为什么不能使用密钥部件文件来轮换主密钥?

运行 ibmcloud tke cryptounit-mk-rotate 命令以使用密钥部件文件来轮换主密钥时，可能无法完成轮换。

在主密钥轮换期间，将使用要使用的新主密钥值装入新的主密钥寄存器。 使用当前主密钥值和新的主密钥值对密钥存储器的内容进行重新加密。 当密钥存储器的重新加密完成时，新的主密钥值将提升到当前主密钥寄存器，并且将清除新的主密钥寄存器。

有关如何轮换主密钥的详细指示信息，请参阅 使用密钥部件文件轮换主密钥。

如果在主密钥轮换期间发生错误，那么您执行的恢复操作取决于完成的进程数。 不正确的恢复操作可能会导致密钥存储器的主密钥值丢失，并且密钥存储器的内容变为不可用。 在发生错误之前，您需要仔细检查命令输出以确定要执行的恢复操作。

在命令开始使用密钥存储器或主密钥寄存器之前，会检测到一些错误。 例如，如果认证令牌已到期，那么将报告错误。 要进行恢复，您需要登录到 IBM Cloud。 同样，如果不满足运行命令所需的初始条件，那么将报告错误。 请更正初始条件，然后再次运行该命令。

ibmcloud tke cryptounit-mk-rotate 命令可将以下初始条件报告为错误:

• 当您使用密钥部件文件来轮换主密钥时，将选择一组无效的加密单元。
• 一个或多个加密单元处于印记方式。
• 加密单元上的签名阈值未设置为相同值。
• 未选择一组公共管理员并将其安装在所有足以满足签名阈值的加密单元中。
• 当前主密钥寄存器并非都处于具有相同验证模式的 Valid 状态。
• 当您使用密钥部件文件来轮换主密钥时，新的主密钥寄存器并非都处于具有相同验证模式的 Valid 状态。

在完成主密钥轮换之前，无法运行操作工作负载。

如果在运行 ibmcloud tke cryptounit-mk-之轮换命令以轮换主密钥时发生错误，请检查该错误是认证令牌已到期还是预检查失败。 如果未显示，请检查是否显示以下消息:

KMS CRK rewrap successful, waiting on cryptounit-mk-setimm.

• 如果此消息不存在，那么可以通过再次运行 ibmcloud tke cryptounit-mk-rotate 命令从错误中恢复。

• 如果消息存在，那么密钥存储器的重新加密已完成。 该命令中的唯一剩余步骤是将新的主密钥寄存器中的值提升到当前主密钥寄存器。

  运行 ibmcloud tke cryptounit-mks 命令。 如果所有新的主密钥寄存器都处于具有相同验证模式的 Valid 状态，并且所有当前主密钥寄存器都处于具有不同相同验证模式的 Valid 状态，请运行 ibmcloud tke cryptounit-mk-setimm 命令以完成主密钥轮换。

  如果对于某些加密单元，新的主密钥值将移至当前主密钥寄存器，请使用 ibmcloud tke cryptounit-rm 命令清除这些加密单元。 然后，运行 ibmcloud tke cryptounit-mk-setimm 命令以完成主密钥轮换。

  在这两种情况下，继续超过 ibmcloud tke cryptounit-mk-setimm 命令上的警告是安全的。 密钥存储器已准备好接受新的主密钥值。