FAQ für Key Protect
Die folgenden FAQ helfen Ihnen bei der Suche nach IBM® Key Protect.
Wie ist die Preisstruktur für Key Protect?
Key Protect hat ein wertbasiertes Preismodell, das die Gesamtzahl der Schlüsselversionen in Ihrem Konto zählt, unabhängig davon, ob Schlüssel erstellt oder importiert werden, Root oder Standard. In diesem Plan sind die ersten fünf Schlüsselversionen kostenlos, danach beträgt der Preis $1 pro Schlüsselversion pro Monat. Nur nicht gelöschte Schlüssel, einschließlich aller aktiven und inaktivierten Schlüssel, werden zu Preisgestaltungszwecken gezählt. Dieses Preismodell deckt den Wert ab, den Key Protect durch die Verwaltung aller Versionen des Schlüssels bereitstellt, sodass sie zum Entschlüsseln älterer verschlüsselter Texte verwendet werden können.
Wie werden die Informationen eines Benutzers von den Daten anderer Benutzer partitioniert?
Key Protect ermöglicht Ihnen, eine oder mehrere Instanzen zu haben, die nur für Sie zugänglich sind. Der Zugriff innerhalb dieser Instanzen (oder auf Kontoebene) kann vom Kontoeigner oder einem designierten Administrator dieses Kontos gesteuert werden, was die Anwendung des Prinzips der geringsten Berechtigung ermöglicht. Eine Möglichkeit ist die Gruppierung von Schlüsseln in "Schlüsselringen", die es einem Kontoeigner ermöglicht, einer bestimmten Gruppe von Benutzern Zugriff auf eine bestimmte Gruppe von Schlüsseln zuzuweisen. Weitere Informationen finden Sie unter Gruppieren von Schlüsseln mithilfe von Schlüsselringen.
Wie werden Instanzschlüssel gesichert?
Jede Key Protect -Instanz erhält einen zufällig generierten "instance key-encrypted-key" (IKEK), der vom HSM-Masterschlüssel eingeschlossen wird, wodurch ein eingeschlossener Instanzschlüssel (WIKEK) erstellt wird. Kein Benutzer hat Zugriff auf WIKEK oder IKEK und auch IBM hat keinen Zugriff auf IKEK. Es gibt keinen direkten oder expliziten Zugriff auf WIKEK durch IBMund es wird durch den Masterschlüssel verschlüsselt.
Was ist ein aktiver Verschlüsselungsschlüssel?
Wenn Sie Verschlüsselungsschlüssel in Key Protect importieren oder Key Protect zum Generieren von Schlüsseln aus den zugehörigen HSMs verwenden, werden diese Schlüssel zu Aktiv-Schlüsseln. Die Preisstruktur basiert auf allen aktiven Schlüsseln innerhalb eines IBM Cloud-Kontos.
Wie sollte ich meine Schlüssel gruppieren und verwalten?
Sie können IBM® Key Protect for IBM Cloud® verwenden, um eine Gruppe von Schlüsseln für eine Zielgruppe von Benutzern zu erstellen, die dieselben IAM-Zugriffsberechtigungen benötigen, indem Sie Ihre Schlüssel in Ihrer Key Protect-Serviceinstanz in Gruppen zusammenfassen, die als "Schlüsselringe" bezeichnet werden. Ein Schlüsselring ist eine Sammlung von Schlüsseln innerhalb Ihrer Serviceinstanz, die alle dieselben IAM-Zugriffsberechtigungen erfordern. Wenn Sie beispielsweise eine Gruppe von Teammitgliedern haben, die eine bestimmte Art von Zugriff auf eine bestimmte Gruppe von Schlüsseln benötigen, können Sie einen Schlüsselring für diese Schlüssel erstellen und der Zielbenutzergruppe die entsprechende IAM-Zugriffsrichtlinie zuweisen. Die Benutzer, denen der Zugriff auf den Schlüsselring zugewiesen wurde, können die im Schlüsselring vorhandenen Ressourcen erstellen und verwalten.
Weitere Informationen zur Gruppierung von Schlüsseln finden Sie unter Gruppierung von Schlüsseln mithilfe von Schlüsselringen.
Beim Versuch, eine Instanz zu löschen, wird der Fehler 409 angezeigt. Wie kann ich meine Instanz löschen?
Dieser Fehler gibt an, dass sich Schlüssel noch in dieser Instanz befinden. Bevor Sie eine Instanz löschen können, müssen Sie jeden Schlüssel in dieser Instanz löschen.
