关于删除和清除密钥
如果您是 Key Protect 实例的管理者,那么可以使用 IBM® Key Protect for IBM Cloud® 来删除加密密钥及其密钥资料。
必须先删除实例中的每个密钥,然后才能删除该实例。 但是,如果关闭帐户,那么将自动硬删除任何现有实例和密钥。 请查看 帐户取消和数据删除 以获取更多信息。
如果不再需要或应该除去密钥,那么 Key Protect 允许您删除并最终清除密钥,此操作将对密钥资料进行 shreds,并使使用该密钥进行加密的任何数据都不可访问。
删除密钥会使其进入 已销毁 状态,这是一种“软”删除,在此删除中仍可以看到密钥并将其恢复 30 天。 90 天后,密钥将自动清除或“硬删除”,其关联数据将永久粉碎并从 Key Protect 服务中除去。 如果希望在 90 天之前清除密钥,那么还可以在密钥进入 已销毁 状态 4 小时后将其硬删除。
删除密钥后,任何由密钥加密的数据都将变为不可访问,但如果在 30 天时间范围内复原密钥,那么可以撤销此操作。 30 天后,密钥元数据,注册和策略最多可使用 90 天,此时密钥可被清除。 请注意,一旦密钥不再可恢复并且已被清除,就无法再访问其关联数据。 因此,建议不要将 销毁资源 用于生产环境,除非绝对必要。
下表列出了在删除密钥后可以在其中查看,复原和清除密钥的时间范围。
| 从密钥删除开始的时间 | 密钥状态的名称 | 可以查看/访问密钥数据吗? | 可以复原吗? | 用户可以启动清除吗? |
|---|---|---|---|---|
| 1 秒-4 小时 | 已销毁 | 是 | 是 | 否 |
| 4 小时-30 天 | 已销毁 | 是 | 是 | 是 |
| 30-90 天 | 已销毁 | 是 | 否 | 是 |
| 90 天后 | 清除 * |
否 | 否 | 是 |
* 注: 由于已清除的密钥完全不可访问,并且在该词的常用用法中“已销毁”,因此在技术上没有“已清除”的密钥状态。 已清除的密钥不再存在,因此不具有“状态”。 但是,将“已清除”视为状态可能有用,因为不存在是密钥生命周期的一部分。
清除密钥后,任何使用已清除密钥的密钥ID的API调用都将导致 HTTP。 如果需要将与已清除的密钥 (密钥元数据,注册,策略等) 相关的任何数据保留很长一段时间,建议执行必要的 API 或 CLI 调用以在您自己的存储设备中检索和存储该数据。
删除和清除密钥之前的注意事项
Key Protect 阻止删除任何正在主动保护任何已注册云资源的密钥。 在删除密钥之前:
- 查看已注册的 "IBM Cloud资源 相关联。 如果需要,您可以 在保护已注册云资源的密钥上强制删除。 但是,如果由于 保留策略(在客户的相关云资源上设置了 "一次写入多次读取" (WORM) 策略集) 而导致密钥的关联资源不可擦除,那么此操作将不会成功。
- 通过检查密钥的 注册详细信息 的
preventKeyDeletion字段,验证密钥是否具有保留时间策略。 然后,您必须联系 IBM Cloud支持部门,删除与密钥相关联的每个资源上的保留策略,然后才能删除密钥。 - 验证密钥的删除授权策略。 缺省情况下,Key Protect 中的密钥只需要具有 管理者 角色的用户进行一次删除授权。但是,如果已设置 双重授权策略,具有 管理者 角色的两个用户将必须核准删除。
Key Protect 限制只有具有 KeyPurge 角色 的用户 4 小时后才能清除密钥,必须专门为用户设置此角色,因为缺省情况下未启用此角色,即使是实例所有者也是如此。 由于无法复原已清除的密钥,因此此功能受到限制。 如果有任何疑问,是否应该在删除密钥 4 小时后将其清除,请 不要将其清除。
API 示例
在使用此示例之前,请参阅与 API 参考 关联的先决条件和配置设置。
curl -X DELETE
https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/purge
-H 'accept: application/vnd.ibm.kms.key+json'
-H 'authorization: Bearer <IAM_token>'
-H 'bluemix-instance: <instance_ID>'
根据下表替换示例请求中的变量。
| 变量 | 描述 |
|---|---|
| 区域 | 需要。 地区缩写,如 us-south 或 eu-gb,表示 Key Protect 实例所在的地理区域。 有关更多信息,请参阅区域服务端点。 |
| keyID_or_alias | 需要。 要清除的密钥的唯一标识符或别名。 |
| IAM_token | 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。 更多信息,请参阅 检索访问令牌。 |
| instance_ID | 需要。 指定给您的 Key Protect 服务实例的唯一标识。 更多信息,请参阅 检索实例 ID。 |
有关请求的详细描述,请参阅 Key Protect REST API 参考文档。
下一步
要了解如何使用 UI 删除和清除密钥,请查看 使用单一授权删除密钥。 有关如何使用 API 执行此操作的信息,请单击主题开头的 API 选项卡。
要了解如何使用 UI 删除和清除保存双重授权删除策略的密钥,请查看 使用双重授权删除密钥。 有关如何使用 API 执行此操作的信息,请单击主题开头的 API 选项卡。