IBM Cloud Docs
常见问题解答 Key Protect

常见问题解答 Key Protect

您可以使用以下常见问题来帮助您 IBM® Key Protect。

Key Protect 如何定价?

Key Protect 具有基于值的定价模型,用于计算帐户中的 密钥版本 总数,无论密钥是创建还是导入,root 还是标准。 在此套餐中,前五个密钥版本免费,之后的价格为每月每个密钥版本 $1。 仅对未删除的密钥 (包括所有活动密钥和已禁用密钥) 进行计数以进行定价。 此价格模型通过管理密钥的所有版本来涵盖 Key Protect 提供的值,以便这些版本可用于解密较旧的密码文本。

如何从其他用户的数据中对一个用户的信息进行分区?

Key Protect 允许您具有一个或多个仅可供您访问的实例。 这些实例 (或帐户级别) 中的访问权可以由帐户所有者或该帐户的指定管理员控制,从而允许应用最少特权原则。 一种可能的方法是将密钥分组到“密钥环”中,允许帐户所有者将特定密钥组的访问权分配给特定用户组。 有关更多信息,请查看 使用密钥环将密钥分组在一起

如何保护实例密钥?

每个 Key Protect 实例都会获取由 HSM 主密钥打包的随机生成的“实例密钥-加密密钥”(IKEK),从而生成打包的实例密钥 (WIKEK)。 没有用户有权访问 WIKEK 或 IKEK,甚至 IBM 也无权访问 IKEK。 IBM没有对 WIKEK 的直接或显式访问权,并且使用主密钥对其进行加密。

激活的加密密钥是什么?

将加密密钥导入 Key Protect 时,或使用 Key Protect 从其 HSM 生成密钥时,这些密钥就会成为_活动_密钥。 定价取决于 IBM Cloud 帐户中所有已激活密钥的个数。

如何分组和管理密钥?

您可以使用 IBM® Key Protect for IBM Cloud®,通过将 Key Protect 服务实例中的密钥捆绑到称为“密钥环”的组中,为需要相同 IAM 访问许可权的用户的目标组创建一组密钥。 密钥环是服务实例中所有需要相同 IAM 访问许可权的密钥的集合。 例如,如果您有一组需要特定密钥组的特定类型访问权的团队成员,那么可以为这些密钥创建密钥环,并将相应的 IAM 访问策略分配给目标用户组。 分配有密钥环访问权的用户可以创建和管理密钥环中存在的资源。

要了解有关分组密钥的更多信息,请查看 使用密钥环将密钥一起分组

我正在尝试删除实例,但收到 409 错误。 如何删除实例?

此错误指示密钥仍在此实例中。 必须先删除实例中的每个密钥,然后才能删除该实例。

由于缺省情况下控制台中的 密钥 表仅显示 Enabled 密钥,因此请使用过滤器来显示处于所有状态的密钥。 这可以显示必须删除才能删除未显示在表中的实例的键。

删除所有密钥后,可以继续删除实例。

根密钥是什么?

根密钥是 Key Protect 中的主要资源。 它们是对称密钥包装密钥,用作信任根,以保护用 信封加密 存储在数据服务中的其他密钥。

通过 Key Protect,可以创建、存储和管理根密钥的生命周期,从而完全控制存储在云中的其他密钥。

创建根密钥后,用户和 IBM 都无法查看其密钥资料。

什么是数据加密密钥 (DEK)?

DEK 是 IBM Cloud Object Storage 服务之类的服务用于对存储在云对象存储器中的数据执行 IBM管理的 AES256 加密的密钥。 DEK 密钥是随机生成的,并通过其加密资源附近的云对象存储服务进行安全存储。 无论客户是否希望管理加密密钥,DEK 在所有情况下都用于缺省加密。 ICOS DEK 不由客户机管理,也不需要对其进行轮换。 对于客户机确实希望管理加密的情况,它们通过将 DEK 与存储在其 Key Protect 实例中的自己的“根密钥”合并来间接控制 DEK。 可以生成或导入根密钥,并由您在 Key Protect 实例中进行管理 (例如,通过旋转密钥)。

Key Protect 可以通过其 HSM 生成 DEK (打包密钥而不传递明文)。

包络加密是什么?

信封加密是用_数据加密密钥_对数据进行加密,然后用高度安全的密钥_封装密钥_对数据加密密钥进行加密的做法。 您的数据通过应用多层加密来进行静态保护。 要了解有关包络加密的更多信息,请查看 使用包络加密保护数据

密钥名称的长度可以为多少?

可以使用长度不超过 90 个字符的密钥名称。

是否可以将个人信息存储为密钥的元数据?

为保护个人数据的机密性,请不要将个人可标识信息 (PII) 存储为密钥的元数据。 个人信息包括您的姓名、地址、电话号码或电子邮件地址,或者包括可能识别、联系或查找到您、您的客户或其他任何人的其他信息。

对于存储为 Key Protect 资源和加密密钥的元数据的任何信息,您负责确保其安全性。

有关个人数据的更多示例,请参阅 NIST 特别出版物 800-122 的 2.2 部分。

在一个地区创建的加密密钥可以在另一个地区使用吗?

您的加密密钥可用于对位于 IBM Cloud中任何位置的数据存储器进行加密。

如何控制谁有权访问密钥?

