审计 Hyper Protect Crypto Services 的事件
作为一名安全管理人员、审计员或经理,您可以使用 IBM Cloud® Activity Tracker 服务监控用户和应用程序如何与 IBM Cloud® Hyper Protect Crypto Services 进行交互。
IBM Cloud Activity Tracker 会记录哪些用户发起的活动更改了 IBM Cloud 中服务的状态。 您可以使用此服务来调查异常活动和关键操作,并满足监管审计需求。 此外,还可以在发生操作时收到相关警报。 收集的事件符合 Cloud Auditing Data Federation (CADF) 标准。
要为 Hyper Protect Crypto Services 实例启用 IBM Cloud Activity Tracker,您需要在 Hyper Protect Crypto Services 实例所在的区域中供应 IBM Cloud Activity Tracker 服务的实例。 有关更多信息,请参阅 IBM Cloud Activity Tracker 的入门教程。
要查看哪些操作请求与以下操作相关,请查看 密钥管理服务 API 参考文档 和 TKE CLI 参考。
有关事件的历史信息
| 参考信息 | 当前事件名称 |
|---|---|
hs-crypto.governance.configread |
hs-crypto.governance-config.read |
hs-crypto.importtoken.create |
hs-crypto.import-token.create |
hs-crypto.importtoken.read |
hs-crypto.import-token.read |
hs-crypto.importtoken.default |
hs-crypto.import-token.request |
hs-crypto.instance.readallowedipport |
hs-crypto.instance-allowed-ip-port.read |
hs-crypto.instance.readipwhitelistport |
hs-crypto.instance-ip-allowlist-port.read |
hs-crypto.instancepolicies.write |
hs-crypto.instance-policies.write |
hs-crypto.instancepolicies.read |
hs-crypto.instance-policies.read |
hs-crypto.instancepolicies.default |
hs-crypto.instance-policies.request |
hs-crypto.keyrings.create |
hs-crypto.key-rings.create |
hs-crypto.keyrings.delete |
hs-crypto.key-rings.delete |
hs-crypto.keyrings.list |
hs-crypto.key-rings.list |
hs-crypto.keyrings.default |
hs-crypto.key-rings.request |
hs-crypto.secrets.defaultalias |
hs-crypto.secrets-alias.request |
hs-crypto.secrets.createalias |
hs-crypto.secrets-alias.create |
hs-crypto.secrets.deletealias |
hs-crypto.secrets-alias.delete |
hs-crypto.secrets.eventack |
hs-crypto.secrets-event.ack |
hs-crypto.secrets.listkeyversions |
hs-crypto.secrets-key-versions.list |
hs-crypto.secrets.readmetadata |
hs-crypto.secrets-metadata.read |
支持的事件
关键事件
下表列出了生成事件的关键操作:
| 操作 | 描述 |
|---|---|
hs-crypto.secrets.create |
创建密钥。 |
hs-crypto.secrets-alias.create |
创建密钥别名。 |
hs-crypto.secrets.default |
密钥请求事件无效。 |
hs-crypto.secrets.delete |
删除密钥。 |
hs-crypto.secrets-alias.delete |
删除密钥别名。 |
hs-crypto.secrets.disable |
禁用密钥的操作。 |
hs-crypto.secrets.enable |
对密钥启用操作。 |
hs-crypto.secrets-event.ack |
确认对密钥执行生命周期操作。 |
hs-crypto.secrets.expire |
