一、核心加密方式及特點

1. SSE-S3（Server-Side Encryption with MinIO-Managed Keys）

密鑰由 MinIO 自身生成、管理和輪換，無需用戶干預。

加密范圍覆蓋對象數據和元數據，默認支持自動加密桶內新增對象。

2. SSE-KMS（Server-Side Encryption with KMS-Managed Keys）

密鑰由外部 KMS 服務（如 HashiCorp Vault、AWS KMS）管理，MinIO 僅存儲密鑰標識符。

支持細粒度密鑰策略，可對接 KMS 的密鑰輪換、權限管控功能。

3. SSE-C（Server-Side Encryption with Customer-Provided Keys）

密鑰由用戶自行提供，MinIO 僅在加密 / 解密時臨時使用，不存儲任何密鑰信息。

需用戶自行負責密鑰的備份、輪換和安全保管。

二、各類加密方式優缺點對比

SSE-S3（服務器端加密每部署密鑰）

優點

配置最簡單，零密鑰管理成本，開箱即用，適合中小規模部署。

缺點

密鑰與 MinIO 服務共存，若 MinIO 服務被入侵可能導致密鑰泄露，缺乏第三方密鑰審計能力。

實現

此方式需要部署minio官網的kes服務支持，具體方法參考官方文檔

官方參考地址：https://min-io.cn/docs/kes/tutorials/kes-for-minio/

SSE-KMS（使用存儲桶密鑰的服務器端加密）

優點

密鑰安全性最高，分離存儲與密鑰管理，支持合規審計，適合企業級、大規模部署。

缺點

需額外部署 / 對接 KMS 服務，增加運維成本和系統復雜度。

實現

此方式實現需要使用云廠商的KMS服務。

AWS Secrets Manager

Azure Key Vault

Entrust KeyControl

Fortanix SDKMS

Google Cloud Secret Manager

HashiCorp Vault Keystore

Thales CipherTrust Manager (以前稱為 Gemalto KeySecure)

SSE-C（服務器端加密與客戶端管理密鑰）

優點

用戶完全掌控密鑰，MinIO 無密鑰存儲風險，滿足極高隱私需求場景。

缺點

用戶需自行處理密鑰丟失、輪換問題，密鑰傳輸過程需額外保障安全，易因密鑰管理不當導致數據丟失。

具體實現

官方參考地址：https://www.minio.org.cn/docs/minio/linux/administration/server-side-encryption/server-side-encryption-sse-c.html

1、生成加密密鑰

cat /dev/urandom | head -c 32 | base64 -

2、使用 SSE-C 加密一個對象

mc cp ~/data/mydata.json ALIAS/BUCKET/mydata.json \
--encrypt-key "ALIAS/BUCKET/=c2VjcmV0ZW5jcnlwdGlvbmtleWNoYW5nZW1lMTIzNAo="

- 將 ALIAS 替換為 MinIO部署的 alias， 您希望在此部署上寫入 SSE-C加密的對象。

- 將 BUCKET 替換為要寫入 SSE-C加密對象的完整桶路徑或桶前綴。

3、復制一個SSE-C加密的對象

mc cp SOURCE/BUCKET/mydata.json TARGET/BUCKET/mydata.json  \
--encrypt-key "SOURCE/BUCKET/=c2VjcmV0ZW5jcnlwdGlvbmtleWNoYW5nZW1lMTIzNAo=,TARGET/BUCKET/=c2VjcmV0ZW5jcnlwdGlvbmtleWNoYW5nZW1lMTIzNAo="

- 將 SOURCE/BUCKET 替換為從其讀取加密對象的MinIO部署的 別名 以及您想要讀取SSE-C加密對象的完整存儲桶 或存儲桶前綴 路徑。

- 將 TARGET/BUCKET 替換為寫入加密對象的MinIO部署的 別名 以及您想要寫入SSE-C加密對象的完整存儲桶 或存儲桶前綴 路徑

備注：此加密方法是有客戶端保存密鑰，上傳和下載文件的時候，傳入相同的密鑰，需要客戶端保存好自己的密鑰，如密鑰丟失，則數據丟失。

三、通用優缺點（所有服務端加密）

共同優點

數據靜態加密，符合 GDPR、HIPAA 等合規要求，防止存儲介質泄露導致數據泄露。

加密 / 解密過程由 MinIO 服務端處理，對客戶端透明，不影響業務使用。

共同缺點

增加服務端 CPU 開銷，可能導致讀寫性能下降（通常降低 10%-20%，視硬件配置而定）。

加密后的數據無法直接通過存儲介質讀取，需通過 MinIO 服務解密，增加數據恢復依賴。