监视 Unified Key Orchestrator 中加密密钥的生命周期
IBM Cloud® Hyper Protect Crypto Services 遵循 NIST SP 800-57 针对密钥状态的安全准则。
密钥状态和转换
Unified Key Orchestrator 中的受管密钥通过多种状态进行转换,这些状态指示密钥存在的时间长度以及数据是否受保护。
下图显示受管密钥如何在生成和销毁之间通过状态。
下表显示了每个密钥状态的详细信息。
| 州/省 | 整数映射 | 描述 |
|---|---|---|
| 预激活 | 0 | 密钥库中尚未激活预活动密钥,因此不可供应用程序使用。 新密钥最初是在“预活动”状态下创建的。 |
| 活动1 | 1 | 活动密钥在密钥库中激活,可供应用程序使用。 如果密钥用于保护关联资源,那么该密钥将可供其关联的资源访问,并且可用于数据保护。 您可以在创建密钥时将密钥设置为“活动”状态,或者稍后手动激活“预活动”密钥。 |
| 已停用 | 3 | 不再允许对生成新加密数据 (例如加密或签名) 的操作使用已取消激活的密钥,但仍可用于对现有数据执行解密或签名验证的操作。 取消激活密钥时,密钥将从所有密钥库中取消链接,并且不可供所有关联资源及其数据访问。 但是,您仍可以重新激活该密钥,以供这些资源再次访问。 |
| 已销毁2 | 5 | 销毁密钥是已永久擦除实际密钥材料的密钥记录。 将保留密钥的记录以供以后查询或审计使用,直到您从保险库中手动除去密钥为止。 无法复原处于“已破坏”状态的密钥。 |
1: 如果某些密钥库中的密钥状态与受管密钥状态不同,那么您将收到 密钥不同步 警告消息。 Out of sync 标志也显示在相应的密钥库卡或密钥列表中。 可能有多个原因导致密钥不同步。 例如,在重新链接密钥库中的密钥时存在问题,无法在某些分布式密钥库中销毁密钥,或者在 Unified Key Orchestrator外部的目标密钥库中修改密钥。 您可以通过单击“密钥详细信息”页面上的 同步密钥 来同步密钥状态。
2: 将密钥从“已取消激活”状态移至“已销毁”状态后,该密钥将首先在由外部云提供者的销毁策略定义的时间段内暂挂销毁。 当暂挂销毁周期结束时,密钥将自动进入“已销毁”状态,并且无法再恢复。 请参阅 删除受管密钥 以获取密钥库的详细销毁策略。
对于 Azure Key Vault 和 Google Cloud KMS 密钥库,如果要在外部云提供者端定制暂挂销毁时间段。 如果将不同的定制暂挂销毁周期应用于密钥分发到的多个密钥库,那么密钥的暂挂销毁周期也将根据您的设置而有所不同。 有关定制销毁暂挂策略的更多信息,请参阅以下主题:
无法使用 Unified Key Orchestrator UI 或 API 取消暂挂销毁。 但是,您仍可以通过在其中创建密钥的第三方密钥库来执行此操作。 有关更多指示信息,请查看以下链接:
密钥状态和服务操作
密钥状态会影响您对密钥执行的操作是成功还是失败。 例如,如果受管密钥处于“活动”状态,那么不能先销毁该密钥,然后再将其取消激活。
下表显示了 Unified Key Orchestrator 如何根据密钥状态处理服务操作。 列标题表示键状态,行标题表示可以对键执行的操作。 复选标记 图标 
指示根据密钥状态对密钥执行的操作预期会成功。
| 操作 | 预激活 | 活动 | 已停用 | 已销毁 |
|---|---|---|---|---|
| 拿个钥匙 | |
|
|
|
| 列出密钥。 | |
|
|
|
| 旋转密钥。 | |
|||
| 取消激活密钥。 | |
|||
| 重新激活密钥。 | |
|||
| 销毁一个密钥。 | |
|
||
| 从保险库中除去密钥。 | |
监视生命周期更改
将受管密钥添加到服务后,请使用 IBM Cloud UI 或 Unified Key Orchestrator API 来查看密钥的转换历史记录和配置。
出于审计目的,您还可以通过将 Hyper Protect Crypto Services 与 IBM Cloud Activity Tracker集成来监视受管密钥的活动跟踪。 供应并运行这两个服务后,当您对 Hyper Protect Crypto Services中的密钥执行操作时,将在 IBM Cloud Activity Tracker 日志中生成并自动收集活动事件。