IBM Cloud Docs
创建密钥模板

创建密钥模板

密钥模板指定要创建的受管密钥的属性,例如命名约定,密钥算法和密钥长度。 您可以从头开始创建密钥模板,也可以从现有密钥模板进行复制。 创建密钥模板后,可以创建一组具有密钥模板中定义的相同密钥属性的密钥。 您可以使用 Unified Key Orchestrator 通过 UI 或通过 Unified Key Orchestrator API 以编程方式创建密钥模板。

使用 UI 从头开始创建密钥模板

您可以在完全由自己控制的情况下从头开始创建密钥模板。 要使用 UI 创建密钥模板,请完成以下步骤:

  1. 登录到 Hyper Protect Crypto Services 实例

  2. 单击导航中的 密钥模板 以查看所有可用的密钥模板。

  3. 要创建密钥模板,请单击 创建密钥模板

  4. 要控制对要使用密钥模板创建的密钥的访问权,请在 保险库下选择保险库文件,然后单击 下一步。 将在所选保险库文件中管理要使用密钥模板创建的所有密钥。

    如果要管理新保险库中的密钥访问权,请单击 创建保险库。 有关更多指示信息,请参阅 创建保险库文件

  5. 密钥库下,执行以下步骤:

    • 密钥库类型下,选择下列其中一种密钥库类型,这将确定可用的 密钥模板属性 以及要使用密钥模板创建的密钥类型:

      • AWS 密钥管理服务: 为要在 AWS 密钥管理服务实例中使用和存储的密钥创建密钥模板。
      • Azure Key Vault: 为要在 Azure Key Vault 中使用和存储的密钥创建密钥模板。
      • Google Cloud KMS: 为要在 Google Cloud KMS 密钥库中使用和存储的密钥创建密钥模板。
      • IBM Cloud KMS: 为要在 IBM Cloud Hyper Protect Crypto Services 密钥库中使用和存储的密钥创建密钥模板。
      • IBM Key Protect: 为要在 IBM Key Protect 密钥环中使用和存储的密钥创建密钥模板。

      有关密钥库的更多信息,请参阅 组件

    • (可选) 通过设置密钥库组,确定要使用密钥模板创建的密钥将被激活或存储在 密钥库 下的位置。 在多个密钥库中激活密钥可实现冗余。

      如果没有现有密钥库,请单击 添加密钥库创建内部 KMS 密钥库连接到外部密钥库

      选择密钥库类型后,只能在此类型的密钥库中创建密钥。

  6. 单击下一步以继续。

  7. 密钥模板属性下,指定密钥模板的以下详细信息。 完成后,单击 下一步 以继续。 缺省情况下,已预先选择某些配置。 但是,您可以根据需要进行更改。

    表 1. AWS 密钥模板属性
    属性 描述
    密钥模板名称 便于识别密钥模板的唯一人类可读名称。 它的长度必须为 1-100 个字符。
    描述 (可选) 密钥模板的扩展描述,长度最多为 200 个字符。
    命名方案 (可选) 输入字符串或占位符以实施密钥命名方案。 定义密钥命名方案后,您可以创建一组具有相同密钥命名约定的密钥,但不能再编辑密钥命名方案。 有关更多信息,请参阅 定义密钥命名方案
    受管密钥名称示例 只读。 将自动填充基于密钥命名方案的受管密钥名称的示例以供您参考。
    算法 加密算法,用于对要使用模板创建的密钥的数据进行加密。
    长度 表示要使用模板创建的密钥的加密强度的位数。
    州/省 要使用密钥模板创建的初始密钥状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    在以下时间之后激活密钥 (可选) 计划日期以激活自密钥创建以来要创建的预活动密钥。 它仅用于规划目的。
    在以下时间之后取消激活密钥 (可选) 计划日期以取消激活自密钥创建以来要创建的密钥。 它仅用于规划目的。
    表 2. Azure 密钥模板属性
    属性 描述
    密钥模板名称 便于识别密钥模板的唯一人类可读名称。 它的长度必须为 1-100 个字符。
    描述 (可选) 密钥模板的扩展描述,长度最多为 200 个字符。
    命名方案 (可选) 输入字符串或占位符以实施密钥命名方案。 定义密钥命名方案后,您可以创建一组具有相同密钥命名约定的密钥,但不能再编辑密钥命名方案。 有关更多信息,请参阅 定义密钥命名方案
    受管密钥名称示例 只读。 将自动填充基于密钥命名方案的受管密钥名称的示例以供您参考。
    保护级别 要使用密钥模板创建的密钥的数据保护级别。

    受 HSM 保护的密钥 存储在 FIPS 认证的硬件安全模块中并生成。 它仅在 Azure 密钥保险库 (Premium) 中可用。 此类型的密钥可确保最高安全性。

    受软件保护的密钥 在 Azure Key Valut (Standard) 和 Key Vault (Premium) 中都可用。 您可以选择此级别以 降低成本

    注: 如果连接到类型为 Azure Key Vault 的外部密钥库,那么可以将受 HSM 保护的密钥和受软件保护的密钥都分发到 Azure Key Vault (Premium)。 但是,只能将受软件保护的密钥分发到 Azure Key Vault (标准)。