使密钥到期。 |
hs-crypto.secrets.head |
检索密钥总计。 |
hs-crypto.secrets.list |
列出密钥。 |
hs-crypto.secrets-key-versions.list |
列出密钥的所有版本。 |
hs-crypto.secrets.wrap |
打包密钥。 |
hs-crypto.secrets.patch |
修补密钥。 |
hs-crypto.secrets.purge |
清除密钥。 |
hs-crypto.secrets.read |
检索所有密钥信息。 |
hs-crypto.secrets-metadata.read |
检索密钥元数据 (不包括密钥有效内容 (如果适用))。 |
hs-crypto.secrets.restore |
复原密钥。 |
hs-crypto.secrets.rewrap |
重新打包密钥。 |
hs-crypto.secrets.rotate |
旋转密钥。 |
hs-crypto.secrets.setkeyfordeletion |
授权删除具有双重授权策略的密钥。 |
hs-crypto.secrets.unsetkeyfordeletion |
取消删除具有双重授权策略的密钥。 |
hs-crypto.secrets.unwrap |
解包密钥。 |
密钥环事件
下表列出了产生事件的关键环操作:
| 操作 | 描述 |
|---|---|
hs-crypto.key-rings.create |
创建密钥环。 |
hs-crypto.key-rings.delete |
删除密钥环。 |
hs-crypto.key-rings.list |
列出实例中的密钥环。 |
hs-crypto.key-rings.request |
密钥环请求无效。 |
策略事件
下表列出了生成事件的策略操作:
| 操作 | 描述 |
|---|---|
hs-crypto.policies.read |
列出关键策略。 |
hs-crypto.policies.write |
设置关键策略。 |
hs-crypto.instance-policies.read |
列出实例策略。 |
hs-crypto.instance-policies.write |
设置实例策略。 |
hs-crypto.policies.default |
策略请求事件无效。 |
hs-crypto.instance-policies.request |
策略请求事件无效。 |
导入令牌事件
下表列出了生成事件的导入标记操作:
| 操作 | 描述 |
|---|---|
hs-crypto.import-token.create |
创建导入令牌。 |
hs-crypto.import-token.read |
检索导入令牌。 |
hs-crypto.import-token.request |
导入令牌请求事件无效。 |
注册事件
下表列出了生成事件的注册操作:
| 操作 | 描述 |
|---|---|
hs-crypto.registrations.list |
列出任何密钥的注册。 |
hs-crypto.registrations.default |
注册请求事件无效。 |
可信密钥输入事件
下表列出了生成事件的可信密钥条目 (TKE) 操作:
| 操作 | 描述 |
|---|---|
hs-crypto.tke-cryptounit-admin.add |
为选定的加密单元添加加密单元管理员。 |
hs-crypto.tke-cryptounit-admin.remove |
从选定的加密单元中删除加密单元管理员。 |
hs-crypto.tke-cryptounit-threshold.set |
设置所选加密单元的签名阈值。 |
hs-crypto.tke-cryptounit-master-key-register.add |
加载新的主密钥寄存器。 |
hs-crypto.tke-cryptounit-master-key-register.commit |
提交新的主密钥注册表。 |
hs-crypto.tke-cryptounit-master-key-register.activate |
激活当前主密钥寄存器。 |
hs-crypto.tke-cryptounit-new-master-key-register.clear |
清除新的主密钥寄存器。 |
hs-crypto.tke-cryptounit-current-master-key-register.clear |
清除当前主密钥寄存器。 |
hs-crypto.tke-cryptounit.reset |
对所选加密单元进行清零和重置 |
Certificate manager 事件
下表列出了生成事件的证书管理器操作:
| 操作 | 描述 |
|---|---|
hs-crypto.mtlscert-admin-key.create |
为证书管理员创建管理员签名密钥以连接到证书管理器服务器。 |
hs-crypto.mtlscert-admin-key.update |
刷新和更新证书管理员的管理员签名密钥。 |
