IBM Cloud Docs
Creazione delle chiavi root

Creazione delle chiavi root

Puoi utilizzare IBM Cloud® Hyper Protect Crypto Services per creare le chiavi rootA symmetric wrapping key that is used for encrypting and decrypting other keys that are stored in a data service. utilizzando l'IU o in modo programmatico con l'API del servizio di gestione chiavi Hyper Protect Crypto Services.

Le chiavi root sono chiavi simmetriche per l'impacchettamento della chiave che vengono utilizzate per proteggere la sicurezza dei dati crittografati nel cloud. Per ulteriori informazioni sulle chiavi root, consulta Crittografia envelope.

Creazione di chiavi root con l'IU

Dopo aver creato un'istanza del servizio, completa la seguente procedura per creare una chiave root con l'IU.

Se abiliti le impostazioni di doppia autorizzazione per la tua Hyper Protect Crypto Services, tieni presente che qualsiasi chiave che aggiungi al servizio richiede un'autorizzazione da parte di due utenti per eliminare le chiavi.

  1. Accedi all'IU.

  2. Vai a Menu > Elenco risorse per visualizzare un elenco delle tue risorse.

  3. Dal tuo elenco risorse IBM Cloud, seleziona la tua istanza di cui è stato eseguito il provisioning di Hyper Protect Crypto Services.

  4. Per creare una nuova chiave, selezionare la scheda Chiavi KMS nel menu laterale.

  5. Nella tabella Chiavi, fare clic su Aggiungi chiave e selezionare Crea una chiave.

    Specifica i dettagli della chiave:

    Tabella 1. Descrive le impostazioni per creare una chiave
    Impostazione Descrizione
    Tipo di chiave Il tipo di chiave che desideri gestire in Hyper Protect Crypto Services. Dall'elenco dei tipi di chiave, selezionare Chiave root.
    Nome chiave Un nome leggibile dall'utente e univoco per una facile identificazione della tua chiave. La lunghezza deve essere compresa tra 2 e 90 caratteri. Per proteggere la tua privacy, assicurati che il nome della chiave non contenga informazioni d'identificazione personale, come il tuo nome o la tua posizione.
    Alias chiave (Facoltativo) Uno o più alias univoci e leggibili che si desidera assegnare alla chiave per un facile riconoscimento. La dimensione dell'alias può essere compresa tra 2 e 90 caratteri. È possibile impostare fino a cinque alias chiave per la chiave, ognuno separato da una virgola.

    Nota: ogni alias deve essere alfanumerico, sensibile al maiuscolo / minuscolo e non può contenere spazi o caratteri speciali diversi dai trattini (-) o dai caratteri di sottolineatura (_). L'alias non può essere un UUID versione 4 e non deve essere un nome riservato Hyper Protect Crypto Services: allowed_ip, key, keys, metadata, policy, policies, registration, registrations, ring, rings, rotate, wrap, unwrap, rewrap, version, versions.
    ID file di chiavi Selezionare un keyring dall'elenco che contiene i keyring esistenti. Se non si assegna un keyring, la chiave viene aggiunta al keyring default. Per ulteriori informazioni sui file di chiavi, consultare Gestione dei file di chiavi.
    Data di scadenza (Facoltativo) Imposta la data e l'ora in cui la chiave scade. Dopo la data di scadenza, la chiave passa allo stato Disattivato. Per ulteriori informazioni sullo stato della chiave, vedi Monitoraggio del ciclo di vita delle chiavi di codifica.
    Descrizione (Facoltativo) Aggiungi una descrizione estesa per la tua chiave. Può contenere da due a 240 caratteri.

  6. Una volta completata la compilazione dei dettagli della chiave, fare clic su Crea chiave per confermare.

Le chiavi create nel servizio sono chiavi simmetriche a 256 bit, supportate dall'algoritmo AES-CBC. Per una maggiore sicurezza, le chiavi vengono generate da HSM(hardware security module)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service. certificati da FIPS 140-2 Level 4 che si trovano nei data center IBM Cloud sicuri.

Creazione delle chiavi root con l'API

Crea una chiave root effettuando una chiamata POST al seguente endpoint.

https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys

  1. Richiama le tue credenziali del servizio e di autenticazione per utilizzare le chiavi nel servizio.

  2. Richiama l'API del servizio di gestione chiaviHyper Protect Crypto Services con il seguente comando curl.

    curl -X POST \
  "https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys" \
  -H "authorization: Bearer <IAM_token>" \
  -H "bluemix-instance: <instance_ID>" \
  -H "content-type: application/vnd.ibm.kms.key+json" \
  -H "x-kms-key-ring: <key_ring_ID>" \
  -H "correlation-id: <correlation_ID>" \
  -d '{
          "metadata": {
              "collectionType": "application/vnd.ibm.kms.key+json",
              "collectionTotal": 1
          },
          "resources": [
              {
                  "type": "application/vnd.ibm.kms.key+json",
                   "name": "<key_name>",
                   "aliases": [alias_list],
                   "description": "<key_description>",
                   "expirationDate": "<YYYY-MM-DDTHH:MM:SS.SSZ>",
                   "extractable": <key_type>
              }
          ]
      }'

    Sostituisci le variabili nella richiesta di esempio in base alla seguente tabella.

