IBM Cloud Docs
Informationen zum Löschen und Löschen von Schlüsseln

Informationen zum Löschen und Löschen von Schlüsseln

Sie können IBM® Key Protect for IBM Cloud® zum Löschen eines Verschlüsselungsschlüssels und seines Schlüsselmaterials verwenden, wenn Sie ein Manager für Ihre Key Protect -Instanz sind.

Bevor Sie eine Instanz löschen können, müssen Sie jeden Schlüssel in dieser Instanz löschen. Wenn Sie Ihr Konto jedoch schließen, werden alle vorhandenen Instanzen und Schlüssel automatisch dauerhaft gelöscht. Weitere Informationen finden Sie unter Kontostornierung und Datenlöschung.

Falls ein Schlüssel nicht mehr benötigt wird oder entfernt werden soll, Key Protect ermöglicht es Ihnen, Schlüssel zu löschen und schließlich zu löschen, eine Aktion, die das Schlüsselmaterial zerlegt und alle Daten, die mit ihm verschlüsselt wurden, nicht zugänglich macht.

Wenn Sie einen Schlüssel löschen, wird er in einen Gelöscht-Status versetzt, eine "vorläufige" Löschung, in der der Schlüssel noch 30 Tage lang angezeigt und wiederhergestellt werden kann. Nach 90 Tagen wird der Schlüssel automatisch gelöscht, und die zugehörigen Daten werden dauerhaft geschreddert und aus dem Key ProtectService entfernt. Wenn es wünschenswert ist, dass ein Schlüssel früher als 90 Tage gelöscht wird, ist es auch möglich, einen Schlüssel vier Stunden, nachdem er in den Status Gelöscht versetzt wurde, permanent zu löschen.

Nach dem Löschen eines Schlüssels sind alle Daten, die mit diesem Schlüssel verschlüsselt wurden, unzugänglich. Dies kann jedoch rückgängig gemacht werden, wenn der Schlüssel innerhalb der 30-Tage-Frist wiederhergestellt wird. Nach 30 Tagen sind die Metadaten, Registrierungen und Richtlinien des Schlüssels noch bis zu 90 Tage lang verfügbar, bevor der Schlüssel gelöscht werden kann. Sobald ein Schlüssel nicht mehr wiederherstellbar ist und gelöscht wurde, kann auf die zugehörigen Daten nicht mehr zugegriffen werden. Daher wird die Löschung von Ressourcen in Produktionsumgebungen nicht empfohlen, es sei denn, sie ist unbedingt erforderlich.

In der folgenden Tabelle sind die Zeitrahmen aufgelistet, in denen Sie einen Schlüssel anzeigen, wiederherstellen und löschen können, nachdem er gelöscht wurde.

Listet auf, wie Benutzer während bestimmter Zeitintervalle mit Schlüsseln interagieren können, nachdem ein Schlüssel gelöscht wurde
Zeit ab Löschung des Schlüssels Name des Schlüsselstatus Kann man Schlüsseldaten einsehen/abrufen? Können sie wiederhergestellt werden? Kann der Benutzer die Bereinigung einleiten?
Eine Sekunde-Vier Stunden Gelöscht Ja Ja Nein
4 Stunden - 30 Tage Gelöscht Ja Ja Ja
30-90 Tage Gelöscht Ja Nein Ja
Nach 90 Tagen Bereinigt* Nein Nein Ja

* Hinweis: Da die bereinigte Schlüssel in der allgemeinen Verwendung des Wortes vollständig unzugänglich und "gelöscht" sind, gibt es technisch keinen "bereinigten" Zustand. Bereinigte Schlüssel existieren nicht mehr und haben daher so oder so keinen "Status". Es kann jedoch sinnvoll sein, "bereinigt" als einen Zustand zu betrachten, da das Nichtvorhandensein Teil des Lebenszyklus eines Schlüssels ist.

Sobald ein Schlüssel bereinigt wurde, führen alle API-Aufrufe, die die Schlüssel-ID eines bereinigten Schlüssels verwenden, zu einem 404 HTTP Not Found-Fehler. Wenn Sie Daten im Zusammenhang mit einem bereinigten Schlüssel (Schlüssel-Metadaten, Registrierungen, Richtlinien usw.) über einen längeren Zeitraum aufbewahren müssen, empfiehlt es sich, die erforderlichen API- oder CLI-Aufrufe durchzuführen, um diese Daten abzurufen und auf Ihrem eigenen Speichergerät zu speichern.