hs-crypto.mtlscert-admin-key.read |
获取证书管理员的管理员签名密钥。 |
hs-crypto.mtlscert-admin-key.delete |
删除证书管理员的管理员签名密钥。 |
hs-crypto.mtlscert-cert.set |
由证书管理员创建或更新证书。 |
hs-crypto.mtlscert-cert.list |
列出证书管理员管理的所有证书。 |
hs-crypto.mtlscert-cert.read |
由证书管理员获取证书。 |
hs-crypto.mtlscert-cert.delete |
由证书管理员删除证书。 |
VMware事件的 KMIP
为 VMware® 服务管理 KMIP 密钥时,会生成一个事件。
下表提供了为 VMware 的 KMIP 生成和发送事件的操作。 这些操作由 VMware vCenter Server ® 中的发起方执行,并且不包含发起方的 IP 地址。 这些操作的请求从 IBM Cloud 专用网络中运行。
发起方标识派生自用于认证与 KMIP 服务器的连接的 vCenter Server 的 TLS (传输层安全性) 证书。 发起方标识的格式为 CertificateID-<value>,其中的值与相应 TLS 证书的指纹相匹配。 通过使用指纹,您可以识别触发该操作的 vCenter Server。
| 操作 | 描述 |
|---|---|
hs-crypto.kmip-key.create |
将创建 KMIP 密钥。 |
hs-crypto.kmip-key.read |
将检索 KMIP 密钥。 |
hs-crypto.kmip-key-attributes.retrieve |
将检索 KMIP 密钥的属性。 |
hs-crypto.kmip-key.activate |
将激活 KMIP 密钥。 |
hs-crypto.kmip-key.revoke |
将撤销 KMIP 密钥。 |
hs-crypto.kmip-key.destroy |
将销毁 KMIP 密钥。 |
EP11 密钥库事件
下表列出了生成事件的 Enterprise PKCS #11 (EP11) 密钥库操作: | 行动 |--------------------------------------------|------------------------------------------| | hs-crypto.keystore.createkeystore | 创建 EP11 密钥库。| | hs-crypto.keystore.deletekey | 删除 EP11 密钥。| | hs-crypto.keystore.deletekeystore| 删除 EP11 密钥库。| | hs-crypto.keystore.listkeysbyattributes | 查看 EP11 键。| | hs-crypto.keystore.listkeysbyids | 查看 EP11 键。| | hs-crypto.keystore.listkeystoresbyattributes | 查看 EP11 密钥库。| | hs-crypto.keystore.listkeystoresbyids | 查看 EP11 密钥库。| | hs-crypto.keystore.storenewkey | 存储 EP11 密钥。| | hs-crypto.keystore.updatekey | 更新 EP11 密钥。|
EP11 加密事件
下表列出了生成事件的 EP11 加密操作: | 行动 |--------------------------------------------|------------------------------------------| | hs-crypto.ep11.use | 加密操作 |
KMIP 管理活动
下表列出了生成事件的 KMIP 管理操作:
| 行动 | - | - | | hs-crypto.kmip-management.create | 创建 KMIP 适配器或 KMIP 适配器客户端证书。| | hs-crypto.kmip-management.delete | 删除 KMIP 适配器、KMIP 适配器客户证书或 KMIP 对象。| | hs-crypto.kmip-management.list | 列出 KMIP 适配器、KMIP
适配器客户端证书或 KMIP 对象。| | hs-crypto.kmip-management.read | 获取 KMIP 适配器、KMIP 适配器客户端证书或 KMIP 对象。| | hs-crypto.kmip-management.default | 无效的 KMIP managmenet API 请求。|
查看事件
由 Hyper Protect Crypto Services 实例生成的事件将自动转发到 位于同一位置的 IBM Cloud Activity Tracker 服务实例。
每个位置只能有一个 IBM Cloud Activity Tracker 实例。 要查看事件,必须访问 IBM Cloud Activity Tracker 服务位于服务实例可用的相同位置。 有关更多信息,请参阅通过 IBM Cloud UI 启动 Web UI。