Da die Tabelle Schlüssel in der Konsole standardmäßig nur Enabled-Schlüssel anzeigt, verwenden Sie die Filter, um Schlüssel in allen Status anzuzeigen. Dies kann Schlüssel sichtbar machen, die gelöscht werden müssen,
um die Instanz zu löschen, die nicht in der Tabelle angezeigt wird.
Nachdem alle Schlüssel gelöscht wurden, können Sie mit dem Löschen der Instanz fortfahren.
Was ist ein Rootschlüssel?
Rootschlüssel sind primäre Ressourcen in Key Protect. Es sind symmetrische Key-Wrapping-Schlüssel, die als vertrauenswürdige Roots für den Schutz von anderen Schlüsseln verwendet werden, welche in einem Datenservice mit Envelope-Verschlüsselung gespeichert wurden.
Sie können mit Key Protect den Lebenszyklus von Rootschlüsseln erstellen, speichern und verwalten, um den uneingeschränkten Zugriff auf andere in der Cloud gespeicherten Schlüssel zu erhalten.
Nachdem ein Rootschlüssel erstellt wurde, können weder Benutzer noch IBM seine Schlüsselinformationen anzeigen.
Was ist ein Datenverschlüsselungsschlüssel (DEK)?
Ein DEK ist ein Schlüssel, der von Services wie dem IBM Cloud Object Storage-Service verwendet wird, um eine IBMverwaltete AES256 Verschlüsselung der im Cloudobjektspeicher gespeicherten Daten durchzuführen. Die DEK-Schlüssel werden nach dem Zufallsprinzip generiert und sicher mit dem Cloudobjektspeicherservice in der Nähe der Ressourcen gespeichert, die sie verschlüsseln. Der DEK wird in allen Fällen für die Standardverschlüsselung verwendet, unabhängig davon, ob der Kunde die Chiffrierschlüssel verwalten möchte oder nicht. Der ICOS-DEK wird weder von Clients verwaltet noch muss er rotiert werden. In Fällen, in denen Kunden die Verschlüsselung verwalten möchten, steuern sie indirekt den DEK, indem sie den DEK mit ihrem eigenen "Rootschlüssel" einschließen, der in ihrer Key Protect -Instanz gespeichert ist. Ein Rootschlüssel kann generiert oder importiert werden und von Ihnen verwaltet werden in Ihrer Key Protect Instanz (z. B. durch rotierende Schlüssel).
Key Protect kann DEKs (d. h. Schlüssel ohne Übergabe von Klartext) über das zugehörige HSM generieren.
Was ist eine Envelope-Verschlüsselung?
Die Envelope-Verschlüsselung ist das Verfahren zum Verschlüsseln von Daten mit einem Datenverschlüsselungsschlüssel und zum anschließenden Verschlüsseln des Datenverschlüsselungsschlüssels mit einem hochsicheren Key-Wrapping-Schlüssel. Ihre ruhenden Daten werden durch Anwendung mehrerer Verschlüsselungsebenen geschützt. Weitere Informationen zur Envelope-Verschlüsselung entnehmen Sie Daten mit Envelope-Verschlüsselung schützen.
Wie lang darf ein Schlüsselname sein?
Es kann ein Schlüsselname mit einer Länge von maximal 90 Zeichen verwendet werden.
Kann ich personenbezogene Daten als Metadaten für meine Schlüssel speichern?
Zum Schutz der Vertraulichkeit Ihrer personenbezogenen Daten speichern Sie keine persönlichen Daten (personally identifiable information, PII) als Metadaten für Ihre Schlüssel. Zu den personenbezogenen Daten gehören Ihr Name, Ihre Adresse, Telefonnummer, E-Mail-Adresse und andere Informationen, anhand derer Sie, Ihre Kunden oder andere Personen identifiziert, kontaktiert oder lokalisiert werden könnten.
Es liegt in Ihrer Verantwortung, die Sicherheit aller Informationen sicherzustellen, die Sie als Metadaten für Key Protect-Ressourcen und -Verschlüsselungsschlüssel speichern.
Weitere Beispiele für personenbezogene Daten sind in Abschnitt 2.2 der NIST Special Publication 800-122 zu finden.
Können Verschlüsselungsschlüssel, die in einer Region erstellt wurden, in einer anderen Region verwendet werden?
Ihre Verschlüsselungsschlüssel können verwendet werden, um Datenspeicher zu verschlüsseln, die sich an einer beliebigen Position in IBM Cloudbefinden.
Wie kann ich steuern, wer Zugriff auf die Schlüssel hat?
