Informazioni sui cookie del presente sito Per il corretto funzionamento, i nostri siti Web richiedono alcuni cookie (richiesto). Inoltre, con il suo consenso, potrebbero essere utilizzati altri cookie per l'analisi dell'utilizzo del sito, per migliorare l'esperienza utente e per scopi pubblicitari. Per ulteriori informazioni, consultare le. Visitando il nostro sito web, accettate il trattamento delle informazioni da parte nostra come descritto nelladichiarazione sulla privacy di IBM. Per consentire una corretta navigazione, le preferenze per i cookie dell'utente verranno condivise sui domini Web IBM qui elencati.
FAQ per Key Protect
Per aiutarvi con IBM® Key Protect potete utilizzare le seguenti FAQ.
Come funzionano i prezzi per Key Protect?
Key Protect ha un modello di prezzo basato sul valore che conta il numero totale di versioni chiave nel tuo account, se le chiavi vengono create o importate, root o standard. In questo piano le prime cinque versioni chiave sono gratuite, dopo di che il prezzo è di $1 per versione chiave al mese. Solo le chiavi non eliminate, che includono tutte le chiavi attive e disabilitate, vengono conteggiate ai fini della determinazione dei prezzi. Questo modello di prezzo copre il valore fornito da Key Protect gestendo tutte le versioni della chiave in modo che possano essere utilizzate per decodificare i testi cifrati più vecchi.
In che modo le informazioni di un utente vengono partizionate dai dati di altri utenti?
Key Protect ti consente di disporre di una o più istanze accessibili solo a te. L'accesso all'interno di queste istanze (o a livello di account), può essere controllato dal proprietario dell'account o da un amministratore designato di quell' account, consentendo l'applicazione del principio del privilegio minimo. Un modo per farlo è raggruppare le chiavi in "key ring", consentendo a un proprietario dell'account di assegnare l'accesso a un particolare gruppo di chiavi a un particolare gruppo di utenti. Per ulteriori informazioni, consultare Raggruppamento delle chiavi utilizzando i keyring.
Come sono protette le chiavi dell'istanza?
Ogni istanza Key Protect ottiene una IKEK (instance key - encrypted - key) generata casualmente, che viene impacchettata dalla chiave master HSM, producendo una WIKEK (wrapped instance key). Nessun utente ha accesso a WIKEK o IKEK e anche IBM non ha accesso a IKEK. Non c'è alcun accesso diretto o esplicito a WIKEK da parte di IBMed è crittografato dalla chiave master.
Cos'è una chiave di crittografia interna?
Quando si importano le chiavi di crittografia in Key Protect, o quando si usa Key Protect per generare chiavi dai suoi HSM, queste chiavi diventano chiavi attive. I prezzi si basano su tutte le chiavi attive all'interno di un account IBM Cloud.
Come posso raggruppare e gestire le mie chiavi?
Puoi utilizzare IBM® Key Protect for IBM Cloud® per creare un gruppo di chiavi per un gruppo di destinazione di utenti che richiedono le stesse autorizzazioni di accesso IAM raggruppando le tue chiavi nella tua istanza del servizio Key Protect in gruppi denominati "key ring". Un key ring è una raccolta di chiavi, all'interno della propria istanza del servizio, che richiedono tutte le stesse autorizzazioni di accesso IAM. Ad esempio, se si dispone di un gruppo di membri del team che avranno bisogno di un particolare tipo di accesso a un gruppo specifico di chiavi, è possibile creare un keyring per tali chiavi e assegnare la politica di accesso IAM appropriata al gruppo di utenti di destinazione. Gli utenti a cui è stato assegnato l'accesso al file di chiavi possono creare e gestire le risorse esistenti all'interno del file di chiavi.
Per ulteriori informazioni sul raggruppamento delle chiavi, consultare Raggruppamento delle chiavi mediante i keyring.
Sto tentando di eliminare un'istanza ricevendo un errore 409. Come posso eliminare la mia istanza?
Questo errore indica che le chiavi sono ancora in questa istanza. Prima di poter eliminare un'istanza, devi eliminare ogni chiave in tale istanza.
Poiché la tabella Chiavi nella console mostra solo le chiavi Enabled
per impostazione predefinita, utilizza i filtri per mostrare le chiavi in tutti gli stati. Ciò può rivelare le chiavi che devono essere eliminate
per eliminare l'istanza che non sono visualizzate nella tabella.
Dopo che tutte le chiavi sono state eliminate, puoi procedere con l'eliminazione dell'istanza.
Cos'è una chiave root?
Le chiavi root sono le risorse principali in Key Protect. Sono le chiavi di impacchettamento della chiave simmetriche utilizzate come radice di attendibilità per la protezione di altre chiavi che vengono archiviate nel servizio di dati con la crittografia envelope.
Con Key Protect, puoi creare, memorizzare e gestire il ciclo di vita delle chiavi root per ottenere il controllo completo di altre chiavi archiviate nel cloud.
