IBM Cloud Docs
Desativando e ativando chaves raiz

Desativando e ativando chaves raiz

É possível usar o IBM® Key Protect for IBM Cloud® para desativar ou ativar uma chave raiz e revogar temporariamente o acesso aos dados associados da chave na nuvem.

Como um administrador, poderá ser necessário desativar uma chave raiz temporariamente se você suspeitar de um possível risco à segurança, comprometimento ou violação de seus dados. Ao desativar uma chave raiz, você suspende suas operações de criptografia e decriptografia. Depois de confirmar que um risco à segurança não está mais ativo, é possível restaurar o acesso aos seus dados ativando a chave raiz desativada.

Ao utilizar um serviço de nuvem integrado com o Key Protect, talvez não seja possível acessar seus dados após a desativação de uma chave raiz. Para determinar se um serviço integrado suporta a revogação do acesso aos dados por meio da desativação de uma chave raiz do Key Protect, consulte a documentação do serviço.

Desativando ou ativando uma chave raiz

Desativando uma chave raiz

Ao desativar uma chave raiz que anteriormente estava ativada, o estado da chave passa de Active para Suspended. Esta ação significa que a chave não pode mais ser usada para proteger dados de forma criptográfica.

Se você estiver usando um Serviço de nuvem integrado que suporte a revogação de acesso a uma chave raiz desativada, o serviço poderá levar até um máximo de 4 horas antes de o acesso aos dados associados da chave raiz ser revogado.

Após a revogação do acesso aos dados associados, um disable event é exibido na interface do usuário da Web IBM Cloud Logs. O disable event indica que a chave foi revogada (e agora está desativada) e não pode ser usada para operações de criptografia e decriptografia.

Ativando uma chave raiz

Ao ativar uma chave raiz que anteriormente estava desativada, o estado da chave passa de Suspended para Active. Esta ação restaura as operações de criptografia e decriptografia da chave.

Se você está usando um Cloud Service integrado que suporta a restauração do acesso a uma chave raiz desativada, o serviço pode levar até um máximo de quatro horas antes de o acesso aos dados associados da chave raiz ser restaurado.

Após a restauração do acesso aos dados associados, um enable event é exibido na interface do usuário da Web IBM Cloud Logs. O enable event indica que a chave foi restaurada (e agora está ativada) e pode ser usada para operações de criptografia e decriptografia.

Desativando e ativando chaves raiz no console

Se preferir ativar ou desativar as suas chaves raiz usando uma interface gráfica, será possível usar o console da IBM Cloud.

Desativando uma chave raiz no console

Depois de criar ou importar suas chaves existentes para o serviço, conclua as etapas a seguir para desativar uma chave:

  1. Efetue login no console do IBM Cloud.

  2. Acesse Menu > Lista de recursos para visualizar uma lista de seus recursos.

  3. Em sua lista de recursos do IBM Cloud, selecione a sua instância provisionada do Key Protect.

  4. Na página de detalhes do aplicativo, use a tabela Chaves para navegar nas chaves em sua instância do Key Protect.

  5. Clique no ícone ⋯ para abrir uma lista de opções para a chave que você deseja desativar.

  6. No menu de opções, clique em Desativar chave e confirme se a chave foi desativada na tabela Chaves atualizada.

Ativando uma chave raiz no console

Depois de criar ou importar suas chaves existentes para o serviço e desativar uma chave raiz, conclua as etapas a seguir para ativar a chave:

  1. Efetue login no console do IBM Cloud.

  2. Acesse Menu > Lista de recursos para visualizar uma lista de seus recursos.

  3. Em sua lista de recursos do IBM Cloud, selecione a sua instância provisionada do Key Protect.

  4. Na página de detalhes do aplicativo, use a tabela de Chaves para procurar as chaves em seu serviço.

  5. Clique no ícone ⋯ para abrir uma lista de opções para a chave que você deseja ativar.

  6. No menu de opções, clique em Ativar chave e confirme se a chave foi ativada na tabela Chaves atualizada.

As chaves não podem ser ativadas imediatamente após serem desativadas. Se uma chave foi desativada por engano, espere pelo menos 30 segundos antes de tentar reativá-la.

