使用金鑰組件檔來起始設定服務實例
您需要先透過載入主要金鑰來起始設定服務實例,才能使用 Hyper Protect Crypto Services 實例。 本主題引導您完成透過 IBM Cloud TKE CLI 外掛程式使用金鑰組件檔來起始設定服務實例的步驟。
如需服務實例起始設定方法及相關基本概念的簡介,請參閱 起始設定服務實例 及 服務實例起始設定方法簡介。
下圖提供您使用儲存在檔案中的主要金鑰組件來起始設定服務實例所需採取的步驟概觀。請按一下圖表上的每一個步驟以取得詳細指示。
您也可以觀看下列視訊,以瞭解如何使用 IBM Cloud TKE CLI 外掛程式來起始設定 Hyper Protect Crypto Services 實例:
您負責保護用來起始設定 Hyper Protect Crypto Services 實例的資產。 如需最佳作法,請參閱 常見問題(FAQ)。
開始之前
在啟動實例起始設定之前,請確定您已完成 必要步驟。
選取服務起始設定的目標加密單位
指派給 IBM Cloud 使用者帳戶的加密單位位於稱為服務實例的群組中。 服務實例最多可以有六個 作業加密單位。 服務實例中的所有加密單位都需要配置相同。 如果無法存取實例所在地區中的某個可用性區域,則可以交換使用作業加密單位來進行負載平衡或高可用性。
指派給 IBM Cloud 使用者的加密單位以稱為 印記模式An operational mode in which crypto units are assigned to a user.的已清除狀態啟動。
單一服務實例的所有加密單位中主要金鑰登錄的設定都必須相同。 同一組管理者必須新增至所有加密單位中,而所有加密單位必須同時結束印記模式。
-
若要以現行使用者帳戶顯示目標資源群組中的服務實例及加密單位,請使用下列指令:
ibmcloud tke cryptounits
下列輸出是顯示的範例。 輸出表格中的 SELECTED 直欄會識別 TKE CLI 外掛程式所發出之稍後管理指令的目標加密單位。
SERVICE INSTANCE: 482cf2ce-a06c-4265-9819-0b4acf54f2ba CRYPTO UNIT NUM SELECTED TYPE LOCATION 1 false OPERATIONAL [us-south].[AZ3-CS3].[02].[03] 2 false OPERATIONAL [us-south].[AZ2-CS2].[02].[03] 3 false FAILOVER [us-east].[AZ2-CS2].[03].[04] 4 false FAILOVER [us-east].[AZ3-CS3].[01].[07] SERVICE INSTANCE: 96fe3f8d-9792-45bc-a9fb-2594222deaf2 CRYPTO UNIT NUM SELECTED TYPE LOCATION 5 false OPERATIONAL [us-south].[AZ1-CS4].[00].[03] 6 false OPERATIONAL [us-south].[AZ2-CS5].[03].[03]
-
若要將額外加密單位新增至選取的加密單位清單,請使用下列指令:
ibmcloud tke cryptounit-add
即會顯示現行使用者帳戶下目標資源群組中的加密單位清單。 收到提示時,請輸入要新增至所選取加密單位清單的加密單位編號清單。
如果您使用 失效接手加密單位 來啟用跨區域高可用性,請確保將所有失效接手加密單位新增至選取的清單,以進行實例起始設定。
如果您未起始設定及配置與作業加密單位相同的失效接手加密單位,則在發生地區災難時,無法使用失效接手加密單位進行自動資料還原。 如需跨地區災難回復的相關資訊,請參閱 高可用性及災難回復。
如果您使用公用網路,則不會列出與網路原則設為
private-only
的服務實例相關聯的加密單位。 您只能透過專用網路存取僅限專用加密單位。 如需設定僅限專用連線的相關資訊,請參閱 將 TKE 外掛程式的專用端點設為目標。 -
若要從選取的加密單位清單移除加密單位,請使用下列指令:
ibmcloud tke cryptounit-rm
即會顯示現行使用者帳戶下目標資源群組中的加密單位清單。 收到提示時,請輸入要從所選取加密單位清單移除的加密單位編號清單。