| 部署区域 | Activity Tracker 区域 |
|---|---|
au-syd |
au-syd |
br-sao |
br-sao |
ca-tor |
ca-tor |
eu-de |
eu-de |
eu-es |
eu-es |
eu-gb |
eu-gb |
jp-tok |
jp-tok |
us-east |
us-east |
us-south |
us-south |
分析成功事件
大多数成功请求都具有与每个相关事件关联的唯一 requestData 和 responseData。 以下部分描述了每个 Hyper Protect Crypto Services 服务操作事件的数据。
除非请求成功,否则不保证显示字段。
公共字段
一些公共字段可供 Hyper Protect Crypto Services 在 CADF 事件模型外部使用,以提供对数据的更多洞察。
| 字段 | 描述 |
|---|---|
requestData.requestURI |
发出的 API 请求的 URI。 |
requestData.instanceID |
Hyper Protect Crypto Services 服务实例的唯一标识。 |
correlationId |
生成事件的 API 请求的唯一标识。 注: 此字段在 TKE 事件中不受支持。 |
有关云审计数据联合 (CADF) 事件模型中的事件字段的更多信息,请参阅 事件字段。
虽然 initiator.host.address 是属于 Cloud Auditing Data Federation 模型的字段,但对于通过专用网络发出的请求,不会显示主机地址字段。
关键操作事件
由于加密密钥相关信息的敏感度,因此生成的事件不包含有关密钥的详细信息,例如有效内容和加密现时标志。
responseData.keyState 字段是整数,对应于“预激活 = 0”,“活动 = 1”,“已暂挂 = 2”,“已取消激活 = 3”和“已销毁 = 5”值。 有关密钥状态的更多信息,请参阅 密钥状态和转换。
创建密钥
以下字段包含额外信息:
requestData.keyType字段包含已创建的密钥类型。responseData.keyId字段包含与密钥关联的唯一标识。responseData.keyVersionId字段包含当前密钥版本的唯一标识,该密钥版本用于在打包请求时打包输入密文。responseData.keyVersionCreationDate字段包含创建密钥的当前版本的日期。responseData.keyState字段包含与密钥状态相关的整数。
删除密钥
以下字段包含额外信息:
responseData.keyState字段包含与密钥状态相关的整数。
到期密钥
以下字段包含额外信息:
requestData.keyType字段包含已创建的密钥类型。responseData.keyId字段包含与密钥关联的唯一标识。requestData.expirationDate字段包含密钥到期日期。responseData.initialValue.keyState字段包含与键的先前状态相关的整数。responseData.newValue.keyState字段包含与键的当前状态相关的整数。
合并或解包密钥
以下字段包含额外信息:
responseData.keyVersionId字段包含当前密钥版本的唯一标识,该密钥版本用于在打包请求时打包输入密文。
重新打包密钥
以下字段包含额外信息:
responseData.keyVersionId字段包含当前密钥版本的唯一标识,该密钥版本用于在打包请求时打包输入密文。responseData.rewrappedKeyVersionId字段包含用于在打包请求时打包输入密文的新密钥版本的唯一标识。
复原密钥
以下字段包含额外信息:
responseData.keyVersionId字段包含当前密钥版本的唯一标识,该密钥版本用于在打包请求时打包输入密文。
轮换密钥
除 公共字段 部分外,旋转键没有任何额外的字段。
获取密钥总数
以下字段包含额外信息:
responseData.totalResources字段包含服务实例中的密钥总数。
列出密钥
以下字段包含额外信息:
responseData.totalResources字段包含响应中返回的密钥总数。
获取密钥或密钥元数据
以下字段包含额外信息:
requestData.keyType字段包含检索到的密钥类型。responseData.keyState字段包含与密钥状态相关的整数。responseData.keyVersionId字段包含当前密钥版本的唯一标识,该密钥版本用于在打包请求时打包输入密文。responseData.keyVersionCreationDate字段包含创建密钥的当前版本的日期。
补丁密钥
以下字段包含额外信息:
requestData.initialValue.keyRingId字段包含密钥先前所属的密钥环的标识。requestData.newValue.keyRingId字段包含密钥所属的密钥环的标识。
列出密钥版本
以下字段包含额外信息:
responseData.totalResources字段包含响应中返回的密钥版本总数。
设置或取消设置要删除的键
以下字段包含额外信息:
responseData.initialValue.authID字段包含设置双重授权策略的人员的发起方标识。responseData.initialValue.authExpiration字段包含双重授权策略的截止日期。responseData.newValue.authID字段包含设置双重授权策略的人员的发起方标识。responseData.newValue.authExpiration字段包含双重授权策略的截止日期。
initialValue 是上次设置双重授权策略的人员的 initiatorID,newValue 是设置双重授权策略的人员的新 initiatorID。
策略事件
允许的网络策略
以下字段包含额外信息:
- 如果先前已启用或禁用允许的网络策略,那么
requestData.initialValue.policyAllowedNetworkEnabled字段将包含在内。 - 如果允许的网络策略先前仅适用于公用网络,或者同时适用于公用和专用网络,那么
requestData.initialValue.policyAllowedNetworkAttribute字段将包括在内。 - 如果已启用或禁用允许的网络策略,那么
requestData.newValue.policyAllowedNetworkEnabled字段将包含在内。 - 如果允许的网络策略仅适用于公用网络,或者同时适用于公用网络和专用网络,那么
requestData.newValue.policyAllowedNetworkAttribute字段将包含在内。
双重认证删除策略
以下字段包含额外信息:
- 如果先前已启用或禁用双重认证删除策略,那么
requestData.initialValue.policyDualAuthDeleteEnabled字段将包含在内。 - 如果启用或禁用了双认证删除策略,那么
requestData.newValue.policyDualAuthDeleteEnabled字段将包含在内。
密钥创建和导入访问策略
以下字段包含额外信息:
- 如果先前已启用或禁用密钥创建和导入策略,那么
requestData.initialValue.PolicyKCIAEnabled字段将包括在内。 - 如果已启用或禁用密钥创建和导入策略,那么
requestData.newValue.PolicyKCIAEnabled字段将包含在内。 requestData.initialValue.PolicyKCIAAttrCRK字段包含先前允许创建根密钥的密钥创建和导入策略。- 如果密钥创建和导入策略允许创建根密钥,那么
requestData.newValue.PolicyKCIAAttrCRK字段将包含在内。 requestData.initialValue.PolicyKCIAAttrCSK字段包含先前允许创建标准密钥的密钥创建和导入策略。- 如果密钥创建和导入策略允许创建标准密钥,那么
requestData.newValue.PolicyKCIAAttrCSK字段将包含在内。 requestData.initialValue.PolicyKCIAAttrIRK字段包含先前允许导入的根密钥的密钥创建和导入策略。- 如果密钥创建和导入策略允许导入根密钥,那么
requestData.newValue.PolicyKCIAAttrIRK字段将包括在内。 requestData.initialValue.PolicyKCIAAttrISK字段包含先前允许导入的标准密钥的密钥创建和导入策略。- 如果密钥创建和导入策略允许导入标准密钥,那么
requestData.newValue.PolicyKCIAAttrISK字段将包含在内。 - 如果您的密钥创建和导入策略先前需要通过导入令牌导入密钥,那么将包含
requestData.initialValue.PolicyKCIAAttrET字段。 - 如果密钥创建和导入策略要求通过导入令牌导入密钥,那么
requestData.newValue.PolicyKCIAAttrET字段将包含在内。
导入令牌事件
创建导入令牌
以下字段包含额外信息:
responseData.expirationDate字段包含导入令牌的截止日期。responseData.maxAllowedRetrievals字段包含在到期时间内无法再访问导入令牌之前可以检索该令牌的最大次数。
检索导入令牌
以下字段包含额外信息:
responseData.maxAllowedRetrievals字段包含在到期时间内无法再访问导入令牌之前可以检索该令牌的最大次数。responseData.remainingRetrievals字段包含在无法再访问导入令牌之前,可以在到期时间内检索该令牌的次数。
注册事件
列表注册
以下字段包含额外信息:
responseData.totalResources字段包含在响应中返回的注册总数。
可信密钥输入事件
下表列出了指示 TKE 事件成功的返回值。
| 字段名称 | 返回值 |
|---|---|
outcome |
success |
