受管密钥轮换- Unified Key Orchestrator 套餐
您可以根据需要使用 Unified Key Orchestrator 实例手动轮换 IBM Cloud® Hyper Protect Crypto Services 中的受管密钥。 当您撤销原始密钥资料并为根密钥生成新的密钥资料时,将进行密钥轮换。
定期旋转密钥可帮助您满足行业标准和加密最佳实践。 下表描述了密钥轮换的主要优点:
| 优点 | 描述 |
|---|---|
| 密钥的加密期管理 | 密钥轮换可限制信息受单个密钥保护的时长。 通过定期轮换受管密钥,还可以缩短密钥的 cryptoperiod。 加密密钥的生命周期越长,出现安全漏洞的可能性越高。 |
| 事件缓解 | 如果您的组织检测到安全问题,您可以立即轮换密钥,以降低或减少与密钥泄漏相关的成本。 |
NIST Special Publication 800-57 Recommendation for Key Management 中对密钥轮换进行了介绍。 要了解更多信息,请参阅 NIST SP 800-57 Pt. 1 Rev.$tag3
请注意,根据受管密钥的类型,密钥轮换可能会收取额外费用。 有关定价详细信息,请参阅以下链接:
- AWS 密钥管理服务密钥: AWS 密钥管理服务定价
- Azure Key Vault 密钥: Azure Key Vault 定价
- Google Cloud KMS 密钥: Google Cloud 密钥管理服务定价。
- IBM Cloud KMS 密钥: 无额外费用。 有关更多信息,请参阅 Hyper Protect Crypto Services 与 Unified Key Orchestrator 定价。
- IBM Key Protect 密钥: 无额外费用。 有关更多信息,请参阅 Key Protect 定价。
受管密钥轮换的工作方式
当您旋转受管密钥时,将自动生成新的密钥资料并替换先前的密钥资料。 它将进入 活动 状态并可用于加密操作。 使用受管密钥执行加密时,Hyper Protect Crypto Services 与 Unified Key Orchestrator 仅使用最新密钥资料。 键旋转改变键材料。 密钥标识也可以更改,具体取决于密钥库类型。
下图显示了密钥轮换功能的上下文视图。
根据密钥类型,处于特定状态的受管密钥不适合进行密钥轮换。 在轮换受管密钥之前,请确保检查下表。 复选标记 图标 
指示处于此状态的受管密钥符合轮换条件。 有关不同密钥状态的更多信息,请参阅 监视 Unified Key Orchestrator中加密密钥的生命周期。
| 密钥类型 | 预激活 | 活动 | 已停用 | 已销毁 |
|---|---|---|---|---|
| AWS 密钥管理服务密钥 | 不适用 | |
|
不适用 |
| Azure 密钥保险库密钥 | 不适用 | |
|
不适用 |
| Google Cloud KMS 密钥 | 不适用 | |
|
不适用 |
| IBM Cloud KMS 密钥 | 不适用 | |
不适用 | 不适用 |
| IBM Key Protect 密钥 | 不适用 | |
不适用 | 不适用 |
先前的密钥版本会发生什么?
在密钥轮换之后,服务将保留先前的密钥版本和材料,直到删除受管密钥为止,但您无法再编辑这些密钥材料,并且密钥状态可能会更改。 下表列出了可用于先前密钥版本的详细更改和相应操作。
| 密钥类型 | 密钥状态更改 | 可用于加密 | 可用于解密 | 描述 |
|---|---|---|---|---|
| AWS 密钥管理服务密钥 | 保持原样 | |
|
有关更多信息,请参阅 旋转 AWS KMS 密钥。 |
| Azure 密钥保险库密钥 | 保持原样 | |
|
有关更多信息,请参阅 在 Azure Key Vault 中配置密钥自动旋转 |
| Google Cloud KMS 密钥-除 AES 密钥以外的其他密钥类型 | 保持原样 | |
|
有关更多信息,请参阅 密钥轮换 和 轮换密钥。 |
| Google Cloud KMS 密钥-AES 密钥 | 自动移至 已取消激活 状态。 | 不适用 | |
有关更多信息,请参阅 密钥轮换 和 轮换密钥。 |
| IBM Cloud KMS 密钥 | 自动移至 已取消激活 状态。 | 不适用 | |
先前的密钥资料不能再用于加密,但仍可用于解包操作。 当您使用旋转的管理密钥来解密数据时,服务将使用用于加密的相同版本的密钥资料,然后使用最新的密钥资料来重新包装数据。 |
| IBM Key Protect 密钥 | 自动移至 已取消激活 状态。 | 不适用 | |
先前的密钥资料不能再用于加密,但仍可用于解包操作。 当您使用轮换的管理密钥来解密数据时,服务会使用之前用于加密的相同版本的密钥资料,然后使用最新的密钥资料来重新打包数据。 有关更多信息,请参阅 旋转密钥。 |
应该旋转密钥的频率?
最佳实践是定期轮换管理密钥。Unified Key Orchestrator 允许每个密钥每小时不超过一个密钥轮换。
在轮换受管密钥后重新包装数据
在受管密钥轮换完成后,新的密钥资料将可用于加密操作。 要确保数据受最新版本的受管密钥保护,请在轮换受管密钥后重新打包数据。 根据您的密钥类型,请参阅下表以获取相应的指示信息。
| 密钥类型 | 有关重新包装数据的指示信息 |
|---|---|
| AWS 密钥管理服务密钥 | 使用 AWS Key Management Service 重新包装数据。 |
| Azure 密钥保险库密钥 | Azure 密钥保险库文档。 |
| Google Cloud KMS 密钥 | 使用 Google Cloud KMS 重新包装数据。 |
| IBM Cloud KMS 密钥 | 使用 IBM Cloud Hyper Protect Crypto Services 重新包装数据。 |
| IBM Key Protect 密钥 | 使用 IBM Key Protect 重新包装数据。 |