    Tabella 2. Descrive le variabili necessarie per aggiungere una chiave root con l'API
    Variabile Descrizione
    region Obbligatorio. L'abbreviazione della regione, come us-south o au-syd, che rappresenta l'area geografica in cui si trova la tua istanza del servizio Hyper Protect Crypto Services. Per ulteriori informazioni, vedi Endpoint del servizio regionali.
    port Obbligatorio. Il numero di porta dell'endpoint API.
    IAM_token Obbligatorio. Il tuo token di accesso IBM Cloud. Includi il contenuto completo del token IAM, incluso il valore Bearer, nella richiesta cURL. Per ulteriori informazioni, vedi Richiamo di un token di accesso.
    instance_ID Obbligatorio. L'identificativo univoco che viene assegnato alla tua istanza del servizio Hyper Protect Crypto Services. Per ulteriori informazioni, vedi Richiamo di un ID istanza.
    key_ring_ID Facoltativo. L'identificativo univoco della chiave di destinazione a cui si desidera assegnare la chiave. Se non specificato, l'intestazione viene impostata automaticamente su default e la chiave appartiene al keyring predefinito nell'istanza Hyper Protect Crypto Services specificata.

    Per ulteriori informazioni, consultare Gestione dei file di chiavi.
    correlation_ID L'identificativo univoco utilizzato per tracciare e correlare le transazioni.
    key_name Obbligatorio. Un nome leggibile dall'utente e univoco per una facile identificazione della tua chiave.

    Importante: per proteggere la privacy, non memorizzare i propri dati personali come metadati per la chiave.
    alias_list Facoltativo. Uno o più alias univoci e leggibili assegnati alla chiave.

    Importante: per proteggere la privacy, non memorizzare i dati personali come metadati per la chiave.

    Ogni alias deve essere alfanumerico, sensibile al maiuscolo / minuscolo e non può contenere spazi o caratteri speciali diversi da trattini (-) o caratteri di sottolineatura (_). L'alias non può essere un UUID versione 4 e non deve essere un nome riservato Hyper Protect Crypto Services: allowed_ip, key, keys, metadata, policy, policies, registration, registrations, ring, rings, rotate, wrap, unwrap, rewrap, version, versions. La dimensione alias può essere compresa tra 2 e 90 caratteri (inclusi).
    key_description Facoltativo: una descrizione estesa della tua chiave.

    Importante: per proteggere la privacy, non memorizzare i propri dati personali come metadati per la chiave.
    YYYY-MM-DD

    HH:MM:SS.SS

    		 Facoltativo: la data e l'ora di scadenza della chiave nel sistema, nel formato RFC 3339. Se l'attributo expirationDate viene omesso, la chiave non scade.
    key_type Un valore booleano che determina se il materiale della chiave può lasciare il servizio.

    Quando imposti l'attributo extractable su false, il servizio crea una chiave root che puoi utilizzare per le operazioni wrap o unwrap.

    Per proteggere la riservatezza dei tuoi dati personali, evita di immettere informazioni d'identificazione personale, come il tuo nome o la tua posizione, quando aggiungi le chiavi al servizio. Per ulteriori esempi di PII, consultare la sezione 2.2 di NIST Special Publication 800-122.

    Se imposti expirationDate nella tua richiesta, la chiave viene spostata allo stato disattivato entro 1 ora dalla data di scadenza della chiave.

    Una risposta POST /v2/keys corretta restituisce il valore dell'ID per la tua chiave, insieme ad altri metadati. L'ID è un identificativo univoco assegnato alla tua chiave e viene utilizzato per le chiamate successive all'API del servizio di gestione chiavi Hyper Protect Crypto Services.

    {
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "type": "application/vnd.ibm.kms.key+json",
            "id": "02fd6835-6001-4482-a892-13bd2085f75d",
            "name": "test-root-key",
            "aliases": [
                "alias-1",
                "alias-2"
              ],
            "description": "A test root key",
            "state": 1,
            "extractable": false,
            "crn": "crn:v1:bluemix:public:hs-crypto:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
            "imported": false,
            "creationDate": "2020-03-12T03:37:32Z",
            "createdBy": "...",
            "algorithmType": "AES",
            "algorithmMetadata": {
                "bitLength": "256",
                "mode": "CBC_PAD"
            },
            "algorithmBitSize": 256,
            "algorithmMode": "CBC_PAD",
            "lastUpdateDate": "2020-03-12T03:37:32Z",
            "keyVersion": {
                "id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
                "creationDate": "2020-03-12T03:37:32Z"
            },
            "dualAuthDelete": {
                "enabled": false
            },
            "deleted": false
        }
    ]
}

    Per una descrizione dettagliata dei parametri di risposta, consulta il documento di riferimento API REST Hyper Protect Crypto Services.

  3. Facoltativo: verifica che la chiave sia stata creata eseguendo la seguente chiamata per sfogliare le chiavi nella tua istanza del servizio Hyper Protect Crypto Services.

    curl -X GET \
  https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys \
  -H 'accept: application/vnd.ibm.collection+json' \
  -H 'authorization: Bearer <IAM_token>' \
  -H 'bluemix-instance: <instance_ID>' \
  -H 'correlation-id: <correlation_ID>' \

Dopo aver creato una chiave root con il servizio, la chiave rimane entro i limiti di Hyper Protect Crypto Servicese non è possibile richiamare il materiale chiave.

Operazioni successive