reason.reasonCode |
200 |
reason.reasonType |
OK |
TKE 事件的以下公共字段包含额外信息:
-
requestData.location字段包含加密单元的特定位置。 该位置遵循以下格式:\ [region]. \ [availability zone ]. \ [hardware security module (HSM) module index ]. \ [HSM domain index]。
例如,如果在
us-east区域中供应实例,那么返回的值类似于[us-east].[AZ2-CSSTAG2].[03].[22]。 -
target.id字段包含加密单元的 云资源名称(CRN)。 -
target.name字段还包含加密单元的位置。 -
target.typeURI字段包含操作所针对的对象的 URI。 例如,如果执行hs-crypto.tke-cryptounit-master-key-register.add操作,那么返回的值为hs-crypto/tke-cryptounit/master-key-register。
对于以下 TKE 事件,某些特定字段指示更多信息。
添加加密单元管理员
requestData.adminId字段包含与要添加的管理员关联的签名密钥文件的 SHA-256 散列。responseData.adminIds字段列出与添加到加密单元的所有管理员相关联的签名密钥文件的 SHA-256 散列。
删除加密单元管理员
requestData.adminId字段包含与要除去的管理员关联的签名密钥文件的 SHA-256 散列。responseData.adminIds字段列出与添加到加密单元的所有管理员相关联的签名密钥文件的 SHA-256 散列。
设置签名阈值
装入新的
主密钥 寄存器
requestData.masterKeyIds字段列出了您选择装入到加密单元的所有主密钥部件文件的 SHA-256 散列。responseData.verificationPattern字段包含由所选主密钥部件组成并装入到新主密钥寄存器的主密钥的 SHA-256 散列。
落实新的
主密钥寄存器
requestData.verificationPattern字段包含装入到新主密钥寄存器的主密钥的 SHA-256 散列。responseData.masterKeyIds字段列出组成主密钥的所有主密钥部件文件的 SHA-256 散列。
激活当前主密钥登记册
requestData.verificationPattern字段包含装入并落实到新主密钥寄存器的主密钥的 SHA-256 散列。responseData.verificationPattern字段包含已激活的主密钥的 SHA-256 散列。
Certificate manager 事件
下表列出了指示证书管理器事件成功的返回值。
| 字段名称 | 返回值 |
|---|---|
outcome |
success |
reason.reasonCode |
200 |
reason.reasonType |
OK |
证书管理器事件的以下公共字段包含额外信息:
target.id字段包含事件的 云资源名称(CRN)。target.name字段指示事件的目标名称,例如 "mtlscert-admin-key" 或 "mtlscert-cert"。target.typeURI字段包含操作所针对的对象的 URI。 例如,如果执行hs-crypto.mtlscert-admin-key.create操作,那么返回的值为hs-crypto/mtlscert-admin-key。
以下证书管理器事件的指定字段可指示更多信息。
为证书管理员创建管理员签名密钥
以下字段包含额外信息:
requestData.accountId字段包含当前用户标识。responseData.action字段包含当前用户的操作详细信息。
更新证书管理员的管理员签名密钥
以下字段包含额外信息:
requestData.accountId字段包含当前用户标识。responseData.action字段包含当前用户的操作详细信息。
删除证书管理员的管理员签名密钥
以下字段包含额外信息:
requestData.accountId字段包含当前用户标识。responseData.action字段包含当前用户的操作详细信息。
为证书管理员创建管理员签名密钥
以下字段包含额外信息:
requestData.accountId字段包含当前用户标识。responseData.action字段包含当前用户的操作详细信息。
由证书管理员创建或更新证书
以下字段包含额外信息:
requestData.certificateId字段指示目标证书。responseData.action字段指示要创建或更新证书。
由证书管理员列出证书
以下字段包含额外信息:
responseData.action字段指示将列示由当前管理员管理的所有证书。
由证书管理员获取证书
以下字段包含额外信息:
requestData.certificateId字段指示目标证书。responseData.action字段指示要访存并显示证书。
由证书管理员删除证书
以下字段包含额外信息:
