Disabilitazione delle chiavi root
Puoi utilizzare IBM Cloud® Hyper Protect Crypto Services per disabilitare o abilitare una chiave root e revocare temporaneamente l'accesso ai dati associati della chiave sul cloud.
In qualità di amministratore, potresti dover disabilitare temporaneamente una chiave root se sospetti una possibile esposizione alla sicurezza, compromissione o violazione dei tuoi dati. Quando si disabilita una chiave root, si sospendono le operazioni di codifica e decodifica. Dopo aver confermato che un rischio di sicurezza non è più attivo, è possibile ripristinare l'accesso ai dati abilitando la chiave root disabilitata.
Se stai utilizzando un servizio cloud integrato con Hyper Protect Crypto Services, i tuoi dati potrebbero non essere accessibili dopo aver disabilitato una chiave root. Per determinare se un servizio integrato supporta la revoca dell'accesso ai dati disabilitando una chiave root Hyper Protect Crypto Services, consulta la documentazione del servizio.
Quando si disabilita una chiave root, la chiave passa alla Stato sospeso e non può più essere utilizzato per proteggere crittograficamente i dati.
Quando si abilita una chiave root che era stata precedentemente disabilitata, la chiave passa dallo stato Sospeso allo stato Chiave attiva. Questa azione ripristina le operazioni di codifica e decodifica della chiave.
È necessario attendere 30 secondi dopo aver disabilitato una chiave root prima di poterla abilitare nuovamente.
Per un servizio cloud integrato che supporta la revoca dell'accesso a una chiave root disabilitata, il servizio può impiegare fino a 4 ore per revocare o ripristinare l'accesso ai dati associati della chiave root. Dopo che l'accesso ai dati associati è stato revocato o ripristinato, viene visualizzato un evento di abilitazione corrispondente nell'IU web Activity Tracker.
Disabilitazione e abilitazione delle chiavi root con l'interfaccia utente
Se preferisci abilitare o disabilitare le tue chiavi root utilizzando un'interfaccia grafica, puoi utilizzare l'interfaccia utente.
Disabilitazione di una chiave root
Dopo aver creato o importato le tue chiavi esistenti nel servizio, completa la seguente procedura per disabilitare una chiave:
- Accedi all'IU.
- Vai a Menu > Elenco risorse per visualizzare un elenco delle tue risorse.
- Dal tuo elenco risorse IBM Cloud, seleziona la tua istanza di cui è stato eseguito il provisioning di Hyper Protect Crypto Services.
- Nella pagina KMS keys, utilizza la tabella Keys per sfogliare le chiavi nella tua istanza del servizio.
- Fare clic su Azioni
per aprire un elenco di opzioni per la chiave che si desidera disabilitare.
- Dal menu delle opzioni, fare clic su Disabilita chiave, immettere il nome della chiave per confermare la chiave da disabilitare e fare clic su Disabilita chiave.
Dopo che la chiave è disabilitata, lo stato della chiave viene spostato in Suspended
nella tabella Chiavi.
Abilitazione di una chiave root
Se si desidera riabilitare una chiave root disabilitata, completare la seguente procedura:
È necessario attendere 30 secondi dopo aver disabilitato una chiave root prima di poterla abilitare nuovamente.
- Accedi all'IU.
- Vai a Menu > Elenco risorse per visualizzare un elenco delle tue risorse.
- Dal tuo elenco risorse IBM Cloud, seleziona la tua istanza di cui è stato eseguito il provisioning di Hyper Protect Crypto Services.
- Nella pagina Chiavi KMS, utilizza la tabella Chiavi per sfogliare le chiavi nel tuo servizio.
- Fare clic su Azioni
per aprire un elenco di opzioni per la chiave che si desidera abilitare.
- Dal menu opzioni, fare clic su Abilita tasto.
Una volta abilitata la chiave, lo Stato della chiave viene trasferito a Active
nella tabella Chiavi.
Disabilitazione e abilitazione delle chiavi root con la API
Disabilitazione di una chiave root
Quando si disabilita una chiave root, la chiave passa allo Stato sospeso e non può essere più utilizzata per codificare i dati.
Per un servizio cloud integrato che supporti la revoca dell'accesso a una chiave root disabilitata, il servizio può impiegare fino a 4 ore per revocare l'accesso ai dati associati della chiave root. Una volta revocato l'accesso ai dati associati, viene visualizzato un evento di disabilitazione corrispondente nell'interfaccia utente web di Activity Tracker.
Puoi disabilitare una chiave root che si trova nello stato Chiave attiva effettuando una chiamata POST
al seguente endpoint.
https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/actions/disable
-
Richiama le tue credenziali di autenticazione per lavorare con le chiavi nel servizio.
Per disabilitare una chiave root, ti deve essere assegnato un ruolo di accesso al servizio Gestore per l'istanza o la chiave. Per informazioni su come si mappano i ruoli IAM alle azioni del servizio Hyper Protect Crypto Services, consulta Ruoli di accesso al servizio.
