IBM Cloud Docs
关于删除和清除密钥

关于删除和清除密钥

如果您是 Key Protect 实例的管理者,那么可以使用 IBM® Key Protect for IBM Cloud® 来删除加密密钥及其密钥资料。

必须先删除实例中的每个密钥,然后才能删除该实例。 但是,如果关闭帐户,那么将自动硬删除任何现有实例和密钥。 请查看 帐户取消和数据删除 以获取更多信息。

如果不再需要或应该除去密钥,那么 Key Protect 允许您删除并最终清除密钥,此操作将对密钥资料进行 shreds,并使使用该密钥进行加密的任何数据都不可访问。

删除密钥会使其进入 已销毁 状态,这是一种“软”删除,在此删除中仍可以看到密钥并将其恢复 30 天。 90 天后,密钥将自动清除或“硬删除”,其关联数据将永久粉碎并从 Key Protect 服务中除去。 如果希望在 90 天之前清除密钥,那么还可以在密钥进入 已销毁 状态 4 小时后将其硬删除。

删除密钥后,任何由密钥加密的数据都将变为不可访问,但如果在 30 天时间范围内复原密钥,那么可以撤销此操作。 30 天后,密钥元数据,注册和策略最多可使用 90 天,此时密钥可被清除。 请注意,一旦密钥不再可恢复并且已被清除,就无法再访问其关联数据。 因此,建议不要将 销毁资源 用于生产环境,除非绝对必要。

下表列出了在删除密钥后可以在其中查看,复原和清除密钥的时间范围。

列出用户在删除密钥后的特定时间间隔内与密钥交互的方式
从密钥删除开始的时间 密钥状态的名称 可以查看/访问密钥数据吗? 可以复原吗? 用户可以启动清除吗?
1 秒-4 小时 已销毁
4 小时-30 天 已销毁
30-90 天 已销毁
90 天后 清除 *

* 注: 由于已清除的密钥完全不可访问,并且在该词的常用用法中“已销毁”,因此在技术上没有“已清除”的密钥状态。 已清除的密钥不再存在,因此不具有“状态”。 但是,将“已清除”视为状态可能有用,因为不存在是密钥生命周期的一部分。

清除密钥后,任何使用已清除密钥的密钥ID的API调用都将导致 HTTP。 如果需要将与已清除的密钥 (密钥元数据,注册,策略等) 相关的任何数据保留很长一段时间,建议执行必要的 API 或 CLI 调用以在您自己的存储设备中检索和存储该数据。

删除和清除密钥之前的注意事项

Key Protect 阻止删除任何正在主动保护任何已注册云资源的密钥。 在删除密钥之前:

  1. 查看已注册的 "IBM Cloud资源 相关联。 如果需要,您可以 在保护已注册云资源的密钥上强制删除。 但是,如果由于 保留策略(在客户的相关云资源上设置了 "一次写入多次读取" (WORM) 策略集) 而导致密钥的关联资源不可擦除,那么此操作将不会成功。
  2. 通过检查密钥的 注册详细信息preventKeyDeletion 字段,验证密钥是否具有保留时间策略。 然后,您必须联系 IBM Cloud支持部门,删除与密钥相关联的每个资源上的保留策略,然后才能删除密钥。
  3. 验证密钥的删除授权策略。 缺省情况下,Key Protect 中的密钥只需要具有 管理者 角色的用户进行一次删除授权。但是,如果已设置 双重授权策略,具有 管理者 角色的两个用户将必须核准删除。

Key Protect 限制只有具有 KeyPurge 角色 的用户 4 小时后才能清除密钥,必须专门为用户设置此角色,因为缺省情况下未启用此角色,即使是实例所有者也是如此。 由于无法复原已清除的密钥,因此此功能受到限制。 如果有任何疑问,是否应该在删除密钥 4 小时后将其清除,请 不要将其清除

API 示例

在使用此示例之前,请参阅与 API 参考 关联的先决条件和配置设置。

curl -X DELETE
    https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/purge
    -H 'accept: application/vnd.ibm.kms.key+json'
    -H 'authorization: Bearer <IAM_token>'
    -H 'bluemix-instance: <instance_ID>'

根据下表替换示例请求中的变量。

描述了使用Key ProtectAPI 清除密钥所需的变量。API 所需的变量。
变量 描述
区域 需要。 地区缩写,如 us-south 或 eu-gb,表示 Key Protect 实例所在的地理区域。 有关更多信息,请参阅区域服务端点
keyID_or_alias 需要。 要清除的密钥的唯一标识符或别名。
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。 更多信息,请参阅 检索访问令牌
instance_ID 需要。 指定给您的 Key Protect 服务实例的唯一标识。 更多信息,请参阅 检索实例 ID

有关请求的详细描述,请参阅 Key Protect REST API 参考文档

下一步

要了解如何使用 UI 删除和清除密钥,请查看 使用单一授权删除密钥。 有关如何使用 API 执行此操作的信息,请单击主题开头的 API 选项卡。

要了解如何使用 UI 删除和清除保存双重授权删除策略的密钥,请查看 使用双重授权删除密钥。 有关如何使用 API 执行此操作的信息,请单击主题开头的 API 选项卡。