Key Protect unterstützt ein zentrales Zugriffssteuerungssystem, das von IBM Cloud® Identity and Access Managementreguliert wird, um Sie bei der Verwaltung von Benutzern und dem Zugriff auf Ihre Chiffrierschlüssel zu unterstützen und das Prinzip der geringsten Berechtigung zu ermöglichen. Wenn Sie ein Sicherheitsadministrator für Ihren Service sind, können Sie IBM Cloud IAM-Rollen, die den spezifischen Key Protect -Berechtigungen entsprechen zuweisen, das Sie Mitgliedern Ihres Teams erteilen möchten.
Eine Möglichkeit ist die Gruppierung von Schlüsseln in "Schlüsselringen", die es einem Kontoeigner ermöglicht, einer bestimmten Gruppe von Benutzern Zugriff auf eine bestimmte Gruppe von Schlüsseln zuzuweisen. Weitere Informationen finden Sie unter Gruppieren von Schlüsseln mithilfe von Schlüsselringen.
Was sind die Unterschiede zwischen den Rollen 'Leseberechtigter' und 'Leseberechtigter (erweitert)'?
Sowohl die Rolle 'Leseberechtigter' als auch die Rolle 'Leseberechtigter (erweitert)' erleichtert Ihnen das Zuordnen von Lesezugriff auf Key Protect-Ressourcen.
- Als Leseberechtigter können Sie die übergeordnete Ansicht von Schlüsseln durchsuchen und Aktionen zum Durchführen und Aufheben eines Wrappings durchführen. Leseberechtigte können nicht auf Schlüsselinformationen zugreifen und nicht bearbeiten.
- Als Leseberechtigter (erweitert) können Sie die übergeordnete Ansicht von Schlüsseln durchsuchen, auf Schlüsselinformationen für Standardschlüssel zugreifen und Aktionen zum Durchführen und Aufheben eines Wrappings ausführen. Mit der Rolle 'Leseberechtigter (erweitert)' können keine Schlüsselinformationen geändert werden.
Wie kann ich API-Aufrufe an Key Protect überwachen?
Mit dem IBM Cloud Logs-Service können Sie verfolgen, wie Benutzer und Anwendungen mit Ihrer Key Protect-Instanz interagieren. Beispiel: Wenn Sie einen Schlüssel in Key Protect erstellen, importieren, löschen oder lesen, wird ein IBM Cloud Logs-Ereignis generiert. Diese Ereignisse werden automatisch an den IBM Cloud Logs-Service in derselben Region weitergeleitet, in der auch der Key Protect-Service bereitgestellt wird.
Weitere Informationen finden Sie unter IBM Cloud Logs.
Wie kann ich überprüfen, welche Daten mit welchem Rootschlüssel verschlüsselt werden?
Wenn Sie einen Rootschlüssel zum Schutz bei Ruhedaten mit Hüllkurvenverschlüsselung verwenden, können die Cloud-Services, die den Schlüssel verwenden, eine Registrierung zwischen dem Schlüssel und der Ressource erstellen, die er schützt. Registrierungen sind Zuordnungen zwischen Schlüsseln und Cloudressourcen, die dabei helfen, eine vollständige Ansicht darüber zu erhalten, welche Schlüssel welche Daten in IBM Cloud schützen.
Sie können die Registrierungen durchsuchen, die für Ihre Schlüssel und Cloud-Ressourcen verfügbar sind; verwenden Sie hierzu die Key Protect-APIs.
Was passiert, wenn ich einen Schlüssel lösche?
Falls ein Schlüssel nicht mehr benötigt wird oder entfernt werden soll, Key Protect ermöglicht es Ihnen, Schlüssel zu löschen und schließlich zu löschen, eine Aktion, die das Schlüsselmaterial zerlegt und alle Daten, die mit ihm verschlüsselt wurden, nicht zugänglich macht.
Wenn Sie einen Schlüssel löschen, wird er in einen Gelöscht-Status versetzt, eine "vorläufige" Löschung, in der der Schlüssel noch 30 Tage lang angezeigt und wiederhergestellt werden kann. Nach 90 Tagen wird der Schlüssel automatisch gelöscht, und die zugehörigen Daten werden dauerhaft geschreddert und aus dem Key ProtectService entfernt. Wenn es wünschenswert ist, dass ein Schlüssel früher als 90 Tage gelöscht wird, ist es auch möglich, einen Schlüssel vier Stunden, nachdem er in den Status Gelöscht versetzt wurde, permanent zu löschen.