-
Richiama l'URL dell'endpoint API del servizio di gestione chiavi.
Puoi ottenere l'endpoint API dal tuo dashboard dell'istanza del servizio di cui è stato eseguito il provisioning tramite Overview > Connect > Key management endpoint URL. In alternativa, puoi richiamare dinamicamente l'URL dell'endpoint API con una chiamata API. Seleziona l'URL dell'endpoint di gestione della chiave pubblica o privata in base alle tue esigenze.
-
Richiama l'ID della chiave root che vuoi disabilitare.
Puoi recuperare l'ID per una chiave specificata effettuando una richiesta API di chiavi di elencoo visualizzando le tue chiavi nell'IU.
-
Disabilitare la chiave root e sospendere le operazioni di codifica e decodifica effettuando la seguente chiamata API.
curl -X POST \ "https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/actions/disable" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>" \ -H "x-kms-key-ring: <key_ring_ID>"
Sostituisci le variabili nella richiesta di esempio in base alla seguente tabella.
Tabella 1. Descrive le variabili necessarie per disabilitare le chiavi root con l'API Hyper Protect Crypto Services Variabile Descrizione region
Obbligatorio. L'abbreviazione della regione, come us-south
oeu-de
, che rappresenta l'area geografica in cui risiede la tua istanza del servizio Hyper Protect Crypto Services. Per ulteriori informazioni, vedi Endpoint del servizio regionali.port
Obbligatorio. Il numero di porta dell'endpoint API. key_ID
Obbligatorio. L'identificativo univoco per la chiave root che si desidera disabilitare. IAM_token
Obbligatorio. Il tuo token di accesso IBM Cloud. Includi il contenuto completo del token IAM
, incluso il valore Bearer, nella richiesta cURL. Per ulteriori informazioni, vedi Richiamo di un token di accesso.instance_ID
Obbligatorio. L'identificativo univoco che viene assegnato alla tua istanza del servizio Hyper Protect Crypto Services. Per ulteriori informazioni, vedi Richiamo di un ID istanza. key_ring_ID
Facoltativo. L'identificativo univoco del keyring a cui appartiene la chiave. Se non specificato, Hyper Protect Crypto Services ricercherà la chiave in ogni key ring associato all'istanza specificata. Pertanto, si consiglia di specificare l'ID key ring per una richiesta più ottimizzata. Nota: l'ID key ring delle chiavi create senza un'intestazione
x-kms-key-ring
è: default. Per ulteriori informazioni, consultare Gestione dei file di chiavi.Una richiesta di disabilitazione riuscita restituisce una risposta HTTP
204 No Content
, che indica che la chiave root è stata disabilitata per le operazioni di crittografia e decrittografia. -
Facoltativo: verifica che la chiave root sia stata disabilitata richiamando i dettagli sulla chiave.
curl -X GET \ https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_id>/metadata \ -H 'authorization: Bearer <IAM_token>' \ -H 'bluemix-instance: <instance_ID>' \ -H 'accept: application/vnd.ibm.kms.key+json'
Controllare il campo
state
nel corpo della risposta per verificare che la chiave sia passata allo stato Sospeso. Il seguente output JSON mostra i dettagli dei metadati per una chiave root disabilitata.L'associazione del numero intero per lo stato della chiave sospesa è 2. Gli Stati chiave si basano sul NIST SP 800-57.
{ "metadata": { "collectionType": "application/vnd.ibm.kms.key+json", "collectionTotal": 1 }, "resources": [ { "type": "application/vnd.ibm.kms.key+json", "id": "02fd6835-6001-4482-a892-13bd2085f75d", "name": "...", "description": "...", "tags": [ "..." ], "state": 2, "extractable": false, "crn": "crn:v1:bluemix:public:hs-crypto:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d", "imported": true, "creationDate": "2020-03-10T20:41:27Z", "createdBy": "...", "algorithmType": "AES", "algorithmMetadata": { "bitLength": "128", "mode": "CBC_PAD" }, "algorithmBitSize": 128, "algorithmMode": "CBC_PAD", "lastUpdateDate": "2020-03-16T20:41:27Z", "keyVersion": { "id": "30372f20-d9f1-40b3-b486-a709e1932c9c", "creationDate": "2020-03-12T03:37:32Z" }, "dualAuthDelete": { "enabled": false }, "deleted": false } ] }
Abilitazione di una chiave root disabilitata
Quando si abilita una chiave root che era stata precedentemente disabilitata, la chiave passa dallo stato Sospeso allo stato Chiave attiva. Questa azione ripristina le operazioni di codifica e decodifica della chiave.
Per un servizio cloud integrato che supporta la revoca dell'accesso a una chiave root disabilitata, il servizio può impiegare fino a 4 ore per ripristinare l'accesso ai dati associati della chiave root. Una volta ripristinato l'accesso ai dati associati, viene visualizzato un evento di abilitazione corrispondente nell'IU web Activity Tracker.
