IBM Cloud Docs
Rotationsrichtlinie festlegen

Rotationsrichtlinie festlegen

Sie können eine automatische Rotationsrichtlinie für einen Rootschlüssel festlegen, indem Sie entweder eine Instanzrichtlinie für Ihre IBM® Key Protect for IBM Cloud®-Instanz festlegen oder, wenn Sie die richtige Rolle haben, die Richtlinie bei der Schlüsselerstellung festlegen.

Denken Sie daran, dass Rootschlüssel rotieren das regelmäßige Rotieren von Rootschlüsseln die Verschlüsselungs-ID eines Schlüssels verkürzt und daher als allgemeine Sicherheitsrichtlinie sowie in bestimmten Fällen wie Personalfluktuation, Prozessstörungen oder Erkennung eines Sicherheitsproblems verwendet werden kann.

Wenn Sie nicht über die Manager-Berechtigungsstufe verfügen, die zum Festlegen einer Rotationsrichtlinie erforderlich ist, können Sie Ihre Schlüssel jederzeit manuell rotieren, solange Sie mindestens über die Writer-Berechtigungsstufe verfügen. Weitere Informationen zu diesem Prozess finden Sie unter Manuelle Schlüsselrotation. Weitere Informationen zum Manager, zum Schreibberechtigter und zu anderen Rollen für den Zugriff auf Ressourcen wie Schlüssel, Instanzen und Konten finden Sie unter Benutzerrollen und Ressourcen verstehen.

Es gibt verschiedene Möglichkeiten, eine Rotationsrichtlinie festzulegen:

Eine Rotationsrichtlinie kann nur für Rootschlüssel festgelegt werden, die in Key Protect generiert wurden. Wenn Sie den Rootschlüssel zu Anfang importiert haben, müssen Sie neue Schlüsselinformationen in Base64-Codierung bereitstellen, um den Schlüssel zu wechseln. Weitere Informationen finden Sie unter Manuelle Schlüsselrotation.

Rotationsrichtlinie für Ihre Instanz festlegen

Wenn eine Rotationsrichtlinie für Ihre Instanz festgelegt ist, enthält jeder Rootschlüssel, der in dieser Instanz erstellt wird, diese Richtlinie (sofern sie nicht bei der Schlüsselerstellung überschrieben wird). Dies ist besonders nützlich in Fällen, in denen Benutzer mit der Rolle Writer (die standardmäßig keine Rotationsrichtlinie zuweisen können) die meisten Schlüssel in einer Instanz erstellen, es jedoch wünschenswert ist, dass Rootschlüssel eine Rotationsrichtlinie verwenden. Instanzrichtlinien ermöglichen einem Benutzer mit der Rolle Manager, eine Richtlinie festzulegen, die dann auf alle von Writers oder anderen Managers erstellten Schlüssel angewendet wird, es sei denn, diese Managers überschreiben die Richtlinie.

Rotationsrichtlinie in Ihrer Instanz über die Konsole festlegen oder bearbeiten

Navigieren Sie zum Festlegen einer Instanzrichtlinie zur Seite Instanzrichtlinien in der linken Navigation und suchen Sie die Karte Richtlinie für Schlüsselrotation. Wenn keine Richtlinie festgelegt wurde, sollte die Schaltfläche Inaktiviert lauten. So legen Sie eine Richtlinie fest:

  1. Klicken Sie auf die Schaltfläche, um die Richtlinie zu aktivieren.
  2. Legen Sie anschließend ein Rotationsintervall fest. Beachten Sie, dass Sie eine automatische Rotationsrichtlinie nur in Intervallen von 30 Tagen (oder einem Monat) definieren können. Wenn Sie beispielsweise drei Monate festlegen, wird der Schlüssel alle 90 Tage rotiert. Wenn für diese Instanz bereits eine Rotationsrichtlinie aktiviert wurde, bearbeiten Sie einfach den Wert auf die gewünschte Anzahl von Monaten.
  3. Klicken Sie auf Speichern.

Ihre Schlüsselrichtlinie ist jetzt festgelegt. Wenn keine andere Aktion ausgeführt wird, wird für jeden in Key Protect erstellten Rootschlüssel diese Richtlinie ausgegeben.

Wenn Sie nur die Richtlinie für einen einzelnen Schlüssel bearbeiten müssen und Sie ein Manager sind, ist die beste Richtlinie, die Rotationsrichtlinie des Schlüssels bei der Schlüsselerstellung zu ändern.

Rotationsrichtlinie bei Schlüsselerstellung festlegen

Wenn Sie ein Manager sind (oder über eine entsprechende Berechtigungsstufe verfügen), ist es auch möglich, die Rotationsrichtlinie für einen Schlüssel während der Erstellung eines Schlüssels festzulegen. Beachten Sie, dass es möglich ist, eine Richtlinie zur Schlüsselerstellungszeit festzulegen, unabhängig davon, ob eine Rotationsrichtlinie auf Instanzebene vorhanden ist oder nicht.