    算法 加密算法,用于对要使用模板创建的密钥的数据进行加密。
    长度 表示要使用模板创建的密钥的加密强度的位数。
    州/省 要使用密钥模板创建的初始密钥状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    在以下时间之后激活密钥 (可选) 计划日期以激活自密钥创建以来要创建的预活动密钥。 它仅用于规划目的。
    在以下时间之后取消激活密钥 (可选) 计划日期以取消激活自密钥创建以来要创建的密钥。 它仅用于规划目的。
    表 3。 Google 密钥模板属性
    属性 描述
    密钥模板名称 便于识别密钥模板的唯一人类可读名称。 它的长度必须为 1-100 个字符。
    描述 (可选) 密钥模板的扩展描述,长度最多为 200 个字符。
    命名方案 (可选) 输入字符串或占位符以实施密钥命名方案。 定义密钥命名方案后,您可以创建一组具有相同密钥命名约定的密钥,但不能再编辑密钥命名方案。 有关更多信息,请参阅 定义密钥命名方案
    受管密钥名称示例 只读。 将自动填充基于密钥命名方案的受管密钥名称的示例以供您参考。
    保护级别 要使用密钥模板创建的密钥的数据保护级别。

    受 HSM 保护的密钥 保护级别适用于 Google Cloud中受 FIPS 140-2 级别 3 硬件安全模块 (HSM) 保护的密钥。 此类型的密钥可确保更高的安全性。

    受软件保护的密钥 保护级别适用于受软件保护的密钥。 您可以选择此级别以 降低成本。 有关更多信息,请参阅 Cloud KMS software backend: SOFTWARE protection levelCloud KMS HSM backend: HARDWARE protection level

    注: 受软件保护的密钥不支持椭圆曲线 secp256k1 算法。

    用途 密钥的加密功能,这是您要使用此密钥执行的操作。 目的还确定可用的密钥算法。 受支持的密钥用途包括 对称加密/解密非对称符号非对称解密MAC 签名/验证。 有关更多信息,请参阅 关键用途
    州/省 要使用密钥模板创建的初始密钥状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    在以下时间之后激活密钥 (可选) 计划日期以激活自密钥创建以来要创建的预活动密钥。 它仅用于规划目的。
    在以下时间之后取消激活密钥 (可选) 计划日期以取消激活自密钥创建以来要创建的密钥。 它仅用于规划目的。
    表 4。 IBM Cloud KMS 密钥模板属性
    属性 描述
    密钥模板名称 便于识别密钥模板的唯一人类可读名称。 它的长度必须为 1-100 个字符。
    描述 (可选) 密钥模板的扩展描述,长度最多为 200 个字符。
    命名方案 (可选) 输入字符串或占位符以实施密钥命名方案。 定义密钥命名方案后,您可以创建一组具有相同密钥命名约定的密钥,但不能再编辑密钥命名方案。 有关更多信息,请参阅 定义密钥命名方案
    受管密钥名称示例 只读。 将自动填充基于密钥命名方案的受管密钥名称的示例以供您参考。
    算法 加密算法,用于对要使用模板创建的密钥的数据进行加密。
    长度 表示要使用模板创建的密钥的加密强度的位数。
    州/省 要使用密钥模板创建的初始密钥状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    在以下时间之后激活密钥 (可选) 计划日期以激活自密钥创建以来要创建的预活动密钥。 它仅用于规划目的。
    在以下时间之后取消激活密钥 (可选) 计划日期以取消激活自密钥创建以来要创建的密钥。 它仅用于规划目的。
    表 5. IBM Key Protect 密钥模板属性
    属性 描述
    密钥模板名称 便于识别密钥模板的唯一人类可读名称。 它的长度必须为 1-100 个字符。
    描述 (可选) 密钥模板的扩展描述,长度最多为 200 个字符。
    命名方案 (可选) 输入字符串或占位符以实施密钥命名方案。 定义密钥命名方案后,您可以创建一组具有相同密钥命名约定的密钥,但不能再编辑密钥命名方案。 有关更多信息,请参阅 定义密钥命名方案
    受管密钥名称示例 只读。 将自动填充基于密钥命名方案的受管密钥名称的示例以供您参考。
    算法 加密算法,用于对要使用模板创建的密钥的数据进行加密。
    长度 表示要使用模板创建的密钥的加密强度的位数。
    州/省 要使用密钥模板创建的初始密钥状态,包括“预活动”和“活动”。 未在密钥库中激活预活动密钥以进行加密。 将在密钥库中自动激活活动密钥。 有关密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    在以下时间之后激活密钥 (可选) 计划日期以激活自密钥创建以来要创建的预活动密钥。 它仅用于规划目的。
    在以下时间之后取消激活密钥 (可选) 计划日期以取消激活自密钥创建以来要创建的密钥。 它仅用于规划目的。
  8. 摘要下,查看密钥模板的摘要,然后单击 创建密钥模板 以进行确认。

您已成功创建密钥模板。

通过 API 从头开始创建密钥模板

要通过 API 从头开始创建密钥模板,请执行以下步骤:

