IBM Cloud Docs
创建受管密钥

创建受管密钥

您可以使用 Unified Key Orchestrator 来创建具有密钥模板的受管密钥以具有预定义的密钥属性,也可以创建具有定制属性的受管密钥以具有完全定制控制。

在创建受管密钥之前,请记住以下注意事项:

  • 对于访问权管理,您需要在创建时将受管密钥分配给保险库文件。
  • 只能将一个受管密钥分配给一个保险库文件。
  • 仅当在至少一个密钥库中激活受管密钥后,才能将其用于加密和解密。
  • 创建受管密钥时,需要选择密钥库类型。 您选择的密钥库类型确定要存储受管密钥的位置。 以后无法更改密钥库类型。
  • 在多个密钥库中分发受管密钥可实现冗余。
  • 为保护隐私,请勿将个人数据存储为受管密钥的元数据。
  • 只能使用一个密钥模板创建受管密钥。
  • 目前,不支持导入受管密钥。 只能使用 Unified Key Orchestrator 创建受管密钥。

在 UI 中使用密钥模板创建受管密钥

选择 使用密钥模板创建 选项时,将使用管理员预定义的密钥属性创建受管密钥。 此选项可确保密钥符合预定义标准。 要使用 UI 创建具有密钥模板的受管密钥,请完成以下步骤:

  1. 登录到 Hyper Protect Crypto Services 实例

  2. 从导航中单击 受管密钥 以查看所有可用密钥。

  3. 要创建受管密钥,请单击 创建密钥

  4. 保险库下,选择用于访问控制的密钥的保险库,然后单击 下一步

    如果要将密钥分配给新的保险库文件,请单击 创建保险库文件。 有关更多指示信息,请参阅 创建保险库文件

  5. 密钥模板下,选择 从密钥模板创建 以通过遵循预定义属性来创建密钥。

  6. 选择密钥的密钥模板,然后单击 下一步。 您只能为密钥选择一个密钥模板。

  7. 密钥属性下,指定密钥的以下详细信息。

    表 1. AWS 密钥管理服务密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 长度必须为 1-250 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或符号 (/_-)。 但是,请勿以 AWS/开头。

    要点: 如果在密钥模板中定义了密钥命名方案,那么需要为每个定制占位符输入值。 每个占位符的长度必须至少为 2 个字符。 这些字符可以是字母(区分大小写)、数字 (0-9) 或空格。 受管密钥名称的示例长度不得超过 50 个字符。 您还可以指定密钥的扩展描述。 请注意,在创建密钥之后,无法修改密钥名称。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    州/省 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥算法 (只读) 用于加密密钥数据的加密算法。
    密钥长度 (只读) 表示密钥的加密强度的位数。
    密钥标记 (可选) 添加名称和值对以标识密钥。
    表 2. Azure 密钥保险库密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 长度必须为 1-127 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或连字符 (-)。

    重要信息: 如果在密钥模板中定义了密钥命名方案,那么需要为每个定制占位符输入值。 每个占位符的长度必须至少为 2 个字符。 这些字符可以是字母(区分大小写)、数字 (0-9) 或空格。 受管密钥名称的示例长度不得超过 50 个字符。 您还可以指定密钥的扩展描述。 请注意,在创建密钥之后,无法修改密钥名称。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    保护级别 (只读) 要使用密钥模板创建的密钥的数据保护级别。

    受 HSM 保护的密钥 存储在 FIPS 认证的硬件安全模块中并生成。 它仅在 Azure 密钥保险库 (Premium) 中可用。 此类型的密钥可确保最高安全性。

    受软件保护的密钥 在 Azure Key Valut (Standard) 和 Key Vault (Premium) 中都可用。 您可以选择此级别以 降低成本
    密钥算法 (只读) 用于加密密钥数据的加密算法。
    密钥长度 (只读) 表示密钥的加密强度的位数。
    州/省 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥标记 (可选) 添加名称和值对以标识密钥。
    表 3。 Google Cloud KMS 密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 长度必须为 1-63 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或符号 (_-)。

    重要信息: 如果在密钥模板中定义了密钥命名方案,那么需要输入每个定制占位符的值。 每个占位符的长度必须至少为 2 个字符。 这些字符可以是字母(区分大小写)、数字 (0-9) 或空格。 受管密钥名称的示例长度不得超过 50 个字符。 您还可以指定密钥的扩展描述。 请注意,在创建密钥之后,无法修改密钥名称。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    密钥状态 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    保护级别 (只读) 受 HSM 保护的密钥 保护级别适用于 Google Cloud中受 FIPS 140-2 级别 3 硬件安全模块 (HSM) 保护的密钥。 此类型的密钥可确保更高的安全性。 受软件保护的密钥 保护级别适用于受软件保护的密钥。 您可以选择此级别以 降低成本。 有关更多信息,请参阅 Cloud KMS software backend: SOFTWARE protection levelCloud KMS HSM backend: HARDWARE protection level

