我目前正在计划一个小型的 OpenStack 部署,并且我想使用 Ceph 进行对象存储(通过 Rados Gateway)和块存储。
头孢支持多租户。 它也是支持加密使用密钥管理服务,如 vault 或 barbican。由于我无论如何都在使用 OpenStack,所以我想使用 barbican。如果我使用碉堡我必须创建一个 keystone 用户,用于访问 barbican 并存储密钥。但这不会造成安全问题吗?
假设我有两个租户,Alice 和 Bob。他们创建了加密存储桶。但由于他们的所有密钥都使用单个用户(Ceph)存储在 barbican 中,那么我(因为我知道 ceph 用户的密码)是否能够读取密钥并解密他们的数据?
一般来说,是否存在一种受支持的用例,即多个用户可以创建加密存储桶而我无法解密他们的数据?