IBM Cloud Docs
监视加密密钥的生命周期-标准套餐

监视加密密钥的生命周期-标准套餐

IBM Cloud® Hyper Protect Crypto Services 遵循 NIST SP 800-57 针对密钥状态的安全准则。

密钥状态和转换

密钥在其生命周期内会经历若干状态转换,这些状态的作用是指示密钥存在了多久以及数据是否受到保护。

Hyper Protect Crypto Services 提供了一个图形用户界面和一个 REST API,用于跟踪密钥在其生命周期中经历的若干状态移动。 下图显示了密钥如何在生成和销毁之间通过状态。

加密密钥状态和转换
图 1。 密钥状态和转换

表 1. 描述关键状态和转换。
州/省 整数映射 描述
预激活 0 密钥最初是在“预活动”状态下创建的。 预激活的密钥不能用于以加密方式保护数据。
活动 1 密钥在激活日期立即进入“活动”状态。 此转换标志着密钥加密期的开始。 没有激活日期的密钥会立即变为活动状态,并且在到期或销毁之前会保持活动状态。
已暂挂 2 当密钥 针对加密和解密操作禁用 时,该密钥将进入“暂挂”状态。 在此状态下,密钥无法以加密方式保护数据,只能移至“活动”或“已破坏”状态。
已停用 3 如果已分配密钥,那么该密钥将在到期日期进入“已取消激活”状态。 在此状态下,密钥无法以加密方式保护数据,只能将其移至“已销毁”状态。
已销毁 5 已删除的密钥处于“已销毁”状态。 处于此状态的密钥不可恢复。 与密钥关联的元数据(例如,密钥的转换历史记录和名称)会保存在 Hyper Protect Crypto Services 数据库中。

密钥状态和服务操作

密钥状态会影响对密钥执行的操作是成功还是失败。 例如,如果密钥处于“活动”状态,那么无法复原该密钥,因为先前未删除该密钥。

下表显示了 Hyper Protect Crypto Services 如何根据密钥的状态来处理服务操作。 列标题表示键状态,行标题表示可以对键执行的操作。 复选标记 图标 复选标记图标 指示根据密钥状态对密钥执行的操作预期会成功。

表 2. 描述密钥状态如何影响服务操作。
操作 预激活 活动 已暂挂 已停用 已销毁
获取密钥。 复选标记图标 复选标记图标 复选标记图标 复选标记图标 复选标记图标
列出密钥。 复选标记图标 复选标记图标 复选标记图标 复选标记图标
旋转密钥。 复选标记图标
回绕键。 复选标记图标
解包密钥。 复选标记图标 复选标记图标
重新打包密钥。 复选标记图标 复选标记图标
禁用密钥。 复选标记图标
启用密钥。 复选标记图标
删除密钥。 复选标记图标 复选标记图标 复选标记图标
复原密钥。 复选标记图标

监视生命周期更改

将根密钥添加到服务后,请使用 UI 或 Hyper Protect Crypto Services 密钥管理 REST API 来查看密钥的转换历史记录和配置。

出于审计目的,您还可以通过将 Hyper Protect Crypto Services 与 IBM Cloud Activity Tracker集成来监视根密钥的活动跟踪。 供应并运行这两个服务后,当您对 Hyper Protect Crypto Services中的密钥执行操作时,将在 IBM Cloud Activity Tracker 日志中生成并自动收集活动事件。