一般而言,會選取服務實例中的所有加密單位或未選取任何加密單位。 此作業會導致稍後的管理指令一致地更新服務實例的所有加密單位。 不過,如果服務實例的加密單位是以不同方式配置,您必須個別選取及使用這些加密單位,以將一致的配置還原到服務實例中的所有加密單位。
若要比較所選取加密單位的配置設定,請使用下列指令:
ibmcloud tke cryptounit-compare
載入主要金鑰
在可以載入新的主要金鑰登錄之前,請在目標加密單位中新增一個以上的管理者並結束印記模式。
若要載入新的主要金鑰登錄,請使用 IBM Cloud CLI 外掛程式完成下列作業:
步驟 1:建立一個以上的簽章金鑰
若要載入新的主要金鑰登錄,則加密單位管理者必須使用唯一的簽章金鑰來簽署指令。 第一步是在工作站上建立一個以上包含簽章金鑰的簽章金鑰檔。
基於安全考量,簽章金鑰擁有者可以與主要金鑰組件擁有者不同。 簽章金鑰擁有者必須是唯一知道與簽章金鑰檔相關聯之密碼的人員。
-
若要在工作站上顯示現有的簽章金鑰,請使用下列指令:
ibmcloud tke sigkeys
-
若要在工作站上建立並儲存新的簽章金鑰,請使用下列指令:
ibmcloud tke sigkey-add
收到提示時,請輸入管理者名稱及密碼以保護簽章金鑰檔。 您必須記住密碼。 如果遺失密碼,則無法使用簽章金鑰。
必要的話,請重複指令來建立多個簽章金鑰。
-
若要選取管理者以簽署未來指令,請使用下列指令:
ibmcloud tke sigkey-sel
即會顯示在工作站上找到的簽章金鑰清單。 出現提示時,請輸入簽章金鑰檔的金鑰號碼,以選取用於簽署未來管理指令。 當系統提示時,請輸入簽章金鑰檔的密碼。
此指令決定容許哪些簽章金鑰簽署未來指令。 您可以選取的簽章金鑰檔數目沒有限制。 如果您選取的簽章金鑰超過簽署指令所需的簽章金鑰,則會在執行指令時決定所使用的實際簽章金鑰。
您也可以使用協力廠商簽署服務來提供簽章金鑰。 如需相關資訊,請參閱 使用簽署服務來管理實例起始設定的簽章金鑰。
步驟 2:在目標加密單位中新增一個以上的管理者
-
若要顯示加密單位的現有管理者,請使用下列指令:
ibmcloud tke cryptounit-admins
-
若要新增管理者,請使用下列指令:
ibmcloud tke cryptounit-admin-add
即會顯示工作站上找到的簽章金鑰檔清單。
收到提示時,請選取與要新增之加密單位管理者相關聯的簽章金鑰檔。 然後,輸入所選取簽章金鑰檔的密碼。
必要的話,您可以重複指令來新增額外的加密單位管理者。
您新增至加密單位的管理者數目必須等於或大於您打算在 步驟 3 中設定的簽章臨界值及撤銷簽章臨界值。 例如,如果您即將將簽章臨界值或撤銷簽章臨界值設為 2,則需要將至少兩個管理者新增至加密單位。 您最多可以將八個管理者新增至一個加密單位。
請勿從工作站移除管理者簽章金鑰檔。 否則,您無法執行需要簽署的 TKE 動作,例如將加密單位及輪替主要金鑰歸零。
在印記模式中,新增加密單位管理者的指令不需要簽署。 在加密單位離開印記模式之後,加密單位的簽章臨界值會決定管理者必須簽署指令的加密單位數目。
基於安全及相符性原因,基於審核目的,加密單位的管理者名稱可能會顯示在日誌中。
步驟 3: 設定額定鑑別臨界值,以在目標加密單位中結束印記模式
印記模式中的加密單位不被視為安全。 您無法在印記模式中執行大部分管理指令,例如載入新的主要金鑰登錄。
當您新增一個以上的加密單位管理者之後,請使用下列指令來結束印記模式:
ibmcloud tke cryptounit-thrhld-set
當系統提示時,請輸入簽章臨界值及撤銷簽章臨界值的值。 簽章臨界值會控制執行大部分管理指令所需的簽章數目。 撤銷簽章臨界值會控制在您離開印記模式之後移除管理者所需的簽章數目。 部分指令只需要一個簽章,無論如何設定簽章臨界值。
簽章臨界值必須是介於 1 與 8 之間的數字。 簽章臨界值和撤銷簽章臨界值可以不同。 將簽章臨界值設為大於 1 的值,是對機密作業施行 仲裁鑑別 的方法,包括確定主要金鑰登錄、變更簽章臨界值,以及在加密單位結束印記模式之後新增或移除管理者。
結束印記模式的指令必須由與新簽章臨界值所指定的一樣多的管理者簽署。 在加密單位離開印記模式之後,必須簽署加密單位的所有指令。 在加密單位結束印記模式之後,您仍然可以使用 cryptounit-thrhld-set