Puoi abilitare una chiave root che si trova nello stato Chiave sospesa effettuando una chiamata POST
al seguente endpoint.
https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/actions/enable
-
Richiama le tue credenziali di autenticazione per lavorare con le chiavi nel servizio.
Per abilitare una chiave root, devi avere un ruolo di accesso al servizio Gestore per l'istanza o la chiave. Per informazioni su come si mappano i ruoli IAM alle azioni del servizio Hyper Protect Crypto Services, consulta Ruoli di accesso al servizio.
-
Richiama l'URL dell'endpoint API del servizio di gestione chiavi.
Puoi ottenere l'endpoint API dal tuo dashboard dell'istanza del servizio di cui è stato eseguito il provisioning facendo clic su Gestisci > URL dell'endpoint di gestione delle chiavi oppure puoi richiamare in modo dinamico l'URL dell'endpoint API con una chiamata API. Seleziona l'URL dell'endpoint di gestione della chiave pubblica o privata in base alle tue esigenze.
-
Richiamare l'ID della chiave root disabilitata che si desidera abilitare.
Puoi recuperare l'ID per una chiave specificata effettuando una richiesta API di elenco di chiavio visualizzando le tue chiavi nel pannello di controllo Hyper Protect Crypto Services.
-
Abilitare la chiave root e ripristinare le operazioni di crittografia e decrittografia effettuando la seguente chiamata API.
È necessario attendere 30 secondi dopo aver disabilitato una chiave root prima di poterla abilitare nuovamente.
curl -X POST \ "https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/actions/enable" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>" \ -H "x-kms-key-ring: <key_ring_ID>"
Sostituisci le variabili nella richiesta di esempio in base alla seguente tabella.
Tabella 2. Descrive le variabili necessarie per abilitare le chiavi root con l'API Hyper Protect Crypto Services Variabile Descrizione region
Obbligatorio. L'abbreviazione della regione, come us-south
oeu-de
, che rappresenta l'area geografica in cui risiede la tua istanza del servizio Hyper Protect Crypto Services. Per ulteriori informazioni, vedi Endpoint del servizio regionali.port
Obbligatorio. Il numero di porta dell'endpoint API. key_ID
Obbligatorio. L'identificativo univoco per la chiave root che si desidera abilitare. IAM_token
Obbligatorio. Il tuo token di accesso IBM Cloud. Includi il contenuto completo del token IAM
, incluso il valore Bearer, nella richiesta cURL. Per ulteriori informazioni, vedi Richiamo di un token di accesso.instance_ID
Obbligatorio. L'identificativo univoco che viene assegnato alla tua istanza del servizio Hyper Protect Crypto Services. Per ulteriori informazioni, vedi Richiamo di un ID istanza. key_ring_ID
Facoltativo. L'identificativo univoco del keyring a cui appartiene la chiave. Se non specificato, Hyper Protect Crypto Services ricercherà la chiave in ogni key ring associato all'istanza specificata. Pertanto, si consiglia di specificare l'ID key ring per una richiesta più ottimizzata. Nota: l'ID key ring delle chiavi create senza un'intestazione
x-kms-key-ring
è: default. Per ulteriori informazioni, consultare Gestione dei file di chiavi.Una richiesta di abilitazione con esito positivo restituisce una risposta HTTP
204 No Content
, che indica che la chiave root è stata reintegrata per le operazioni di codifica e decodifica. -
Facoltativo: verifica che la chiave root sia stata abilitata richiamando i dettagli sulla chiave.
curl -X GET \ https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_id>/metadata \ -H 'authorization: Bearer <IAM_token>' \ -H 'bluemix-instance: <instance_ID>' \ -H 'accept: application/vnd.ibm.kms.key+json'
Rivedere il campo
state
nel corpo della risposta per verificare che la chiave root sia stata spostata nello stato Chiave attiva. Il seguente output JSON mostra i dettagli dei metadati per una chiave attiva.L'associazione numero intero per lo stato della chiave attiva è 1. Gli Stati chiave si basano sul NIST SP 800-57.
{ "metadata": { "collectionType": "application/vnd.ibm.kms.key+json", "collectionTotal": 1 }, "resources": [ { "type": "application/vnd.ibm.kms.key+json", "id": "02fd6835-6001-4482-a892-13bd2085f75d", "name": "...", "description": "...", "tags": [ "..." ], "state": 1, "extractable": false, "crn": "crn:v1:bluemix:public:hs-crypto:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d", "imported": true, "creationDate": "2020-03-10T20:41:27Z", "createdBy": "...", "algorithmType": "AES", "algorithmMetadata": { "bitLength": "128", "mode": "CBC_PAD" }, "algorithmBitSize": 128, "algorithmMode": "CBC_PAD", "lastUpdateDate": "2020-03-16T20:41:27Z", "keyVersion": { "id": "30372f20-d9f1-40b3-b486-a709e1932c9c", "creationDate": "2020-03-12T03:37:32Z" }, "dualAuthDelete": { "enabled": false }, "deleted": false } ] }