Disabilitazione e abilitazione delle chiavi root

È possibile utilizzare IBM® Key Protect for IBM Cloud® per disabilitare o abilitare una chiave root e revocare temporaneamente l'accesso ai dati associati alla chiave sul cloud cloud.

In qualità di amministratore, potresti dover disabilitare temporaneamente una chiave root se sospetti una possibile esposizione alla sicurezza, compromissione o violazione dei tuoi dati. Quando si disabilita una chiave root, si sospendono le relative operazioni di codifica e decodifica. Dopo aver confermato che un rischio di sicurezza non è più attivo, puoi ripristinare l'accesso ai dati abilitando la chiave root disabilitata.

Se si utilizza un servizio cloud integrato con Key Protect, i tuoi dati potrebbero non essere accessibili dopo la disabilitazione di una chiave root. Per determinare se un servizio integrato supporta la revoca dell'accesso ai dati disabilitando un Chiave root Key Protect, fare riferimento alla relativa documentazione del servizio.

Disabilitazione o abilitazione di una chiave root

Disabilitazione di una chiave root

Quando si disabilita una chiave root precedentemente abilitata, la chiave viene Attivo per Sospeso stato chiave. Questa azione significa che la chiave non può più essere utilizzata per proteggere crittograficamente i dati.

Se stai utilizzando un servizio cloud integrato che supporta la revoca dell'accesso a una chiave root disabilitata, il servizio potrebbe impiegare fino a un massimo di 4 ore prima che l'accesso ai dati associati della chiave root venga revocato.

Dopo che l'accesso ai dati associati è stato revocato, un disable event corrispondente viene visualizzato nell'interfaccia web IBM Cloud Logs. disable event indica che la chiave è stata revocata (ed è ora disabilitata) e che la chiave non può essere utilizzata per le operazioni di codifica e decodifica.

Abilitazione di una chiave root

Quando si abilita una chiave root precedentemente disabilitata, la chiave viene Sospeso al Stato chiave attivo. Questa azione ripristina le operazioni di codifica e decodifica della chiave.

Se stai utilizzando un servizio cloud integrato che supporta il ripristino dell'accesso a una chiave root disabilitata, il servizio potrebbe richiedere fino a un massimo di 4 ore prima che venga ripristinato l'accesso ai dati associati della chiave root.

Una volta ripristinato l'accesso ai dati associati, un enable event corrispondente viene visualizzato nell'interfaccia web IBM Cloud Logs. enable event indica che la chiave è stata ripristinata (e ora è abilitata) e può essere utilizzata per le operazioni di codifica e decodifica.

Disabilitazione e abilitazione delle chiavi root nella console

Se preferisci abilitare o disabilitare le tue chiavi root utilizzando un'interfaccia grafica, puoi utilizzare la console IBM Cloud.

Disabilitazione di una chiave root nella console

Dopo aver creato o importato le chiavi esistenti nel servizio, completare i seguenti passaggi per disattivare una chiave:

Accedi alla console IBM Cloud.
Andare a Menu > Elenco risorse per visualizzare l'elenco delle risorse.
Dal tuo elenco risorse IBM Cloud, seleziona la tua istanza di cui è stato eseguito il provisioning di Key Protect.
Nella pagina dei dettagli dell'applicazione, utilizzare la tabella Chiavi per sfogliare le chiavi dell'istanza di l'istanza di Key Protect.
Fare clic sull'icona ⋯ per aprire un elenco di opzioni per la chiave che si desidera disabilitare disattivare.
Dal menu delle opzioni, fare clic su Disabilita chiave e verificare che la chiave sia stata disabilitata nella tabella Chiavi aggiornata.

Abilitazione di una chiave root nella console

Dopo aver creato o importato le tue chiavi esistenti nel servizio e disabilitare una chiave root, completa la seguente procedura per abilitare la chiave:

Accedi alla console IBM Cloud.
Andare a Menu > Elenco risorse per visualizzare l'elenco delle risorse.
Dal tuo elenco risorse IBM Cloud, seleziona la tua istanza di cui è stato eseguito il provisioning di Key Protect.
Nella pagina dei dettagli dell'applicazione, utilizza la tabella Keys per sfogliare le chiavi nel tuo servizio.
Fare clic sull'icona ⋯ per aprire un elenco di opzioni per la chiave che si desidera abilitare abilitare.
Dal menu opzioni, fare clic su Abilita chiave e verificare che la chiave sia stata abilitata nella tabella Chiavi aggiornata.