指令來變更加密單位的簽章臨界值。 若要顯示現行簽章臨界值,請執行 ibmcloud tke cryptounit-thrhlds
指令。
步驟 4:建立一組要使用的主要金鑰部分
每個主要金鑰部分都儲存在工作站上受密碼保護的檔案中。
您必須至少建立兩個主要金鑰組件。 基於安全考量,最多可以使用三個主要金鑰組件,且每一個金鑰組件可以由不同的人員所擁有。 金鑰組件擁有者必須是唯一知道與金鑰組件檔相關聯之密碼的人員。
-
若要在工作站上顯示現有的主要金鑰部分,請使用下列指令:
ibmcloud tke mks
-
若要在工作站上建立並儲存隨機主要金鑰部分,請使用下列指令:
ibmcloud tke mk-add --random
收到提示時,請輸入金鑰部分的說明及用來保護金鑰部分檔案的密碼。 您必須記住密碼。 如果密碼遺失,則無法使用金鑰組件。
-
若要輸入已知的金鑰部分值,並將其儲存在工作站的檔案中,請使用下列指令:
ibmcloud tke mk-add --value
收到提示時,請針對 32 位元組金鑰部分以十六進位字串輸入金鑰部分值。 然後,輸入金鑰部分的說明及用來保護金鑰部分檔案的密碼。
步驟 5:載入新的主要金鑰登錄
若要載入主要金鑰登錄,要使用的所有主要金鑰組件檔及簽章金鑰檔都必須存在於一般工作站上。 如果是在個別的工作站上建立這些檔案,請確定檔名不同以避免衝突。 在共用工作站上載入主要金鑰登錄時,主要金鑰組件檔案擁有者及簽章金鑰檔擁有者需要輸入檔案密碼。
如需如何載入主要金鑰的相關資訊,請參閱 主要金鑰登錄 中的詳細圖解。
若要載入新的主要金鑰登錄,請使用下列指令:
ibmcloud tke cryptounit-mk-load
即會顯示工作站上找到的主要金鑰部分清單。
當系統提示時,請輸入要載入新的主要金鑰登錄中的金鑰組件、要使用的簽章金鑰檔的密碼,以及每一個所選金鑰組件檔的密碼。 對於此指令,只需要一個簽章金鑰。
步驟 6:確定新的主要金鑰登錄
確保在 步驟 5 之後立即完成此步驟,以將新的主要金鑰登錄移至 Full committed
狀態。 否則,您將無法使用 GREP11 API 或 PKCS #11 API 來起始設定服務實例或執行加密作業。
載入新的主要金鑰登錄會將新的主要金鑰登錄置於 Full uncommitted
狀態。 在您可以使用新的主要金鑰登錄來起始設定或重新加密金鑰儲存體之前,請將新的主要金鑰登錄置於已確定狀態。 如需如何載入主要金鑰的相關資訊,請參閱 主要金鑰登錄 中的詳細圖解。
若要確定新的主要金鑰登錄,請使用下列指令:
ibmcloud tke cryptounit-mk-commit
當系統提示時,輸入要使用的簽章金鑰檔的密碼。 需要一組完整的簽章,才能施行仲裁鑑別。
步驟 7:啟動主要金鑰
使用下列指令,將主要金鑰移至現行的主要金鑰登錄來啟動主要金鑰:
ibmcloud tke cryptounit-mk-setimm
會顯示一則訊息,詢問是否接受新的主要金鑰。
在採取動作之前,請考量下列各項:
- 如果這是您第一次起始設定服務實例,則可以忽略此訊息,然後鍵入
y
以繼續。 - 如果您已開始使用服務實例管理金鑰,並且要重新載入先前使用的主要金鑰,則請確保沒有任何金鑰管理動作正在進行,然後鍵入
y
以繼續。 - 如果您已開始使用服務實例管理金鑰,並且要載入新的主要金鑰,則請鍵入
N
以取消。 如需輪替主要金鑰的相關資訊,請參閱 輪替主要金鑰。
當系統提示時,輸入要使用的簽章金鑰檔的密碼。 對於此指令,只需要一個簽章金鑰,因為在步驟 6 中已提供該金鑰。 主要金鑰可以變成作用中的管理者簽章。
下一步
-
如需 TKE CLI 外掛程式指令其他選項的詳細資料,請在 CLI 中執行下列指令:
ibmcloud tke help
-
移至實例儀表板的 KMS 金鑰 標籤,以 管理根金鑰及標準金鑰。 若要進一步瞭解如何以程式設計方式管理金鑰,請參閱 Hyper Protect Crypto Services 金鑰管理服務 API 參考資料文件。
-
若要進一步瞭解如何使用雲端 HSM 執行加密作業,請參閱 雲端 HSM 簡介。
-
使用 Hyper Protect Crypto Services 作為其他 IBM Cloud 服務的根金鑰提供者。 如需整合 Hyper Protect Crypto Services 的相關資訊,請參閱整合服務。
-
如需如何替換主要金鑰的相關資訊,請參閱 使用金鑰組件檔案替換主要金鑰。