    注: 受软件保护的密钥不支持椭圆曲线 secp256k1 算法。
    用途 (只读) 密钥的加密功能,这是您要使用此密钥执行的操作。 目的还确定可用的密钥算法。 受支持的密钥用途包括 对称加密/解密非对称符号非对称解密MAC 签名/验证。 有关更多信息,请参阅 关键用途
    密钥算法 (只读) 每个密钥用途支持的相应密钥算法。 算法定义加密操作所需的参数。 有关可用密钥算法的列表,请参阅 密钥用途和算法
    密钥标记 (可选) 添加名称和值对以标识密钥。
    表 4。 IBM Cloud KMS 密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 它的长度必须为 2-50 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或空格。

    要点: 如果在密钥模板中定义了密钥命名方案,那么需要为每个定制占位符输入值。 每个占位符的长度必须至少为 2 个字符。 这些字符可以是字母(区分大小写)、数字 (0-9) 或空格。 受管密钥名称的示例长度不得超过 50 个字符。 您还可以指定密钥的扩展描述。 请注意,在创建密钥之后,无法修改密钥名称。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    密钥状态 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥算法 (只读) 用于加密密钥数据的加密算法。
    密钥长度 (只读) 表示密钥的加密强度的位数。
    密钥标记 (可选) 添加名称和值对以标识密钥。
    表 5。Key Protect 密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 长度必须为 2-50 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或空格。

    要点: 如果在密钥模板中定义了密钥命名方案,那么需要为每个定制占位符输入值。 每个占位符的长度必须至少为 2 个字符。 这些字符可以是字母(区分大小写)、数字 (0-9) 或空格。 受管密钥名称的示例长度不得超过 50 个字符。 您还可以指定密钥的扩展描述。 请注意,在创建密钥之后,无法修改密钥名称。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    密钥状态 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥算法 (只读) 用于加密密钥数据的加密算法。
    密钥长度 (只读) 表示密钥的加密强度的位数。
    密钥标记 (可选) 添加名称和值对以标识密钥。

  8. 查看所选密钥模板定义的密钥属性,然后单击 下一步 以继续。

  9. 摘要下,查看密钥的摘要,然后单击 创建密钥 以确认。

您已成功创建受管密钥。

如果要在主密钥轮换期间创建内部 KMS 密钥,那么仍可以成功创建内部 KMS 密钥。 但是,在密钥状态旁边会显示 不同步 标志。 对于其中每个密钥,您可以通过在“操作”"操作" 图标 菜单上选择 显示详细信息 并在主密钥轮换完成后单击 同步密钥 来同步密钥。

通过 API 使用密钥模板创建受管密钥

您可以创建具有管理员预定义的关键属性的受管密钥。 此选项确保密钥符合预定义标准。 要通过 API 使用密钥模板创建受管密钥,请执行以下步骤:

  1. 检索服务和认证凭证以与服务中的密钥一起使用

  2. 通过对以下端点进行 POST 调用来创建密钥模板。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/templates

  3. 通过对以下端点进行 POST 调用,根据提供的模板创建受管密钥。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/managed_keys

    将在密钥模板中定义的密钥库组中的所有密钥库中激活受管密钥。

    有关使用 API 方法的详细指示信息和代码示例,请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档

在 UI 中使用定制属性创建受管密钥

选择 使用定制属性创建 选项时,将从头开始创建受管密钥。 此选项使您能够灵活地创建由自己完全控制的定制密钥。 要使用 UI 创建具有定制属性的受管密钥,请完成以下步骤:

  1. 登录到 Hyper Protect Crypto Services 实例

  2. 从导航中单击 受管密钥 以查看所有可用密钥。

  3. 要创建受管密钥,请单击 创建密钥

  4. 保险库下,选择用于访问控制的密钥的保险库,然后单击 下一步

    如果要将密钥分配给新的保险库文件,请单击 创建保险库文件。 有关更多指示信息,请参阅 创建保险库文件

  5. 密钥模板下,选择 使用定制属性创建 以创建没有密钥模板的密钥。

  6. 密钥库类型下,根据要在其中创建密钥的密钥库类型,选择下列其中一种密钥库类型。 然后,单击 下一步

    • AWS 密钥管理服务: 创建要在 AWS 密钥管理服务实例中使用和存储的密钥。
    • Azure Key Vault: 创建要在 Azure Key Vault 中使用和存储的密钥。
    • Google Cloud KMS: 创建要在 Google Cloud KMS 密钥库中使用和存储的密钥。
    • IBM Cloud KMS: 创建要在 IBM Cloud Hyper Protect Crypto Services 密钥库中使用和存储的密钥。
    • IBM Key Protect: 创建要在 IBM Key Protect 密钥环中使用和存储的密钥。

