Desativando e ativando chaves raiz
É possível usar o IBM® Key Protect for IBM Cloud® para desativar ou ativar uma chave raiz e revogar temporariamente o acesso aos dados associados da chave na nuvem.
Como um administrador, poderá ser necessário desativar uma chave raiz temporariamente se você suspeitar de um possível risco à segurança, comprometimento ou violação de seus dados. Ao desativar uma chave raiz, você suspende suas operações de criptografia e decriptografia. Depois de confirmar que um risco à segurança não está mais ativo, é possível restaurar o acesso aos seus dados ativando a chave raiz desativada.
Ao utilizar um serviço de nuvem integrado com o Key Protect, talvez não seja possível acessar seus dados após a desativação de uma chave raiz. Para determinar se um serviço integrado suporta a revogação do acesso aos dados por meio da desativação de uma chave raiz do Key Protect, consulte a documentação do serviço.
Desativando ou ativando uma chave raiz
Desativando uma chave raiz
Ao desativar uma chave raiz que anteriormente estava ativada, o estado da chave passa de Active para Suspended. Esta ação significa que a chave não pode mais ser usada para proteger dados de forma criptográfica.
Se você estiver usando um Serviço de nuvem integrado que suporte a revogação de acesso a uma chave raiz desativada, o serviço poderá levar até um máximo de 4 horas antes de o acesso aos dados associados da chave raiz ser revogado.
Após a revogação do acesso aos dados associados, um disable event
é exibido na interface do usuário da Web IBM Cloud Logs. O disable event
indica que a chave foi revogada (e agora está desativada) e não pode ser usada para operações de criptografia e decriptografia.
Ativando uma chave raiz
Ao ativar uma chave raiz que anteriormente estava desativada, o estado da chave passa de Suspended para Active. Esta ação restaura as operações de criptografia e decriptografia da chave.
Se você está usando um Cloud Service integrado que suporta a restauração do acesso a uma chave raiz desativada, o serviço pode levar até um máximo de quatro horas antes de o acesso aos dados associados da chave raiz ser restaurado.
Após a restauração do acesso aos dados associados, um enable event
é exibido na interface do usuário da Web IBM Cloud Logs. O enable event
indica que a chave foi restaurada (e agora está ativada) e pode ser usada
para operações de criptografia e decriptografia.
Desativando e ativando chaves raiz no console
Se preferir ativar ou desativar as suas chaves raiz usando uma interface gráfica, será possível usar o console da IBM Cloud.
Desativando uma chave raiz no console
Depois de criar ou importar suas chaves existentes para o serviço, conclua as etapas a seguir para desativar uma chave:
-
Acesse Menu > Lista de recursos para visualizar uma lista de seus recursos.
-
Em sua lista de recursos do IBM Cloud, selecione a sua instância provisionada do Key Protect.
-
Na página de detalhes do aplicativo, use a tabela Chaves para navegar nas chaves em sua instância do Key Protect.
-
Clique no ícone ⋯ para abrir uma lista de opções para a chave que você deseja desativar.
-
No menu de opções, clique em Desativar chave e confirme se a chave foi desativada na tabela Chaves atualizada.
Ativando uma chave raiz no console
Depois de criar ou importar suas chaves existentes para o serviço e desativar uma chave raiz, conclua as etapas a seguir para ativar a chave:
-
Acesse Menu > Lista de recursos para visualizar uma lista de seus recursos.
-
Em sua lista de recursos do IBM Cloud, selecione a sua instância provisionada do Key Protect.
-
Na página de detalhes do aplicativo, use a tabela de Chaves para procurar as chaves em seu serviço.
-
Clique no ícone ⋯ para abrir uma lista de opções para a chave que você deseja ativar.
-
No menu de opções, clique em Ativar chave e confirme se a chave foi ativada na tabela Chaves atualizada.
As chaves não podem ser ativadas imediatamente após serem desativadas. Se uma chave foi desativada por engano, espere pelo menos 30 segundos antes de tentar reativá-la.