Überlegungen vor dem Löschen und Bereinigen eines Schlüssels

Key Protect blockiert den Löschvorgang eines Schlüssels, der aktiv alle registrierten Cloudressourcen schützt. Vor dem Löschen eines Schlüssels:

  1. Überprüfen Sie die registrierten IBM Cloud Ressourcen, die mit dem Schlüssel verbunden sind. Falls erforderlich, können Sie Löschen auf einem Schlüssel erzwingen , der eine registrierte Cloudressource schützt. Die Aktion wird jedoch nicht erfolgreich ausgeführt, wenn die zugehörige Ressource des Schlüssels aufgrund einer Aufbewahrungsrichtlinie, bei der es sich um einen WORM-Richtliniensatz (WORM = Write Once Read Many) handelt, der auf der relevanten Cloudressource des Kunden festgelegt ist, nicht löschbar ist.
  2. Überprüfen Sie, ob ein Schlüssel über eine Aufbewahrungsrichtlinie verfügt, indem Sie das Feld preventKeyDeletion der Registrierungsdetails für den Schlüssel überprüfen. Anschließend müssen Sie sich an den IBM Cloud Support wenden, um die Aufbewahrungsrichtlinie für jede mit dem Schlüssel verknüpfte Ressource zu entfernen, bevor Sie den Schlüssel löschen können.
  3. Überprüfen Sie die Löschberechtigungsrichtlinie des Schlüssels. Standardmäßig erfordern Schlüssel in Key Protect nur eine einzige Löschberechtigung durch einen Benutzer mit der Rolle Manager. Wenn jedoch eine doppelte Berechtigungsrichtlinie festgelegt wurde, müssen zwei Benutzer mit der Rolle Manager den Löschvorgang genehmigen.

Key Protect beschränkt die Möglichkeit zum Löschen von Schlüsseln nach nur vier Stunden auf Benutzer mit der KeyPurge-Rolle, die speziell für einen Benutzer festgelegt werden muss, da sie nicht standardmäßig aktiviert ist, auch nicht für den Instanzeigner. Diese Fähigkeit ist eingeschränkt, weil gelöschte Schlüssel nicht wiederhergestellt werden können. Gibt es Zweifel, ob ein Schlüssel vier Stunden nach dem Löschen gelöscht werden soll, löschen Sie ihn nicht.

API-Beispiel

Beachten Sie die Voraussetzungen und Konfigurationseinstellungen, die der API-Referenzzugeordnet sind, bevor Sie dieses Beispiel verwenden.

curl -X DELETE
    https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/purge
    -H 'accept: application/vnd.ibm.kms.key+json'
    -H 'authorization: Bearer <IAM_token>'
    -H 'bluemix-instance: <instance_ID>'

Ersetzen Sie die Variablen in der Beispielanforderung entsprechend der folgenden Tabelle.

Beschreibt die Variablen, die benötigt werden, um einen Schlüssel mit der Key Protect API zu bereinigen.
Variable Beschreibung
Bereich Erforderlich. Die Abkürzung der Region, z. B. us-south oder eu-gb, die den geografischen Bereich bezeichnet, in dem sich Ihre Key Protect-Instanz befindet. Weitere Informationen finden Sie in Regionale Serviceendpunkte.
keyID_or_alias Erforderlich. Die eindeutige ID oder der Aliasname für den Schlüssel, den Sie bereinigen wollen.
IAM_token Erforderlich. Ihr IBM Cloud-Zugriffstoken. Fügen Sie den vollständigen Inhalt des IAM-Tokens, einschließlich des Träger-Wertes, in die Curl-Anforderung ein. Weitere Informationen finden Sie unter Zugriffstoken abrufen.
instance_id Erforderlich. Die eindeutige ID, die Ihrer Key Protect-Serviceinstanz zugewiesen ist. Weitere Informationen finden Sie unter Instanz-ID abrufen.

Eine ausführliche Beschreibung der Anfrage finden Sie in der Key Protect REST API reference doc.

Nächste Schritte

Informationen zur Vorgehensweise beim Löschen und Bereinigen eines Schlüssels mithilfe der Benutzerschnittstelle entnehmen Sie Schlüssel mit einer einzelnen Autorisierung löschen. Informationen zur Vorgehensweise bei der Verwendung der API erhalten Sie, wenn Sie auf die Registerkarte API am Anfang des Abschnitts klicken.

Informationen zur Vorgehensweise beim Löschen und Bereinigen eines Schlüssels, der eine Löschrichtlinie mit doppelter Autorisierung enthält, über die Benutzerschnittstelle finden Sie unter Schlüssel mit doppelter Autorisierung löschen. Informationen zur Vorgehensweise bei der Verwendung der API erhalten Sie, wenn Sie auf die Registerkarte API am Anfang des Abschnitts klicken.