  1. 检索服务和认证凭证以使用服务中的密钥模板

  2. 通过对以下端点进行 POST 调用来创建密钥模板。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/templates
    
    

    有关使用 API 方法的详细指示信息和代码示例,请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档

使用 UI 创建现有密钥模板的副本

如果要根据现有模板定制密钥模板,请创建密钥模板的副本,然后编辑模板属性。 您可以从活动或已归档的密钥模板进行复制。 要通过 UI 执行此操作,请完成以下步骤:

  1. 登录到 Hyper Protect Crypto Services 实例

  2. 单击导航中的 密钥模板 以查看所有可用的密钥模板。

    您可以通过单击表上的 显示已归档的模板 图标 "显示已归档的模板" 图标 来查看已归档的密钥模板。

  3. 从列表中找到要复制的密钥模板,单击“操作”图标 "操作" 图标,然后选择 复制

    或者,单击“操作”图标 "操作" 图标,然后选择 显示详细信息。 然后,在模板详细信息页面上,选择 操作 > 复制

  4. 将根据复制的密钥模板预先配置所有属性。 如果需要,您仍可以进行以下更改:

    • 保险库
    • 密钥库类型
    • 密钥库
    • 密钥模板属性

    请参阅 使用 UI 从头开始创建密钥模板 以获取详细说明。

  5. 摘要下,查看密钥模板的摘要,然后单击 创建密钥模板 以进行确认。

您已成功创建现有密钥模板的副本。

通过 API 从现有密钥模板创建密钥模板

要通过 API 从现有密钥模板生成副本,请执行以下步骤:

  1. 检索服务和认证凭证以使用服务中的密钥模板

  2. 通过对以下端点进行 POST 调用来创建密钥模板。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/templates
    
    

    有关使用 API 方法的详细指示信息和代码示例,请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档

定义密钥命名方案

通过定义密钥模板的密钥命名方案,可以创建一组具有相同密钥命名约定的密钥。 您可以指定不同的命名方案占位符。 命名方案由固定字符串,定制占位符和系统占位符组成,将在创建每个键期间填充这些占位符。

定义密钥命名方案时,将在 受管密钥命名示例下自动填充基于密钥命名方案的受管密钥名称示例,以供您参考。 例如,如果输入 akms-<PROJECT>-<LOCATION>-<ENV>-appdata 作为密钥命名方案,那么将显示受管密钥名称的示例 akms-XYZ-XYZ-XYZ-appdata。 在此示例中,akmsappdata 是固定字符串,XYZ 是每次使用此密钥模板创建密钥期间需要提供的 PROJECTLOCATIONENV 的值。

请注意,您需要牢记以下注意事项:

  • 根据密钥库类型,密钥命名需求可能不同:

    • AWS 密钥管理服务: 长度必须为 1-250 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或符号 (/_-)。但是,请勿使用 AWS/ 作为名称开头。
    • Azure Key Vault: 其长度必须为 1-127 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或连字符 (-)。
    • Google Cloud KMS: 长度必须为 1-63 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或符号 (_-)。
    • IBM Cloud KMS: 长度必须为 2-50 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或空格。
    • IBM Key Protect: 长度必须为 2-50 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或空格。
  • 输入密钥命名方案的固定字符串或占位符。 每个占位符的长度必须在 1 到 20 个字符之间。 Note that you need to use the angle brackets (<>) to insert placeholders.

  • Enter an opening angle bracket (<) or click the system placeholder tag to insert a system placeholder. 每个系统占位符都由字母 (区分大小写),数字 (0-9) 或正斜杠 (/) 组成。下表列出了系统占位符:

    如果密钥名称包含系统占位符,那么无法轮换要创建的密钥。

    表 8. 用于命名方案的系统占位符
    系统占位符 备用拼写 描述
    lastActiveYear lay

    lastActiveYear/yyyy

    lay/yyyy

    lastActiveYear/4

    lay/4

    密钥到期时的年份的 4 数字格式。
    lastActiveYear/yy lay/2

    lastActiveYear/2

    lay/yy

    密钥到期时的年份的 2 数字格式。
    lastActiveMonth lam 密钥到期时的月份的 2 数字格式。
    yy 创建密钥时年份的 2 位数格式。
    yyyy 创建密钥时年份的 4 位数格式。
    mm 创建密钥时月份的 2 位数格式。
  • 请勿将以下保留占位符用于密钥命名方案。

    表 9。 用于命名方案的保留占位符
    保留占位符 备用拼写
    SEQUENCENUMBER seqno

    sqn

    sequenceNumber

    SEQNO

    SQN

    hierarchy h

    hier

    keyType kt
    institutionId iid
  • You can enter an opening angle bracket (<) to insert a custom placeholder. 每个定制占位符都由字母 (区分大小写) 或数字 (0-9) 组成。 要将命名方案应用于多个键,请确保至少使用一个定制占位符。

  • 如果定义定制占位符,那么需要在密钥创建期间为占位符提供值。

  • 在使用密钥命名方案创建受管密钥之后,无法编辑密钥名称。

下一步