Desativando e ativando chaves raiz com a API
Desativando uma chave raiz com a API
Você pode desativar uma chave raiz que esteja no estado de chave ativa fazendo um POST
para o seguinte endpoint.
https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/disable
-
Recupere as suas credenciais de autenticação para trabalhar com chaves no serviço.
Para desabilitar uma chave raiz, deve-se atribuir uma função de acesso de serviço Gerente para a instância ou chave. Para saber como as funções do IAM mapeiam para ações de serviços do Key Protect, consulte Funções de acesso de serviços.
-
Recupere o ID da chave raiz que você deseja desativar.
Para obter o ID de uma chave especificada, é possível fazer uma
GET /v2/keys
requestou visualizando suas chaves no painel do Key Protect. -
Execute o seguinte comando
curl
para desativar a chave raiz e suspender suas operações de criptografia e decriptografia.$ curl -X POST \ "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/disable" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>" \ -H "x-kms-key-ring: <key_ring_ID>"
Substitua as variáveis na solicitação de exemplo de acordo com a tabela a seguir.
Variável | Descrição |
---|---|
região | **Obrigatório. A abreviação da região, como us-south ou eu-gb , que representa a área geográfica em que a instância Key Protect reside.Para obter mais informações, consulte Pontos de extremidade de serviço regionais. |
keyID_or_alias | Obrigatório. O identificador ou alias exclusivo da chave raiz que se deseja desativar. |
IAM_token | Obrigatório. Seu token de acesso do IBM Cloud. Inclua o conteúdo completo do token do IAM, incluindo o valor Bearer, na solicitação curl. Para obter mais informações, consulte Recuperação de um token de acesso. |
instance_ID | Obrigatório. O identificador exclusivo que é designado para sua instância de serviço Key Protect. Para obter mais informações, consulte Recuperação de um ID de instância. |
key_ring_ID | Opcional. O identificador exclusivo do conjunto de chaves do qual a chave faz parte. Se não especificado, o Key Protect irá procurar a chave em cada conjunto de chaves associado à instância especificada. É recomendado
especificar o ID do conjunto de chaves para uma solicitação mais otimizada. Observação: a ID do chaveiro das chaves criadas sem um cabeçalho x-kms-key-ring é: default.Para obter mais informações, consulte Chaves de agrupamento.. |
Uma solicitação de desativação bem-sucedida retorna uma resposta HTTP 204 No Content
, que indica que a chave raiz foi desativada para operações de criptografia e decriptografa.
Opcional: verificar a desativação da chave
É possível verificar se uma chave foi desativada emitindo uma solicitação para obter metadados da chave:
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/metadata" \
-H "accept: application/vnd.ibm.kms.key+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Em que <keyID_or_alias>
é o ID ou alias da chave, <instance_ID>
é o nome da instância e <IAM_token>
é seu token do IAM.
Revise o campo state
no corpo da resposta para verificar se a chave passou para o estado de chave Suspended. A saída JSON a seguir mostra os detalhes de metadados para uma chave raiz desativada.
O mapeamento inteiro para o estado chave Suspenso é 2. Os estados dechave são baseados no NIST SP 800-57.
{
"metadata": {
"collectionType": "application/vnd.ibm.kms.key+json",
"collectionTotal": 1
},
"resources": [
{
"type": "application/vnd.ibm.kms.key+json",
"id": "02fd6835-6001-4482-a892-13bd2085f75d",
"name": "...",
"description": "...",
"tags": [
"..."
],
"state": 2,
"extractable": false,
"crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
"imported": true,
"creationDate": "2020-03-10T20:41:27Z",
"createdBy": "...",
"algorithmType": "Deprecated",
"algorithmMetadata": {
"bitLength": "128",
"mode": "Deprecated"
},
"algorithmBitSize": 128,
"algorithmMode": "Deprecated",
"lastUpdateDate": "2020-03-16T20:41:27Z",
"keyVersion": {
"id": "30372f20-d9f1-40b3-b486-a709e1932c9c",
"creationDate": "2020-03-12T03:37:32Z"
},
"dualAuthDelete": {
"enabled": false
},
"deleted": false
}
]
}
Ativando uma chave raiz desativada com a API
Você pode ativar uma chave raiz que esteja no estado Suspended key fazendo um POST
para o seguinte endpoint.
https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/enable
-
Recupere as suas credenciais de autenticação para trabalhar com chaves no serviço.
