文档 Grafana Mimir 管理 安全 静态数据加密

Grafana Mimir 静态数据加密

Grafana Mimir 支持使用服务器端加密 (SSE) 在对象存储中对静态数据进行加密。SSE 的配置取决于您的存储后端。

Google Cloud Storage

Google Cloud Storage (GCS) 在将数据写入磁盘前会对其进行加密。SSE 默认启用，您无法关闭。有关 GCS 静态加密的更多信息，请参阅数据加密选项。Grafana Mimir 无需额外配置即可使用启用 SSE 的 GCS。

AWS S3

在 AWS S3 中配置 SSE 需要在 Grafana Mimir S3 客户端中进行配置。S3 客户端仅在存储后端为 s3 时使用。Grafana Mimir 支持以下 AWS S3 SSE 模式

• 使用 Amazon S3 管理的密钥进行服务器端加密 (SSE-S3)
• 使用存储在 AWS Key Management Service 中的 KMS 密钥进行服务器端加密 (SSE-KMS)

您可以全局配置 AWS S3 SSE，或为特定租户配置。

全局配置 AWS S3 SSE

全局配置 AWS S3 SSE 需要为以下每个存储后端设置 SSE

• alertmanager_storage
• blocks_storage
• ruler_storage

有关 AWS S3 SSE 配置参数的更多信息，请参阅s3_storage_backend。

以下代码示例展示了 Grafana Mimir 配置文件的一个片段，其中每个后端存储都配置为使用 AWS S3 SSE 和 Amazon S3 管理的密钥。

yaml 复制

alertmanager_storage:
  backend: "s3"
  s3:
    sse:
      type: "SSE-S3"
blocks_storage:
  backend: "s3"
  s3:
    sse:
      type: "SSE-S3"
ruler_storage:
  backend: "s3"
  s3:
    sse:
      type: "SSE-S3"

为特定租户配置 AWS S3 SSE

您可以使用以下设置覆盖每个租户的 AWS S3 SSE

• s3_sse_type
  S3 服务器端加密类型。必须应用此设置才能启用给定租户的 SSE 配置覆盖。
• s3_sse_kms_key_id
  S3 服务器端加密 KMS 密钥 ID。如果未设置 SSE 类型覆盖或类型不是 SSE-KMS，则忽略此设置。
• s3_sse_kms_encryption_context
  S3 服务器端加密 KMS 加密上下文。如果未应用此设置并且已设置密钥 ID 覆盖，则不会向 S3 提供加密上下文。如果未设置 SSE 类型覆盖或类型不是 SSE-KMS，则忽略此设置。

为特定租户配置 AWS S3 SSE 的步骤:

1. 通过验证标志 -runtime-config.file 是否设置为非空值，确保 Grafana Mimir 使用运行时配置文件。有关支持的运行时配置参数的更多信息，请参阅运行时配置。

2. 在运行时配置文件中，应用 overrides.<TENANT> SSE 设置。

   以下是为名为“tenant-a”的租户设置了使用 Amazon S3 管理的密钥进行 AWS S3 SSE 的部分运行时配置文件：

   yaml 复制

   overrides:
     "tenant-a":
       s3_sse_type: "SSE-S3"

3. 保存并部署运行时配置文件。

4. 在 -runtime-config.reload-period 经过后，组件将重新加载运行时配置文件并使用更新的配置。

其他存储

如果在存储级别配置了静态加密，其他存储后端也可能支持。