IBM Cloud Docs
手动将密钥库中的密钥与受管密钥同步

手动将密钥库中的密钥与受管密钥同步

如果某些密钥库中的密钥状态与受管密钥状态不同,那么您将收到 密钥不同步 警告消息。 您可以通过将 Unified Key Orchestrator 与 UI 或以编程方式与 Unified Key Orchestrator API 同步密钥状态。

Out of sync 标志也显示在相应的密钥库卡或密钥列表中。 可能有多个原因导致密钥不同步。 例如,重新链接密钥库中的密钥时存在问题,无法在某些分布式密钥库中销毁密钥,或者在 Unified Key Orchestrator外部的目标密钥库中修改密钥。 执行以下步骤以将密钥库中的密钥状态与受管密钥进行简单同步。

将密钥与 UI 同步

要手动将密钥库中的密钥与受管密钥同步,需要先验证密钥状态,然后再同步密钥。 完成以下步骤以同步受管密钥:

步骤 1: 验证密钥状态

  1. 登录 UI
  2. 菜单>资源列表查看您的资源列表。
  3. 从 IBM Cloud 资源列表中选择具有 Unified Key Orchestrator 的 Hyper Protect Crypto Services 的供应实例。
  4. 从导航中单击 受管密钥 以查看所有可用密钥。
  5. 选择要验证密钥状态的密钥,然后单击 操作 图标 "操作" 图标 以打开密钥的选项列表。
  6. 单击选项菜单中的 验证同步

步骤 2: 同步密钥状态

验证密钥状态后,如果在密钥状态旁边显示了 不同步 标志,那么可以通过执行以下步骤来同步密钥状态:

  1. 选择要同步的密钥,然后单击操作图标操作图标 打开该键的选项列表。
  2. 从选项菜单中单击 同步密钥。 或者,可以通过在“操作”"操作" 图标 菜单上选择 显示详细信息 并在“密钥详细信息”页面中单击 同步密钥 来同步密钥。
  3. 确认要在其中同步密钥的密钥库,然后单击 同步密钥

与 API 同步

要通过 API 同步受管密钥,请执行以下步骤:

  1. 检索服务和认证凭证以与服务中的密钥一起使用

  2. 通过根据以下示例进行 POST 调用来同步受管密钥:

    curl --location --request POST 'https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/managed_keys/<id>/sync_status_in_keystores'
    --header 'Authorization: Bearer <IAM_token>' \
    --header 'Accept: application/json' \
    --header 'If-Match: <ETag>'
    

    根据下表替换示例请求中的变量。

    表 1. 同步受管密钥所需的变量
    变量 描述
    region 必需。 表示服务实例所在地理区域的前缀。 有关更多信息,请参阅区域和位置
    port 必需。 API 端点的端口号。
    id 必需。 您想要同步的管理密钥的唯一标识符。
    IAM_token 必需。 您在步骤 1 中检索的 IBM Cloud IAM 访问令牌。 包括完整内容 IAM 令牌,包括 Bearer 值。
    ETag 必需。 更新的前置条件,即 GET 请求的头中的 ETag 值。

    有关使用 API 方法的详细指示信息和代码示例,请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档

下一步