Nach dem Löschen eines Schlüssels sind alle Daten, die mit diesem Schlüssel verschlüsselt wurden, unzugänglich. Dies kann jedoch rückgängig gemacht werden, wenn der Schlüssel innerhalb der 30-Tage-Frist wiederhergestellt wird. Nach 30 Tagen sind die Metadaten, Registrierungen und Richtlinien des Schlüssels noch bis zu 90 Tage lang verfügbar, bevor der Schlüssel gelöscht werden kann. Sobald ein Schlüssel nicht mehr wiederherstellbar ist und gelöscht wurde, kann auf die zugehörigen Daten nicht mehr zugegriffen werden. Daher wird die Löschung von Ressourcen in Produktionsumgebungen nicht empfohlen, es sei denn, sie ist unbedingt erforderlich.
Was geschieht, wenn ich versuche, einen Schlüssel zu löschen, von dem Daten aktiv verschlüsselt werden?
Von Key Protect wird zu Ihrem Schutz verhindert, dass ein Schlüssel gelöscht wird, von dem aktiv Daten in der Cloud geschützt werden. Wenn Sie versuchen, einen Schlüssel zu löschen, der in einer Cloudressource registriert ist, ist diese Aktion nicht erfolgreich.
Falls dies erforderlich ist, können Sie die Löschung eines Schlüssels erzwingen und hierzu die Key Protect-APIs verwenden. Überprüfen Sie, welche Ressourcen vom Schlüssel verschlüsselt werden und stellen Sie mit dem Eigner der Ressourcen sicher, dass Sie keinen Zugriff mehr auf diese Daten benötigen.
Wenn Sie einen Schlüssel nicht löschen können, weil eine Aufbewahrungsrichtlinie für die zugehörige Ressource vorhanden ist, wenden Sie sich an den Kontoeigner, um die Aufbewahrungsrichtlinie für diese Ressource zu entfernen.
Was geschieht, wenn ich einen Schlüssel inaktiviere?
Wenn Sie einen Schlüssel inaktivieren, wechselt der Schlüssel in den Status Ausgesetzt. Schlüssel mit diesem Status stehen nicht mehr für Ver- und Entschlüsselungsoperationen zur Verfügung und die diesen Schlüsseln zugeordneten Daten sind nicht mehr zugänglich.
Die Inaktivierung eines Schlüssels kann rückgängig gemacht werden. Sie können jederzeit einen inaktivierten Schlüssel aktivieren und damit den Zugriff auf die Daten wiederherstellen, die zuvor mit diesem Schlüssel verschlüsselt wurden.
Was ist eine Richtlinie für doppelte Autorisierung?
Die doppelte Autorisierung ist ein zweistufiger Prozess, für den eine Aktion von zwei Genehmigern zum Löschen eines Schlüssels erforderlich ist. Da für das Löschen eines Schlüssels die Verwendung von zwei Autorisierungen erzwungen wird, wird das Risiko unbeabsichtigter Löschungen oder böswilliger Aktionen minimiert.
Mit Key Protect können Sie auf Instanzebene oder für einzelne Schlüssel Richtlinien der doppelten Autorisierung erzwingen.
Was geschieht, nachdem ich eine doppelte Autorisierung aktiviert habe?
Nachdem Sie eine Richtlinie für doppelte Autorisierung für eine Key Protect-Instanz aktiviert haben, wird die Richtlinie für alle Schlüssel übernommen, die Sie zu der Instanz hinzufügen. Richtlinien der doppelten Autorisierung für Schlüssel können nicht zurückgesetzt werden.
Wenn in einer Key Protect-Instanz bereits Schlüssel vorhanden sind, können diese Schlüssel weiterhin mit einfacher Autorisierung gelöscht werden. Wenn Sie diese Schlüssel für doppelte Autorisierung aktivieren möchten, können Sie die Key Protect-APIs verwenden, um doppelte Autorisierungsrichtlinien für diese einzelnen Schlüssel festzulegen.
Kann ich die Einstellungen für doppelte Autorisierung für meine Key Protect-Instanz inaktivieren?
Ja. Wenn Sie einen Schlüssel, für den keine doppelte Autorisierung erforderlich ist, zu Ihrer Key Protect-Instanz hinzufügen möchten, können Sie jederzeit die doppelte Autorisierung für die Key Protect-Instanz inaktivieren, sodass sie für neue bzw. zukünftige Schlüssel nicht benötigt wird.
Was passiert, wenn ich meine Key ProtectInstanz löschen oder deprovisionieren muss?
Wenn Sie sich für eine Verschiebung von Key Protectentscheiden, müssen Sie alle verbleibenden Schlüssel aus Ihrer Key Protect -Instanz löschen, bevor Sie den Service löschen oder zurückstellen können. Nachdem Sie Ihre Key Protect-Instanz gelöscht haben, verwendet Key Protect Envelope-Verschlüsselung, um alle Daten zu verschlüsseln, die der Key Protect-Instanz zugeordnet sind.