Una volta creata una chiave root, né un utente né IBM possono visualizzare il relativo materiale della chiave.
Cos' è una chiave di crittografia dei dati (DEK)?
Una DEK è una chiave utilizzata da servizi come il servizio Object Storage IBM Cloud per eseguire la codifica AES256 gestita da IBMdei dati archiviati nell'archivio oggetti cloud. Le chiavi DEK sono generate casualmente e archiviate in modo sicuro con il servizio di archiviazione oggetti cloud vicino alle risorse che codificano. La DEK viene utilizzata per la crittografia predefinita in tutti i casi, indipendentemente dal fatto che il cliente desideri gestire o meno le chiavi di crittografia. ICOS DEK non è gestito dai client né deve essere ruotato. Per i casi in cui i client desiderano gestire la crittografia, controllano indirettamente la DEK impacchettando la DEK con la propria "chiave root" memorizzata nella loro istanza Key Protect. Una chiave root può essere generata o importata e gestita dall'utente nella propria istanza Key Protect (ad esempio, ruotando le chiavi).
Key Protect può generare DEK (che impacchettano le chiavi senza passare il testo in chiaro) tramite l'HSM.
Cos'è la crittografia envelope?
La crittografia a busta è una pratica che consiste nel crittografare i dati con una chiave di crittografia dei dati e poi crittografare la chiave di crittografia dei dati con una chiave di protezione altamente sicura. I tuoi dati vengono protetti quando non attivi applicando più livelli di crittografia. Per ulteriori informazioni sulla crittografia envelope, controlla Protezione dei dati con la crittografia envelope.
Che lunghezza può avere un nome chiave?
Puoi utilizzare un nome chiave con una lunghezza massima di 90 caratteri.
Posso archiviare le informazioni personali come dei metadati per le mie chiavi?
Per proteggere la riservatezza dei tuoi dati personali, evita di archiviare informazioni d'identificazione personale (PII) come dei metadati per le tue chiavi. Le informazioni personali includono i tuoi nome, indirizzo, numero di telefono, indirizzo email o altre informazioni che potrebbero identificare, contattare o individuare te, i tuoi clienti o chiunque altro.
Sei responsabile di garantire la sicurezza di tutte le informazioni che archivi come metadati per le chiavi di crittografia e le risorse Key Protect.
Per ulteriori esempi di dati personali, consultare la sezione 2.2 della pubblicazione speciale 800-122 del NIST.
Le chiavi di crittografia create in una regione possono essere utilizzate in un'altra regione?
Le tue chiavi di crittografia possono essere utilizzate per crittografare gli archivi dati ubicati in qualsiasi posizione all'interno di IBM Cloud.
Come controllo chi ha accesso alle chiavi?
Key Protect supporta un sistema di controllo degli accessi centrale, gestito da IBM Cloud® Identity and Access Management, per aiutarti a gestire gli utenti e l'accesso per le chiavi di codifica e consentire il principio del minimo privilegio. Se siete un amministratore della sicurezza del vostro servizio, potete assegnare a IBM Cloud ruoli IAM che corrispondono alle autorizzazioni specifiche di Key Protect che volete concedere ai membri del vostro team.
Un modo per farlo è raggruppare le chiavi in "key ring", consentendo a un proprietario dell'account di assegnare l'accesso a un particolare gruppo di chiavi a un particolare gruppo di utenti. Per ulteriori informazioni, consultare Raggruppamento delle chiavi utilizzando i keyring.
Quali sono le differenze tra i ruoli di lettore (Reader) e lettore plus (ReaderPlus)?
Entrambi i ruoli di lettore (Reader) e lettore plus (ReaderPlus) ti aiutano ad assegnare un accesso in sola lettura alle risorse Key Protect.
- In qualità di lettore (Reader), puoi esplorare una vista di alto livello di chiavi ed eseguire azioni di impacchettamento e spacchettamento. I lettori non possono accedere o modificare il materiale della chiave.
- In qualità di lettore plus (ReaderPlus), puoi esplorare una vista di alto livello di chiavi, accedere al materiale della chiave per le chiavi standard ed eseguire le azioni di impacchettamento e spacchettamento. Il ruolo di lettore plus (ReaderPlus) non può modificare il materiale della chiave.
Come monitoro le chiamate API a Key Protect?
È possibile utilizzare il servizio IBM Cloud Logs per monitorare il modo in cui gli utenti e le applicazioni interagiscono con l'istanza Key Protect. Ad esempio, quando crei, importi, elimini o leggi una chiave in Key Protect, viene generato un evento IBM Cloud Logs. Questi eventi vengono automaticamente inoltrati al servizio IBM Cloud Logs nella stessa regione in cui è stato eseguito il provisioning del servizio Key Protect.
Per saperne di più, visitate il sito IBM Cloud Logs.
Come posso controllare quali sono i dati crittografati dalle diverse chiavi root?