    选择密钥库类型后,只能在此类型的密钥库中激活密钥。 如果选择 IBM Cloud KMS,那么创建的密钥是可用于 包络加密 的根密钥。

  7. 密钥库下,可以选择要在其中激活受管密钥的一个或多个密钥库。 在多个密钥库中激活密钥可实现冗余。

    如果没有现有密钥库,那么可以单击 添加密钥库创建内部 KMS 密钥库连接到外部密钥库。 将为您选择相应的密钥库类型。

    仅当密钥在至少一个密钥库中激活后,才能将其用于加密或解密。

  8. 密钥属性下,指定密钥的以下详细信息。 完成后,单击 下一步 以继续。

    表 6. AWS 密钥管理服务密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 长度必须为 1-250 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或符号 (/_-)。但是,请勿使用 AWS/ 作为名称开头。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    密钥算法 用于加密密钥数据的加密算法。
    密钥长度 表示密钥的加密强度的位数。
    密钥状态 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥标记 (可选) 添加名称和值对以标识密钥。
    表 7. Azure 密钥保险库密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 长度必须为 1-127 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或连字符 (-)。

    重要信息: 如果在密钥模板中定义了密钥命名方案,那么需要为每个定制占位符输入值。 每个占位符的长度必须至少为 2 个字符。 这些字符可以是字母(区分大小写)、数字 (0-9) 或空格。 受管密钥名称的示例长度不得超过 50 个字符。 您还可以指定密钥的扩展描述。 请注意,在创建密钥之后,无法修改密钥名称。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    保护级别 要使用密钥模板创建的密钥的数据保护级别。

    受 HSM 保护的密钥 存储在 FIPS 认证的硬件安全模块中并生成。 它仅在 Azure 密钥保险库 (Premium) 中可用。 此类型的密钥可确保最高安全性。

    受软件保护的密钥 在 Azure Key Valut (Standard) 和 Key Vault (Premium) 中都可用。 您可以选择此级别以 降低成本

    注: 如果连接到类型为 Azure Key Vault 的外部密钥库,那么可以将受 HSM 保护的密钥和受软件保护的密钥都分发到 Azure Key Vault (Premium)。 但是,只能将受软件保护的密钥分发到 Azure Key Vault (标准)。
    密钥算法 用于加密密钥数据的加密算法。
    密钥长度 表示密钥的加密强度的位数。
    州/省 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥标记 (可选) 添加名称和值对以标识密钥。
    表 8。 Google Cloud KMS 密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 长度必须为 1-63 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或符号 (_-)。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    保护级别 受 HSM 保护的密钥 保护级别适用于 Google Cloud中受 FIPS 140-2 级别 3 硬件安全模块 (HSM) 保护的密钥。 此类型的密钥可确保更高的安全性。

    受软件保护的密钥 保护级别适用于受软件保护的密钥。 您可以选择此级别以 降低成本。 有关更多信息,请参阅 Cloud KMS software backend: SOFTWARE protection levelCloud KMS HSM backend: HARDWARE protection level

    注: 受软件保护的密钥不支持椭圆曲线 secp256k1 算法。
    用途 密钥的加密功能,这是您要使用此密钥执行的操作。 目的还确定可用的密钥算法。 受支持的密钥用途包括 对称加密/解密非对称符号非对称解密MAC 签名/验证。 有关更多信息,请参阅 关键用途
    密钥算法 每个密钥用途支持的相应密钥算法。 算法定义加密操作所需的参数。 有关可用密钥算法的列表,请参阅 密钥用途和算法
    州/省 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥标记 (可选) 添加名称和值对以标识密钥。
    表 9。 IBM Cloud KMS 密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 它的长度必须为 2-50 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或空格。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    密钥算法 用于加密密钥数据的加密算法。
    密钥长度 表示密钥的加密强度的位数。
    州/省 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥标记 (可选) 添加名称和值对以标识密钥。
    表 10. Key Protect 密钥属性
    属性 描述
    密钥名称 密钥的人类可读的唯一名称,以便可轻松识别密钥。 长度必须为 2-50 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或空格。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    密钥算法 用于加密密钥数据的加密算法。
    密钥长度 表示密钥的加密强度的位数。
    州/省 密钥的初始状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划激活预活动密钥的日期。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    密钥标记 (可选) 添加名称和值对以标识密钥。

  9. 摘要下,查看密钥的摘要,然后单击 创建密钥 以确认。

您已成功创建受管密钥。

如果要在主密钥轮换期间创建内部 KMS 密钥,那么仍可以成功创建内部 KMS 密钥。 但是,在密钥状态旁边会显示 不同步 标志。 对于其中每个密钥,您可以通过在“操作”"操作" 图标 菜单上选择 显示详细信息 并在主密钥轮换完成后单击 同步密钥 来同步密钥。

通过 API 使用定制属性创建受管密钥

您可以从头开始创建受管密钥。 此选项使您能够灵活地创建由自己完全控制的定制密钥。 要通过 API 使用定制属性创建受管密钥,请执行以下步骤:

  1. 检索服务和认证凭证以与服务中的密钥一起使用

  2. 通过对以下端点进行 POST 调用来创建密钥模板。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/templates

  3. 通过对以下端点进行 POST 调用,根据提供的模板创建受管密钥。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/managed_keys

    将在密钥模板中定义的密钥库组中的所有密钥库中激活受管密钥。

    有关使用 API 方法的详细指示信息和代码示例,请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档

下一步