，例如提供密钥以供将来使用时解密数据。为了无缝保护数据并在不给客户端带来管理密钥和交互式提供密钥的负担的情况下使其可访问，需要在 OpenStack 中提供密钥管理服务。将加密和密钥管理服务作为 OpenStack 的一部分提供，可以简化静态数据安全采用，解决客户对隐私或数据滥用的担忧，同时限制云服务提供商的责任。这有助于减少提供商在多租户公共云中发生事件调查期间处理租户数据时的责任。

卷加密和临时磁盘加密功能依赖于密钥管理服务（例如，barbican）来创建和安全存储密钥。密钥管理器是可插拔的，以方便需要第三方硬件安全模块 (HSM) 或使用密钥管理互操作协议 (KMIP) 的部署，该协议由一个名为 PyKMIP 的开源项目支持。