IBM Cloud Docs
監視加密金鑰的生命週期-標準方案

監視加密金鑰的生命週期-標準方案

IBM Cloud® Hyper Protect Crypto Services 遵循 NIST SP 800-57 for key states的安全準則。

金鑰狀態及轉移

加密金鑰可在其生命期限的數個狀態間轉移,而這些狀態是涉及金鑰存在多久以及資料是否受到保護的體現。

Hyper Protect Crypto Services 提供了圖形使用者介面及 REST API,可用來追蹤在其生命週期的數個狀態間移動的金鑰。 下圖顯示金鑰如何在產生與毀損之間通過狀態。

加密金鑰狀態和轉移
圖 1. 金鑰狀態及轉移

表 1. 說明主要狀態和轉移。
狀態 整數對映 說明
啟動前 0 一開始會以「前置作用中」狀態建立金鑰。 啟動前金鑰無法用來加密保護資料。
作用中 1 金鑰會在啟動日立即進入「作用中」狀態。 此項轉移會標示金鑰的 cryptoperid 開頭。 沒有啟動日的金鑰,會立即變為作用中,並維持作用中一直到它們到期或被破壞為止。
已暫停 2 當金鑰 已停用加密和解密作業 時,會進入「已暫停」狀態。 在此狀態中,金鑰無法以加密方式保護資料,且只能移至「作用中」或「已毀損」狀態。
已停用 3 如果已指派金鑰,則金鑰會在到期日進入「已停用」狀態。 在此狀態中,金鑰無法以加密方式保護資料,且只能移至「已毀損」狀態。
已破壞 5 已刪除的金鑰處於「已毀損」狀態。 在這個狀態下無法回復金鑰。 與金鑰相關聯的 meta 資料(例如金鑰轉移歷程及名稱)保存在 Hyper Protect Crypto Services 資料庫中。

主要狀態和服務動作

金鑰狀態會影響對金鑰執行的動作是成功還是失敗。 例如,如果金鑰處於「作用中」狀態,則無法還原金鑰,因為先前未刪除金鑰。

下表顯示 Hyper Protect Crypto Services 如何根據金鑰狀態來處理服務動作。 直欄標頭代表索引鍵狀態,列標頭代表您可以對索引鍵執行的動作。 勾號 圖示 勾號圖示 指出根據索引鍵狀態,索引鍵上的動作預期會成功。

表 2. 說明主要狀態如何影響服務動作。
動作 啟動前 作用中 已暫停 已停用 已破壞
拿鑰匙 勾號圖示 勾號圖示 勾號圖示 勾號圖示 勾號圖示
列出金鑰。 勾號圖示 勾號圖示 勾號圖示 勾號圖示
輪替金鑰。 勾號圖示
包裝金鑰。 勾號圖示
解除包裝金鑰。 勾號圖示 勾號圖示
重新包裝金鑰。 勾號圖示 勾號圖示
停用金鑰。 勾號圖示
啟用金鑰。 勾號圖示
刪除金鑰。 勾號圖示 勾號圖示 勾號圖示
還原金鑰。 勾號圖示

監視生命週期變更

將根金鑰新增至服務之後,請使用使用者介面或 Hyper Protect Crypto Services 金鑰管理 REST API 來檢視金鑰的轉移歷程及配置。

基於審核目的,您也可以透過將 Hyper Protect Crypto Services 與 IBM Cloud Activity Tracker整合,來監視根金鑰的活動追蹤。 在供應並執行這兩個服務之後,當您對 Hyper Protect Crypto Services中的金鑰執行動作時,會在 IBM Cloud Activity Tracker 日誌中產生並自動收集活動事件。