Desativando e ativando chaves raiz com a API

Desativando uma chave raiz com a API

Você pode desativar uma chave raiz que esteja no estado de chave ativa fazendo um POST para o seguinte endpoint.

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/disable

  1. Recupere as suas credenciais de autenticação para trabalhar com chaves no serviço.

    Para desabilitar uma chave raiz, deve-se atribuir uma função de acesso de serviço Gerente para a instância ou chave. Para saber como as funções do IAM mapeiam para ações de serviços do Key Protect, consulte Funções de acesso de serviços.

  2. Recupere o ID da chave raiz que você deseja desativar.

    Para obter o ID de uma chave especificada, é possível fazer uma GET /v2/keys requestou visualizando suas chaves no painel do Key Protect.

  3. Execute o seguinte comando curl para desativar a chave raiz e suspender suas operações de criptografia e decriptografia.

    $ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/disable" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "x-kms-key-ring: <key_ring_ID>"

    Substitua as variáveis na solicitação de exemplo de acordo com a tabela a seguir.

Descreve as variáveis necessárias para desativar as chaves raiz com a API Key Protect.
Variável Descrição
região **Obrigatório. A abreviação da região, como us-south ou eu-gb, que representa a área geográfica em que a instância Key Protect reside.

Para obter mais informações, consulte Pontos de extremidade de serviço regionais.
keyID_or_alias Obrigatório. O identificador ou alias exclusivo da chave raiz que se deseja desativar.
IAM_token Obrigatório. Seu token de acesso do IBM Cloud. Inclua o conteúdo completo do token do IAM, incluindo o valor Bearer, na solicitação curl.

Para obter mais informações, consulte Recuperação de um token de acesso.
instance_ID Obrigatório. O identificador exclusivo que é designado para sua instância de serviço Key Protect.

Para obter mais informações, consulte Recuperação de um ID de instância.
key_ring_ID Opcional. O identificador exclusivo do conjunto de chaves do qual a chave faz parte. Se não especificado, o Key Protect irá procurar a chave em cada conjunto de chaves associado à instância especificada. É recomendado especificar o ID do conjunto de chaves para uma solicitação mais otimizada.

Observação: a ID do chaveiro das chaves criadas sem um cabeçalho x-kms-key-ring é: default.

Para obter mais informações, consulte Chaves de agrupamento..

Uma solicitação de desativação bem-sucedida retorna uma resposta HTTP 204 No Content, que indica que a chave raiz foi desativada para operações de criptografia e decriptografa.

Opcional: verificar a desativação da chave

É possível verificar se uma chave foi desativada emitindo uma solicitação para obter metadados da chave:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/metadata" \
    -H "accept: application/vnd.ibm.kms.key+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Em que <keyID_or_alias> é o ID ou alias da chave, <instance_ID> é o nome da instância e <IAM_token> é seu token do IAM.

Revise o campo state no corpo da resposta para verificar se a chave passou para o estado de chave Suspended. A saída JSON a seguir mostra os detalhes de metadados para uma chave raiz desativada.

O mapeamento inteiro para o estado chave Suspenso é 2. Os estados dechave são baseados no NIST SP 800-57.

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "type": "application/vnd.ibm.kms.key+json",
            "id": "02fd6835-6001-4482-a892-13bd2085f75d",
            "name": "...",
            "description": "...",
            "tags": [
                "..."
            ],
            "state": 2,
            "extractable": false,
            "crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
            "imported": true,
            "creationDate": "2020-03-10T20:41:27Z",
            "createdBy": "...",
            "algorithmType": "Deprecated",
            "algorithmMetadata": {
                "bitLength": "128",
                "mode": "Deprecated"
            },
            "algorithmBitSize": 128,
            "algorithmMode": "Deprecated",
            "lastUpdateDate": "2020-03-16T20:41:27Z",
            "keyVersion": {
                "id": "30372f20-d9f1-40b3-b486-a709e1932c9c",
                "creationDate": "2020-03-12T03:37:32Z"
            },
            "dualAuthDelete": {
                "enabled": false
            },
            "deleted": false
        }
    ]
}

Ativando uma chave raiz desativada com a API

Você pode ativar uma chave raiz que esteja no estado Suspended key fazendo um POST para o seguinte endpoint.