Key Protect 支持由 IBM Cloud® Identity and Access Management管理的集中式访问控制系统,以帮助您管理用户和加密密钥的访问权,并允许最低特权原则。 如果您是服务的安全管理员,您可以分配 IBM Cloud IAM 角色,这些角色与您想要授予团队成员的特定 Key Protect 权限相对应

一种可能的方法是将密钥分组到“密钥环”中,允许帐户所有者将特定密钥组的访问权分配给特定用户组。 有关更多信息,请查看 使用密钥环将密钥分组在一起

“读者”角色与 ReaderPlus 角色之间有哪些差别?

“读者”和 ReaderPlus 角色都可帮助您分配对 Key Protect 资源的只读访问权。

  • 作为阅读器,您可以浏览密钥的高级视图,并执行封装和解封装操作。 读取者无法访问或修改密钥资料。
  • 作为阅读器的高级用户,您可以浏览密钥的高级视图,访问标准密钥的密钥材料,并执行封装和解封装操作。 ReaderPlus角色不能修改关键材料。

如何监视对 Key Protect 执行的 API 调用?

您可以使用 IBM Cloud Logs 服务跟踪用户和应用程序与 Key Protect 实例的交互情况。 例如,在 Key Protect 中创建、导入、删除或读取密钥时,将生成 IBM Cloud Logs 事件。 这些事件将自动转发至在供应 IBM Cloud Logs 服务的区域中的 Key Protect 服务。

要了解更多信息,请访问 IBM Cloud Logs.

如何检查由哪个根密钥加密的数据?

使用根密钥通过包络加密保护静态数据时,使用该密钥的云服务可以在密钥与其保护的资源之间创建注册。 注册是密钥与云资源之间的关联,可帮助您全面了解哪些加密密钥可保护 IBM Cloud上的哪些数据。

您可以使用 Key Protect API 浏览可用于密钥和云资源的注册

删除密钥时会发生什么?

如果不再需要或应该除去密钥,那么 Key Protect 允许您删除并最终清除密钥,此操作将对密钥材料进行 shreds,并使任何使用该密钥进行加密的数据都不可访问。

删除密钥会使其进入 已销毁 状态,这是一种“软”删除,在此删除中仍可以看到密钥并将其恢复 30 天。 90 天后,密钥将自动清除或“硬删除”,其关联数据将永久粉碎并从 Key Protect 服务中除去。 如果希望在 90 天之前清除密钥,那么还可以在密钥进入 已销毁 状态 4 小时后将其硬删除。

删除密钥后,任何由密钥加密的数据都将变为不可访问,但如果在 30 天时间范围内复原密钥,那么可以撤销此操作。 30 天后,密钥元数据,注册和策略最多可使用 90 天,此时密钥可被清除。 请注意,一旦密钥不再可恢复并且已被清除,就无法再访问其关联数据。 因此,建议不要将 销毁资源 用于生产环境,除非绝对必要。

如果我尝试删除正在主动加密数据的密钥,会发生什么?

为了保护您,Key Protect 会阻止删除正在对云中的数据进行主动加密的密钥。 如果尝试删除已向云资源注册的密钥,那么操作将不会成功。

如果需要,可以使用 Key Protect API 强制删除密钥查看由密钥加密的资源,并与资源所有者进行验证,以确保不再需要访问该数据。

如果由于关联资源上存在保留时间策略而无法删除密钥,请联系帐户所有者以除去该资源上的保留时间策略。

禁用密钥后会发生什么?

禁用某个按键时,该按键将转入“_暂停 _”状态。 处于此状态的密钥不再可用于加密或解密操作,并且与该密钥关联的任何数据都将变为不可访问。

禁用密钥是可逆操作。 您始终可以 启用已禁用的密钥,并复原对先前使用该密钥加密的数据的访问权。

什么是双重授权策略?

双重授权是一个两步流程,需要来自两个核准人的操作才能删除密钥。 通过强制两个实体授权删除密钥,可以最大程度地减少无意删除或恶意操作的可能性。

通过 Key Protect,您可以在实例级别或针对个别密钥 实施双重授权策略

启用双重授权策略后会发生什么?

对 Key Protect 实例启用双重授权策略后,添加到该实例的任何密钥都会在密钥级别继承该策略。 无法还原密钥的双重授权策略。

如果您在 Key Protect 实例中具有现有密钥,那么这些密钥将继续仅需要删除单个授权。 如果要启用这些密钥以进行双重授权,那么可以使用 Key Protect API 为这些单独的密钥设置双重授权策略

能否对 Key Protect 实例禁用双重授权设置?

需要。 如果需要将不需要双重授权的密钥添加到 Key Protect 实例,那么可以始终 对 Key Protect 实例禁用双重授权,以便任何新的或将来的密钥都不需要。

需要删除或撤销 Key Protect 实例时会发生什么情况?

如果您决定从 Key Protect 迁出,则必须先删除 Key Protect 实例中的任何剩余密钥,然后才能删除或撤销服务。 删除 Key Protect 实例后,Key Protect 将使用 包络加密 来加密与 Key Protect 实例相关联的任何数据。

为什么用户界面显示未经授权的访问?

仅通过应用程序编程接口 (API) 支持设置和检索网络访问策略。 将来将向用户界面 (UI),命令行界面 (CLI) 和软件开发包 (SDK) 添加网络访问策略支持。

将网络访问策略设置为 private-only 后,UI 无法用于任何 Key Protect 操作。

private-only 实例中的密钥不会显示在用户界面中,用户界面中的任何 Key Protect 操作都会返回未经授权的错误( HTTP 状态代码401)。