requestData.certificateId字段指示目标 mTLS 证书。responseData.action字段指示要删除证书。
EP11 密钥库事件
下表列出了指示 EP11 密钥库事件成功的返回值:
| 字段名称 | 返回值 |
|---|---|
| outcome | 成功 |
| reason.reasonCode | 200 |
| reason.reasonType | OK |
EP11 密钥库事件的以下公共字段包含额外信息:
target.name字段包含密钥库或密钥的标识。
EP11 加密事件
下表列出了指示 EP11 加密事件成功的返回值:
| 字段名称 | 返回值 |
|---|---|
| outcome | 成功 |
| reason.reasonCode | 200 |
| reason.reasonType | OK |
分析失败事件
无法删除密钥
如果删除密钥事件的 reason.reasonCode 值为 409,那么无法删除该密钥,因为它可能保护具有保留时间策略的一个或多个云资源。 向 /keys/{id}/registrations 发出 GET 请求,以了解此密钥与哪些资源相关联。 向 "preventKeyDeletion": true 注册 指示关联资源具有保留时间策略。 要启用删除,请联系帐户所有者以除去与此密钥关联的每个资源上的保留时间策略。
由于密钥上存在双重认证删除策略,因此删除密钥事件还可能接收到 reason.reasonCode of 409。 向 /api/v2/keys/{id}/policies 发出 GET 请求,以查看双重授权策略是否与密钥相关联。 如果存在策略集,请与其他授权用户联系以删除密钥。
发出请求时无法认证
如果事件的 reason.reasonCode 值为 401,那么您可能没有正确的权限在指定的服务实例中执行 Hyper Protect Crypto Services 操作。 向管理员验证是否在适用的服务实例中为您分配了正确的平台和服务访问角色。 有关角色的更多信息,请参阅角色和许可权。
请检查您是否正在使用与有权执行服务操作的帐户相关联的有效令牌。
无法查看或列示服务实例中的密钥
您可以调用 GET api/v2/keys 以列出服务实例中可用的密钥。 如果 responseData.totalResources 为 0,请使用 state 参数查询处于已删除状态的密钥,或者调整请求中的 offset 和 limit 参数。
对具有注册的密钥执行的生命周期操作未完成
responseData.reasonForFailure 和 responseData.resourceCRN 字段包含有关无法完成操作的原因的信息。
如果事件的 reason.reasonCode 值为 409,那么无法完成操作,因为采用服务的密钥状态与 Hyper Protect Crypto Services 具有的密钥状态冲突。
如果事件的 reason.reasonCode 值为 408,那么无法完成操作,因为 Hyper Protect Crypto Services 未收到在操作请求 4 小时内执行所有相应操作的通知。
无法执行可信密钥输入操作
失败的 TKE 事件的 outcome 为 failure。 reason.reasonType 和 reason.reasonForFailure 字段包含有关无法完成操作的原因的信息。
如果事件的 reason.reasonCode 值为 400,那么无法完成该操作,因为对加密单元的操作不受支持或无效。 通过引用 TKE CLI 参考,检查您使用的 TKE 命令是否有效。
如果事件的 reason.reasonCode 值为 401 或 403,那么无法完成该操作,因为您的访问令牌无效或者没有访问此实例所需的许可权。 刷新访问令牌,并检查您是否具有 相应的许可权 来执行相应的操作。
如果事件的 reason.reasonCode 值为 500,请查看 reason.reasonForFailure 的值以确定失败原因以及需要执行的相应操作。
事件严重性
所有 Activity Tracker 事件的严重性 Hyper Protect Crypto Services 基于发出的请求类型,然后是状态码。 例如,您可能请求创建具有无效密钥的密钥,但未在服务实例中进行认证。 取消认证优先,并且会将事件评估为 401 错误请求调用,其严重性为
critical.
由于操作的敏感度,所有 TKE 事件的严重性级别均为 critical。
下表列出了与每个严重性级别相关的操作:
| 严重性 | 操作 |
|---|---|
Critical |
hs-crypto.secrets.delete
|
Warning |
hs-crypto.secrets.rotate
|
Normal |
hs-crypto.secrets.create
|
下表列出了与每个严重性级别关联的状态码:
| 严重性 | 状态码 |
|---|---|
| 严重 | 400 (仅适用于 TKE 事件),401,403,500,503 和 507 |
| 警告 | 400, 409, 424, 502, 504, 505 |