Quando si utilizza una chiave root per proteggere i dati a riposo con la crittografia a busta, i servizi cloud che utilizzano la chiave possono creare una registrazione tra la chiave e la risorsa che protegge. Le registrazioni sono associazioni tra chiavi e risorse cloud che ti aiutano a ottenere una visione completa delle chiavi di crittografia e di quali dati proteggono su IBM Cloud.
Puoi esplorare le registrazioni disponibili per le tue chiavi e le tue risorse cloud utilizzando le API Key Protect.
Cosa succede quando elimino una chiave?
Nel caso in cui una chiave non sia più necessaria o debba essere rimossa, Key Protect ti consente di eliminare e, infine, eliminare le chiavi, un'azione che elimina il materiale della chiave e rende inaccessibili tutti i dati codificati con esso.
L'eliminazione di una chiave la porta nello stato Destroyed , un'eliminazione "soft" in cui la chiave può essere ancora visualizzata e ripristinata per 30 giorni. Dopo 90 giorni, la chiave verrà automaticamente eliminata o "eliminata in modo permanente" e i suoi dati associati verranno definitivamente distrutti e rimossi dal servizio Key Protect. Se è auspicabile che una chiave venga eliminata prima di 90 giorni, è anche possibile eliminare una chiave quattro ore dopo che è stata spostata nello stato Destroyed .
Dopo che una chiave è stata eliminata, tutti i dati codificati dalla chiave diventano inaccessibili, anche se questo può essere invertito se la chiave viene ripristinata entro il periodo di tempo di 30 giorni. Dopo 30 giorni, i metadati, le registrazioni e le politiche chiave sono disponibili fino a 90 giorni, a quel punto la chiave diventa idonea per l'eliminazione. Tenere presente che una volta che una chiave non è più ripristinabile ed è stata eliminata, non sarà più possibile accedere ai dati associati. Di conseguenza, l'eliminazione delle risorse non è consigliata per gli ambienti di produzione a meno che non sia assolutamente necessario.
Cosa succede se provo a eliminare una chiave che sta crittografando attivamente i dati?
Per la tua protezione, Key Protect impedisce l'eliminazione di una chiave che sta crittografando attivamente i dati nel cloud. Se provi a eliminare una chiave registrata con una risorsa cloud, l'azione non avrà esito positivo.
Se necessario, puoi forzare l'eliminazione di una chiave utilizzando le API Key Protect. Controlla quali risorse sono crittografate dalla chiave e verifica con il proprietario delle risorse per assicurarti che non hai più bisogno di accedere a tali dati.
Se non riesci a eliminare una chiave perché esiste una politica di conservazione sulla risorsa associata, contatta il proprietario dell'account per rimuovere la politica di conservazione su tale risorsa.
Cosa succede quando disabilito un tasto?
Quando si disattiva un tasto, questo passa allo stato Sospeso. Le chiavi in questo stato non sono più disponibili per operazioni di crittografia o decrittografia e tutti i dati associati alla chiave diventano inaccessibili.
La disabilitazione di una chiave è un'azione reversibile. È sempre possibile attivare una chiave disabilitata e ripristinare l'accesso ai dati precedentemente codificati con la chiave.
Cos'è una politica di autorizzazione doppia?
L'autorizzazione doppia è un processo in due fasi che richiede un'azione da due approvatori per eliminare una chiave. Forzando due entità ad autorizzare l'eliminazione di una chiave, riduci al minimo le possibilità di azioni malintenzionate o di eliminazione accidentali.
Con Key Protect, puoi implementare politiche di autorizzazione doppia a livello di istanza o per singole chiavi.
Cosa succede dopo che abilito una politica di autorizzazione doppia?
Dopo aver abilitato un criterio di doppia autorizzazione per un'istanza Key Protect, tutte le chiavi aggiunte all'istanza ereditano il criterio a livello di chiave. Le politiche di autorizzazione doppia per le chiavi non possono essere ripristinate allo stato precedente.
Se si dispone di chiavi esistenti in un'istanza di Key Protect, tali chiavi continueranno a richiedere una sola autorizzazione per essere eliminate. Se si desidera abilitare tali chiavi alla doppia autorizzazione, è possibile utilizzare le API di Key Protect per impostare i criteri di doppia autorizzazione per le singole chiavi.
Posso disabilitare le impostazioni di doppia autorizzazione per la mia istanza Key Protect?
Sì. Se è necessario aggiungere una chiave che non richiede la doppia autorizzazione all'istanza Key Protect, è sempre possibile disabilitare la doppia autorizzazione per l'istanza Key Protect, in modo che tutte le chiavi nuove o future non la richiedano.
Cosa succede quando devo eliminare o deprovisionare la mia istanza Key Protect?
Se si decide di abbandonare Key Protect, è necessario eliminare tutte le chiavi rimanenti dall'istanza di Key Protect prima di poter eliminare o deprovisionare il servizio. Dopo aver eliminato la tua istanza Key Protect, Key Protect utilizza la crittografia envelope per crittografare i dati associati all'istanza Key Protect.