IBM Cloud Docs
编辑受管密钥详细信息

编辑受管密钥详细信息

您可以在 Unified Key Orchestrator 中使用 IBM Cloud® UI 或使用 Unified Key Orchestrator API 以编程方式编辑受管密钥。

使用 UI 编辑受管密钥详细信息

要使用 UI 编辑受管密钥的详细信息,请完成以下步骤:

  1. 登录到 Hyper Protect Crypto Services 实例

  2. 从导航中单击 受管密钥 以查看所有可用密钥。

  3. 单击要编辑的密钥上的“操作”图标 "操作" 图标,然后选择 显示详细信息

  4. 键属性下,单击每个卡上的 编辑 以更新键属性。

    1. 您可以更新常规属性和生命周期属性。 或者,您还可以查看密钥材料属性,包括算法,长度和密钥检查值。 以下是您可以编辑的一些属性。 请注意,您可以一次编辑一个属性卡。 要编辑另一个属性卡,请先保存更改。

    由于已创建密钥,因此无法对使用“锁定”图标标记的密钥材料属性进行更改。

    表 1. 密钥属性
    属性 描述
    密钥名称

    密钥的人类可读的唯一名称,以便可轻松识别密钥。 更改受管密钥的名称时,将在激活该密钥的所有密钥库中重命名该密钥。

    重要信息: 在使用密钥命名 schemes.

    根据密钥库类型,使用以下规则命名密钥:

    • IBM Cloud KMS: 2-长度为 50 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或空格。
    • IBM Key Protect: 2-长度为 50 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或空格。
    • AWS 密钥管理服务: 1-长度为 250 个字符。 字符可以是字母 (区分大小写),数字 (0-9) 或符号 (/_-)。但是,请勿以 AWS/.
    • Azure Key Vault 开头: 1-长度为 127 个字符。 字符可以是字母 (区分大小写) ,数字 (0-9) 或连字符 (-)。
    • Google Cloud KMS: 1-63 个字符的长度。 字符可以是字母(区分大小写)、数字(0-9)或符号(_-)。
    描述 (可选) 密钥的扩展描述,长度最多为 200 个字符。
    州/省 关键状态包括预活动、活动、停用和销毁。 将密钥从“已停用”状态移至“已销毁”状态后,将在状态旁边显示 pending 标志,该密钥将在由外部云提供者的缺省销毁策略定义的时间段内暂挂销毁。 对于 Azure Key Vault 和 Google Cloud KMS 密钥库,还可以在外部云提供者端定制暂挂破坏时间段。 不能使用 Unified Key Orchestrator UI 或 API 取消暂挂销毁。 但是,您仍可以通过在其中创建密钥的第三方密钥库来执行此操作。 有关更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期
    激活日期 计划日期以激活密钥。 它仅用于规划目的。
    到期日期 计划取消激活密钥的日期。 它仅用于规划目的。
    1. 密钥库 卡中,单击 编辑 以添加或除去激活密钥的密钥库。 在至少一个密钥库中激活密钥后,只能将其用于加密和解密。 如果使用密钥模板创建密钥,那么在更新密钥库分发列表时可能会显示 Unaligned 标志,这意味着密钥不再与密钥模板同步。

    • 添加密钥库

      如果要在更多密钥库中分发和激活密钥,请单击 编辑 并检查相应的密钥库卡。 在所有密钥库中同步活动密钥状态。

    • 除去密钥库

      如果要取消链接并取消激活某些密钥库中的密钥,请单击 编辑 并清除相应密钥库卡中的复选框。 除去后,除非您破坏密钥,否则密钥材料将保留。 除去的密钥库中的密钥状态将变为“已取消激活”,并且将来无法与受管密钥状态同步。 但是,您可以通过再次将密钥分发到这些密钥库来重新激活密钥,以便再次同步密钥状态。

      在要将密钥分发到的多个密钥库之间同步受管密钥。 仅当密钥被销毁后,您才能从密钥库中完全删除该密钥。 但是,您可以随时停用密钥或删除密钥库。

    • 同步密钥

      如果某些密钥库中的密钥状态与受管密钥状态不同,那么您将收到 密钥不同步 警告消息。 相应的密钥库卡中还会显示 不同步 标志。 可能有多种原因导致密钥状态不同步。 例如,重新链接密钥库中的密钥时存在问题,无法在某些分布式密钥库中销毁密钥,或者在 Unified Key Orchestrator外部的目标密钥库中修改密钥。 将鼠标悬停在此标志上时,可以看到特定原因。 您可以通过单击 同步密钥来同步密钥状态。 有关更多信息,请参阅 手动使密钥库中的密钥与受管密钥同步

      在主密钥轮换期间,您可以激活IBM Cloud内部密钥库中的 KMS 密钥。 然而,它将被显示为不同步。 您可以在主密钥轮换完成后同步密钥。

    • 创建密钥库

      在多个密钥库中分发和激活密钥可实现冗余。 如果要在新密钥库中分发密钥,请单击 添加密钥库。 有关更多指示信息,请参阅 创建内部密钥库连接到外部密钥库

    • 使用模板进行重新调整

      对于使用密钥模板创建的密钥,在编辑密钥库分发列表之后,可以在密钥的密钥详细信息卡上显示 Unaligned 标志。 如果要保留这些更改,请忽略该标志。 否则,通过选择 操作 > 与模板重新对齐,再次将密钥与密钥模板重新对齐。 有关更多信息,请参阅 使用密钥模板重新对齐密钥

    如果连接到类型为 Azure Key Vault 的外部密钥库,那么只能将受 HSM 保护的密钥分发到 Azure Key Vault (Premium)。

  5. 高级属性下,单击 编辑 以更新密钥或向密钥添加新的密钥标记。 密钥标记用作密钥的标识。

  6. 完成更改后,单击 保存 以保存更改。

您可以使用搜索栏来搜索特定密钥,也可以通过单击 受管密钥 表中的 过滤器 图标 "过滤器" 图标 来根据需要过滤密钥。 有关更多信息,请参阅 过滤和搜索键

使用 API 编辑密钥详细信息

要通过 API 编辑密钥详细信息,请执行以下步骤:

  1. 检索服务和认证凭证以与服务中的密钥一起使用

  2. 通过对以下端点进行 PATCH 调用来更新受管密钥的详细信息。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/managed_keys/<id>

    <id> 替换为受管密钥的标识。

    有关使用 API 方法的详细指示信息和代码示例,请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档

使用 API 编辑密钥的密钥库

要使用 API 编辑密钥的密钥库,请完成以下步骤:

  1. 检索服务和认证凭证以与服务中的密钥一起使用

  2. 通过对以下端点进行 PATCH 调用,将密钥库添加到密钥库组或从密钥库组中除去密钥库。 密钥库组必须与与受管密钥关联的密钥模板匹配。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/keystores/<id>

    代替 <id> 使用您的密钥库的 ID。

  3. 通过对以下端点进行 POST 调用,更新受管密钥以匹配最新版本的关联密钥模板。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/managed_keys/<id>/update_from_template

    <id> 替换为受管密钥的标识。

    有关使用 API 方法的详细指示信息和代码示例,请查看如何在 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档中 更新内部密钥库或密钥库连接更新受管密钥以匹配密钥模板

下一步