Rotationsrichtlinie bei Schlüsselerstellung über die Konsole festlegen

Wie in Rootschlüssel in der Konsole erstellen dargestellt, navigieren Sie zum Erstellen eines Schlüssels zur Seite Schlüssel in Ihrer Instanz und klicken Sie auf Hinzufügen, um die Seitenanzeige für die Schlüsselerstellung zu öffnen. Öffnen Sie anschließend die Registerkarte Erweiterte Optionen, um die Optionen Schlüsselalias, Schlüsselring und Rotationsrichtlinie anzuzeigen.

Wenn die Option Rotationsrichtlinie nicht angezeigt wird, überprüfen Sie Ihre Berechtigungsstufe, um sicherzustellen, dass Sie ein Manager sind.

Wenn eine Rotationsrichtlinie auf Instanzebene vorhanden ist, wird die Schaltfläche Aktiviert für die Rotationsrichtlinie angezeigt. Das für die Instanz aktivierte Rotationsintervall (in Monaten) ist sichtbar. Wenn dieses Rotationsintervall für diesen Schlüssel geeignet ist, müssen Sie nur auf Erstellen klicken, um den Schlüssel zu erstellen. Wenn Sie das Rotationsintervall ändern möchten, klicken Sie auf Bearbeiten und legen Sie das gewünschte Intervall fest. Klicken Sie anschließend auf Speichern. Anschließend können Sie auf Erstellen klicken, um den Schlüssel zu erstellen.

Rotationsrichtlinie festlegen, nachdem der Schlüssel erstellt wurde

  1. Melden Sie sich an der IBM Cloud-Konsole an.

  2. Rufen Sie Menü > Ressourcenliste auf, um eine Liste Ihrer Ressourcen anzuzeigen.

  3. Wählen Sie in der IBM Cloud-Ressourcenliste die bereitgestellte Instanz von Key Protect aus.

  4. Verwenden Sie auf der Seite mit den Anwendungsdetails die Tabelle Schlüssel, um die Schlüssel im Service zu durchsuchen. Wenn Sie viele Tasten haben, können Sie Ihre Suche eingrenzen, indem Sie die Suchleisten verwenden, um nur nach aktivierten Schlüsseln zu suchen (da andere Arten von Schlüsseln nicht rotiert werden können), nach Schlüsseln in einem bestimmten Schlüsselring und nach Schlüsseln mit einem bestimmten Alias.

  5. Wenn der Schlüssel gefunden wurde, klicken Sie auf das Symbol 'Symbol', um eine Liste der Optionen für den Schlüssel zu öffnen, den Sie rotieren möchten.

  6. Klicken Sie im Optionsmenü auf Rotieren , um die Seitenanzeige Rotation zu öffnen.

  7. Wenn Ihre Rotationsrichtlinie Aktiviert ist, können Sie diese Richtlinie bearbeiten, indem Sie die Anzahl der ausgewählten Monate ändern. Dadurch wird das Intervall von 30 Tagen für Ihren Rootschlüssel festgelegt. Wenn ein Schlüssel so eingestellt wird, dass er alle 2 Monate gedreht wird, wird er beispielsweise alle 60 Tage, unabhängig von der Anzahl der Tage in einem bestimmten Monat, gedreht. Wenn Ihre Rotationsrichtlinie Inaktiviert ist und der Schlüssel zu einem Zeitpunkt erstellt wurde, zu dem Ihre Instanz eine Rotationsrichtlinie hatte, kann eine Rotationsintervallnummer angezeigt werden. Dies ist die Rotationsrichtlinie, die bei der Schlüsselerstellung im Status Inaktiviert in Ihren Schlüssel geschrieben wurde. Sie können das Rotationsintervall auch jetzt ändern.

  8. Klicken Sie auf Richtlinie festlegen. Die Richtlinie ist jetzt wirksam.

Wenn Sie den Schlüssel sofort rotieren möchten, klicken Sie auf Schlüssel rotieren. Hinweis: Diese Aktionen schließen sich nicht gegenseitig aus. Wenn Ihr Schlüssel eine vorhandene Rotationsrichtlinie hat, zeigt die Schnittstelle den vorhandenen Rotationszeitraum des Schlüssels an.

Nur für importierte Rootschlüsselmüssen Sie base64-codiertes Schlüsselmaterial hinzufügen, das Sie im Service speichern und verwalten möchten. Stellen Sie sicher, dass das Schlüsselmaterial in 128, 192 oder 256 Bit liegt und dass die Datenbyte (z. B. 32 Byte für 256 Bit) mit Base64-Codierung codiert werden.

Wenn der Schlüssel auf Basis des von Ihnen angegebenen Rotationsintervalls rotieren soll, ersetzt Key Protect den Rootschlüssel automatisch durch die neuen Schlüsselinformationen.