Le tasti non possono essere abilitate immediatamente dopo essere state abilitate. Se una chiave è stata disabilitata per errore, attendere almeno 30 secondi prima di tentare di riabilitarla.

Disabilitazione e abilitazione delle chiavi root con la API

Disabilitazione di una chiave root con la API

Puoi disabilitare una chiave root che si trova nello stato della chiave Attiva effettuando una POST al seguente endpoint.

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/disable

Richiama le tue credenziali di autenticazione per lavorare con le chiavi nel servizio.

Per disabilitare una chiave root, ti deve essere assegnato un ruolo di accesso al servizio Gestore per l'istanza o la chiave. Per informazioni su come i ruoli IAM vengono associati a Azioni del servizio Key Protect, controlla Ruoli di accesso al servizio.
Recuperare l'ID della chiave principale che si desidera disabilitare.

È possibile recuperare l'ID per una chiave specificata creando un GET /v2/keys richiestao visualizzando le tue chiavi nel Dashboard Key Protect.

Eseguire il seguente comando curl per disabilitare la chiave root e sospendere le relative operazioni di codifica e decodifica.

$ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/disable" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "x-kms-key-ring: <key_ring_ID>"

Sostituisci le variabili nella richiesta di esempio in base alla seguente tabella.

Descrive le variabili necessarie per disabilitare le chiavi di root con l'API Key Protect API.
Variabile	Descrizione
regione	** Richiesto. L'abbreviazione della regione, come `us-south` o `eu-gb`, che rappresenta l'area geografica in cui risiede l'istanza Key Protect. Per ulteriori informazioni, vedere Endpoint del servizio regionale.
keyID_or_alias	Richiesto. L'identificatore unico o l'alias della chiave principale che si desidera disabilitare.
Token IAM	Richiesto. Il tuo token di accesso IBM Cloud. Includere l'intero contenuto del token IAM, compreso il valore Bearer, nella richiesta curl. Per ulteriori informazioni, vedere Recupero di un token di accesso.
instance_id	Richiesto. L'identificatore unico assegnato all'istanza del servizio Key Protect. Per ulteriori informazioni, vedere Recupero dell'ID di un'istanza.
ID_ring_chiave	Facoltativo. L'identificativo univoco del keyring di cui fa parte la chiave. Se non specificato, Key Protect ricercherà la chiave in ogni key ring associato all'istanza specificata. Si consiglia di specificare l'ID key ring per una richiesta più ottimizzata. Nota: l'ID key ring delle chiavi create senza un'intestazione `x-kms-key-ring` è: default. Per ulteriori informazioni, consultare Chiavi di raggruppamento.

Una richiesta di disabilitazione riuscita restituisce una risposta HTTP 204 No Content, che indica che la chiave radice è stata disabilitata per le operazioni di crittografia e decrittografia per le operazioni di crittografia e decrittografia.

Facoltativo: verificare la disabilitazione della chiave

È possibile verificare che una chiave sia stata disabilitata emettendo una richiesta di acquisizione metadati chiave:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/metadata" \
    -H "accept: application/vnd.ibm.kms.key+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Dove il <keyID_or_alias> è l'ID o l'alias della chiave, il <instance_ID> è il nome della tua istanza e il tuo <IAM_token> è il tuo token IAM.

Esamina il campo state nel corpo della risposta per verificare che la chiave sia passata allo stato della chiave Sospeso . Il seguente output JSON mostra i dettagli dei metadati per una chiave root disabilitata.

L'associazione del numero intero per lo stato chiave Sospeso è 2. Gli Stati chiave si basano sul NIST SP 800-57.

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "type": "application/vnd.ibm.kms.key+json",
            "id": "02fd6835-6001-4482-a892-13bd2085f75d",
            "name": "...",
            "description": "...",
            "tags": [
                "..."
            ],
            "state": 2,
            "extractable": false,
            "crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
            "imported": true,
            "creationDate": "2020-03-10T20:41:27Z",
            "createdBy": "...",
            "algorithmType": "Deprecated",
            "algorithmMetadata": {
                "bitLength": "128",
                "mode": "Deprecated"
            },
            "algorithmBitSize": 128,
            "algorithmMode": "Deprecated",
            "lastUpdateDate": "2020-03-16T20:41:27Z",
            "keyVersion": {
                "id": "30372f20-d9f1-40b3-b486-a709e1932c9c",
                "creationDate": "2020-03-12T03:37:32Z"
            },
            "dualAuthDelete": {
                "enabled": false
            },
            "deleted": false
        }
    ]
}

Abilitazione di una chiave root disabilitata con l'API

Puoi abilitare una chiave root che si trova nello stato della chiave Sospeso effettuando una POST al seguente endpoint.

