使用恢复加密单元旋转主密钥
要使用恢复加密单元来轮换主密钥,请执行以下步骤。 在这种情况下,将在恢复加密单元中生成随机主密钥值,将其安全地传输到其他加密单元,并使用 ibmcloud tke auto-mk-rotate 命令自动旋转。
发生主密钥轮换时,您暂时无法访问密钥库。 要了解主密钥轮换的工作方式,请参阅主密钥轮换简介 针对标准套餐 或 针对 Unified Key Orchestrator 计划。
确保为您分配了 管理者 服务访问角色或 加密单元管理员 角色,以执行 TKE CLI 操作。 有关访问权管理的更多信息,请参阅“管理用户访问权”针对标准套餐 或 针对 Unified Key Orchestrator 计划。
轮换主密钥时,仍可以执行一些 KMS 密钥操作,例如列出密钥,检索密钥元数据或删除密钥,但不能创建或轮换密钥。 在主密钥轮换期间,不能调用 PKCS #11 API 或 GREP11 API。
旋转主密钥
在使用恢复加密单元轮换主密钥之前,请确保完成 步骤以使用 TKE 插件设置 IBM Cloud CLI。
要使用恢复加密单元来轮换主密钥,请使用以下命令:
ibmcloud tke auto-mk-rotate
如果将多个服务实例分配给资源组,请从显示的服务实例列表中选择要轮换主密钥的服务实例。
选择服务实例后,将选择该服务实例中的所有加密单元。 此命令将检查加密单元的初始状态,以确保可以旋转主密钥:
- 如果未满足必需的初始条件,那么将报告错误并结束该命令。 在这种情况下,您可以通过运行
ibmcloud tke cryptounit-compare命令来检查如何配置加密单元。 - 如果满足所需的初始条件,那么将在其中一个恢复加密单元的新主密钥寄存器中生成随机主密钥值。 该值将安全地复制到服务实例的其他加密单元。 发出命令以使用当前主密钥寄存器值和新的主密钥寄存器值对服务实例的密钥存储器内容进行重新加密。
当密钥存储器完全重新加密时,新的主密钥寄存器中的值将提升到所有加密单元中的当前主密钥寄存器,并且将清除新的主密钥寄存器。 当主密钥轮换完成时,将显示一条成功消息。 可能需要大约 60 秒来重新加密 3000 个密钥。
在主密钥轮换之后,不会自动轮换内存中密钥库中的密钥对象。 如果在服务实例中启用了 PKCS #11 密钥库,那么在主密钥轮换完成后,需要重新启动所有活动的 PKCS #11 应用程序以清除内存中的密钥库。 有关详细信息,请参阅 PKCS #11 实现组件。
如果在主密钥轮换期间发生错误,请参阅 为什么我无法使用恢复加密单元轮换主密钥。
下一步
- 要了解有关以编程方式管理密钥的更多信息,请查看 Hyper Protect Crypto Services 密钥管理服务 API 参考文档 或 Unified Key Orchestrator API 参考文档。
- 要了解有关使用 Hyper Protect Crypto Services的云 HSM 功能对数据进行加密的更多信息,请查看 PKCS #11 API 参考 和 GREP11 API 参考文档。