关于删除和清除密钥
如果您是 Hyper Protect Crypto Services 实例的 Manager,那么可以删除加密密钥和密钥资料。
如果不再需要密钥,那么可以删除并最终清除密钥。 此操作将压缩密钥资料,并使使用密钥加密的任何数据不可访问。
删除密钥时,该密钥将进入 已销毁状态。 在删除后的 30 天内,仍可查看和恢复密钥。 90 天后,将自动清除密钥,您将无法再查看该密钥。 还会从 Hyper Protect Crypto Services 实例中永久除去与密钥关联的数据。 如果要在 90 天之前清除密钥,那么还可以在密钥进入“已销毁”状态后 4 小时手动执行此操作。
清除密钥后,无法再访问关联的数据。 因此,建议不要在生产环境中 销毁资源,除非需要。
下表列出了删除密钥后可以查看,复原和清除密钥的时间范围。
| 从密钥删除开始的时间 | 密钥状态的名称 | 可以查看或访问密钥数据吗? | 可以复原吗? | 用户可以启动清除吗? |
|---|---|---|---|---|
| 1 second–4 小时 | 已销毁 | 是 | 是 | 否 |
| 4 hours–30 天 | 已销毁 | 是 | 是 | 是 |
| 30-90 天 | 已销毁 | 是 | 否 | 是 |
| 90 天后 | 已清除 (在技术上不是密钥状态) | 否 | 否 | 是 |
由于已清除的密钥不可访问且不再可复原,因此 已清除 在技术上不是密钥状态。 但是,将 已清除 视为状态可能很有用,因为不存在是密钥生命周期的一部分。
下表列出了在清除密钥之前可用于检索与已删除密钥相关的数据的 API。
| < | 描述 |
|---|---|
| 获取密钥 | 检索密钥详细信息。 |
| 获取密钥元数据 | 检索密钥元数据。 |
| 获取注册 | 检索与密钥关联的注册列表。 |
清除密钥后,当您调用使用已清除密钥的密钥标识的任何 API 方法时,将收到 404 HTTP Not Found 错误。 如果需要保留与已清除的密钥关联的任何数据,建议进行必要的 API 或 CLI 调用以在您自己的存储设备中检索和存储该数据。
删除和清除密钥之前的注意事项
Hyper Protect Crypto Services 阻止删除正在主动保护任何已注册云资源的任何密钥。 在删除密钥之前,请先考虑以下注意事项:
- 查看与密钥关联的已注册 IBM 资源。 如果需要,您可以 强制删除密钥 以保护已注册的云资源。 但是,如果由于 保留时间策略而无法擦除关联的资源,那么操作无法成功。 该策略是在客户的相关云资源上设置的 WORM (Write-Once-Read-many) 策略。
- 通过检查密钥的 注册详细信息 的
preventKeyDeletion字段,验证密钥是否具有保留时间策略。 然后,必须先联系帐户所有者以除去与密钥关联的每个资源上的保留时间策略,然后才能删除密钥。 - 验证密钥的删除授权策略。 缺省情况下,Hyper Protect Crypto Services 中的密钥仅需要一个具有 管理者 角色的用户进行一次删除授权。 但是,如果设置了 双重授权策略,那么需要两个具有 管理者 角色的用户来核准删除。
- 如果要手动清除密钥,请确保为您分配了 KMS 密钥清除 角色。 有关服务访问角色的更多信息,请参阅 IAM 服务访问角色。
下一步
- 要了解如何删除包含单个授权策略的密钥,请参阅 使用单个授权删除密钥。
- 要了解如何删除包含双重授权策略的密钥,请参阅 使用双重授权删除密钥。
- 要了解如何手动清除密钥,请参阅 手动清除密钥。