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/enable

Richiama le tue credenziali di autenticazione per lavorare con le chiavi nel servizio.

Per abilitare una chiave root, devi avere un ruolo di accesso al servizio Gestore per l'istanza o la chiave. Per informazioni su come i ruoli IAM vengono associati a Azioni del servizio Key Protect, controlla Ruoli di accesso al servizio.
Recuperare l'ID della chiave root disabilitata che si desidera abilitare.

È possibile recuperare l'ID per una chiave specificata creando un GET /v2/keys richiestao visualizzando le tue chiavi nel Dashboard Key Protect.

Eseguire il seguente comando curl per abilitare la chiave root e ripristinare le relative operazioni di codifica e decodifica.

È necessario attendere 30 secondi dopo la disabilitazione di una chiave root prima di poterla abilitare nuovamente.

$ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/enable" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "x-kms-key-ring: <key_ring_ID>"

Sostituisci le variabili nella richiesta di esempio in base alla seguente tabella.

Descrive le variabili necessarie per abilitare le chiavi radice con l'API Key Protect API.
Variabile	Descrizione
regione	Richiesto. L'abbreviazione della regione, come `us-south` o `eu-gb`, che rappresenta l'area geografica in cui risiede l'istanza Key Protect. Per ulteriori informazioni, vedere Endpoint del servizio regionale.
keyID_or_alias	Richiesto. L'identificatore unico o l'alias della chiave principale che si desidera abilitare.
Token IAM	Richiesto. Il tuo token di accesso IBM Cloud. Includere l'intero contenuto del token IAM, compreso il valore Bearer, nella richiesta curl. Per ulteriori informazioni, vedere Recupero di un token di accesso.
instance_id	Richiesto. L'identificatore unico assegnato all'istanza del servizio Key Protect. Per ulteriori informazioni, vedere Recupero dell'ID di un'istanza.
ID_ring_chiave	Facoltativo. L'identificativo univoco del keyring di cui fa parte la chiave. Se non specificato, Key Protect ricercherà la chiave in ogni key ring associato all'istanza specificata. Si consiglia di specificare l'ID key ring per una richiesta più ottimizzata. Nota: l'ID key ring delle chiavi create senza un'intestazione `x-kms-key-ring` è: default. Per ulteriori informazioni, consultare Chiavi di raggruppamento.

Una richiesta di abilitazione riuscita restituisce una risposta HTTP 204 No Content, che indica che la chiave root è stata ripristinata per la crittografia e la decrittografia indica che la chiave principale è stata ripristinata per le operazioni di crittografia e decrittografia per le operazioni di crittografia e decrittografia.

Facoltativo: verificare l'abilitazione della chiave

È possibile verificare che una chiave sia stata abilitata emettendo una richiesta di acquisizione dei metadati della chiave:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/metadata" \
    -H "accept: application/vnd.ibm.kms.key+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Dove il <keyID_or_alias> è l'ID o l'alias della chiave, il <instance_ID> è il nome della tua istanza e il tuo <IAM_token> è il tuo token IAM.

Rivedi il campo state nel corpo della risposta per verificare che la chiave root sia passata allo stato della chiave Attiva . Il seguente output JSON mostra i dettagli dei metadati per una chiave attiva.

L'associazione dei numeri interi per lo stato chiave Attivo è 1. Gli Stati chiave si basano sul NIST SP 800-57.

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "type": "application/vnd.ibm.kms.key+json",
            "id": "02fd6835-6001-4482-a892-13bd2085f75d",
            "name": "...",
            "description": "...",
            "tags": [
                "..."
            ],
            "state": 1,
            "extractable": false,
            "crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
            "imported": true,
            "creationDate": "2020-03-10T20:41:27Z",
            "createdBy": "...",
            "algorithmType": "AES",
            "algorithmMetadata": {
                "bitLength": "128",
                "mode": "CBC_PAD"
            },
            "algorithmBitSize": 128,
            "algorithmMode": "CBC_PAD",
            "lastUpdateDate": "2020-03-16T20:41:27Z",
            "keyVersion": {
                "id": "30372f20-d9f1-40b3-b486-a709e1932c9c",
                "creationDate": "2020-03-12T03:37:32Z"
            },
            "dualAuthDelete": {
                "enabled": false
            },
            "deleted": false
        }
    ]
}