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/enable

  1. Recupere as suas credenciais de autenticação para trabalhar com chaves no serviço.

    Para ativar uma chave raiz, deve-se atribuir uma função de acesso de serviço Gerente para a instância ou chave. Para saber como as funções do IAM mapeiam para ações de serviços do Key Protect, consulte Funções de acesso de serviços.

  2. Recupere o ID da chave raiz desativada que você deseja ativar.

    Para obter o ID de uma chave especificada, é possível fazer uma GET /v2/keys requestou visualizando suas chaves no painel do Key Protect.

  3. Execute o seguinte comando curl para ativar a chave raiz e restaurar suas operações de criptografia e decriptografia.

    Deve-se aguardar 30 segundos após a desativação de uma chave raiz antes de ser capaz de ativá-la novamente.

    $ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/enable" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "x-kms-key-ring: <key_ring_ID>"

Substitua as variáveis na solicitação de exemplo de acordo com a tabela a seguir.

Descreve as variáveis necessárias para ativar as chaves raiz com a API Key Protect.
Variável Descrição
região Obrigatório. A abreviação da região, como us-south ou eu-gb, que representa a área geográfica em que a instância Key Protect reside.

Para obter mais informações, consulte Pontos de extremidade de serviço regionais.
keyID_or_alias Obrigatório. O identificador ou alias exclusivo da chave raiz que se deseja ativar.
IAM_token Obrigatório. Seu token de acesso do IBM Cloud. Inclua o conteúdo completo do token do IAM, incluindo o valor Bearer, na solicitação curl.

Para obter mais informações, consulte Recuperação de um token de acesso.
instance_ID Obrigatório. O identificador exclusivo que é designado para sua instância de serviço Key Protect.

Para obter mais informações, consulte Recuperação de um ID de instância.
key_ring_ID Opcional. O identificador exclusivo do conjunto de chaves do qual a chave faz parte. Se não especificado, o Key Protect irá procurar a chave em cada conjunto de chaves associado à instância especificada. É recomendado especificar o ID do conjunto de chaves para uma solicitação mais otimizada.

Observação: a ID do chaveiro das chaves criadas sem um cabeçalho x-kms-key-ring é: default.

Para obter mais informações, consulte Chaves de agrupamento..

Uma solicitação de ativação bem-sucedida retorna uma resposta HTTP 204 No Content, que indica que a chave raiz foi restabelecida para operações de criptografia e decriptografa.

Opcional: verificar a ativação da chave

É possível verificar se uma chave foi ativada emitindo uma solicitação para obter metadados da chave:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/metadata" \
    -H "accept: application/vnd.ibm.kms.key+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Em que <keyID_or_alias> é o ID ou alias da chave, <instance_ID> é o nome da instância e <IAM_token> é seu token do IAM.

Revise o campo state no corpo da resposta para verificar se a chave passou para o estado de chave Active. A saída JSON a seguir mostra os detalhes de metadados para uma chave ativa.

O mapeamento de número inteiro para o estado de chave Ativo é 1. Os estados dechave são baseados no NIST SP 800-57.

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "type": "application/vnd.ibm.kms.key+json",
            "id": "02fd6835-6001-4482-a892-13bd2085f75d",
            "name": "...",
            "description": "...",
            "tags": [
                "..."
            ],
            "state": 1,
            "extractable": false,
            "crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
            "imported": true,
            "creationDate": "2020-03-10T20:41:27Z",
            "createdBy": "...",
            "algorithmType": "AES",
            "algorithmMetadata": {
                "bitLength": "128",
                "mode": "CBC_PAD"
            },
            "algorithmBitSize": 128,
            "algorithmMode": "CBC_PAD",
            "lastUpdateDate": "2020-03-16T20:41:27Z",
            "keyVersion": {
                "id": "30372f20-d9f1-40b3-b486-a709e1932c9c",
                "creationDate": "2020-03-12T03:37:32Z"
            },
            "dualAuthDelete": {
                "enabled": false
            },
            "deleted": false
        }
    ]
}