Para ativar uma chave raiz, deve-se atribuir uma função de acesso de serviço Gerente para a instância ou chave. Para saber como as funções do IAM mapeiam para ações de serviços do Key Protect, consulte Funções de acesso de serviços.
-
Recupere o ID da chave raiz desativada que você deseja ativar.
Para obter o ID de uma chave especificada, é possível fazer uma
GET /v2/keys
requestou visualizando suas chaves no painel do Key Protect. -
Execute o seguinte comando
curl
para ativar a chave raiz e restaurar suas operações de criptografia e decriptografia.Deve-se aguardar 30 segundos após a desativação de uma chave raiz antes de ser capaz de ativá-la novamente.
$ curl -X POST \ "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/enable" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>" \ -H "x-kms-key-ring: <key_ring_ID>"
Substitua as variáveis na solicitação de exemplo de acordo com a tabela a seguir.
Variável | Descrição |
---|---|
região | Obrigatório. A abreviação da região, como us-south ou eu-gb , que representa a área geográfica em que a instância Key Protect reside.Para obter mais informações, consulte Pontos de extremidade de serviço regionais. |
keyID_or_alias | Obrigatório. O identificador ou alias exclusivo da chave raiz que se deseja ativar. |
IAM_token | Obrigatório. Seu token de acesso do IBM Cloud. Inclua o conteúdo completo do token do IAM, incluindo o valor Bearer, na solicitação curl. Para obter mais informações, consulte Recuperação de um token de acesso. |
instance_ID | Obrigatório. O identificador exclusivo que é designado para sua instância de serviço Key Protect. Para obter mais informações, consulte Recuperação de um ID de instância. |
key_ring_ID | Opcional. O identificador exclusivo do conjunto de chaves do qual a chave faz parte. Se não especificado, o Key Protect irá procurar a chave em cada conjunto de chaves associado à instância especificada. É recomendado
especificar o ID do conjunto de chaves para uma solicitação mais otimizada. Observação: a ID do chaveiro das chaves criadas sem um cabeçalho x-kms-key-ring é: default.Para obter mais informações, consulte Chaves de agrupamento.. |
Uma solicitação de ativação bem-sucedida retorna uma resposta HTTP 204 No Content
, que indica que a chave raiz foi restabelecida para operações de criptografia e decriptografa.
Opcional: verificar a ativação da chave
É possível verificar se uma chave foi ativada emitindo uma solicitação para obter metadados da chave:
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/metadata" \
-H "accept: application/vnd.ibm.kms.key+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Em que <keyID_or_alias>
é o ID ou alias da chave, <instance_ID>
é o nome da instância e <IAM_token>
é seu token do IAM.
Revise o campo state
no corpo da resposta para verificar se a chave passou para o estado de chave Active. A saída JSON a seguir mostra os detalhes de metadados para uma chave ativa.
O mapeamento de número inteiro para o estado de chave Ativo é 1. Os estados dechave são baseados no NIST SP 800-57.
{
"metadata": {
"collectionType": "application/vnd.ibm.kms.key+json",
"collectionTotal": 1
},
"resources": [
{
"type": "application/vnd.ibm.kms.key+json",
"id": "02fd6835-6001-4482-a892-13bd2085f75d",
"name": "...",
"description": "...",
"tags": [
"..."
],
"state": 1,
"extractable": false,
"crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
"imported": true,
"creationDate": "2020-03-10T20:41:27Z",
"createdBy": "...",
"algorithmType": "AES",
"algorithmMetadata": {
"bitLength": "128",
"mode": "CBC_PAD"
},
"algorithmBitSize": 128,
"algorithmMode": "CBC_PAD",
"lastUpdateDate": "2020-03-16T20:41:27Z",
"keyVersion": {
"id": "30372f20-d9f1-40b3-b486-a709e1932c9c",
"creationDate": "2020-03-12T03:37:32Z"
},
"dualAuthDelete": {
"enabled": false
},
"deleted": false
}
]
}