入门教程
IBM® Key Protect for IBM Cloud® 可帮助您为可从中心位置管理的许多 IBM Cloud 服务的应用程序供应或导入加密密钥。 本教程说明如何使用 Key Protect 仪表板来创建和导入现有密钥。 要了解有关使用 Key Protect管理和保护加密密钥的更多信息以及相关用例,请查看 关于密钥保护。
对于本教程中有关创建密钥或将密钥导入到 Key Protect的过程的版本,请查看 创建和导入加密密钥。
开始使用加密密钥
从 Key Protect 仪表板中,可以创建新密钥或导入现有密钥。
从两种密钥类型中进行选择:
-
根密钥: 用于通过在 Key Protect中完全管理的 包络加密 来保护其他密钥的对称密钥。
-
标准密钥: 通常用于直接加密和解密数据 (例如私钥和密码) 的对称密钥。
虽然本文档中的许多主题都显示了如何在控制台和 API 中完成任务,但对于 Key Protect API,还有单独的 API 存储库。 对于该文档,请查看 Key Protect API。
创建新密钥
创建 Key Protect 实例后,您就可以在服务中创建密钥了。 在此示例中,我们将创建根密钥。
-
进入菜单 > 资源列表,查看您的资源列表。
-
从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。
-
要创建新密钥,请单击 添加。 这将打开侧面板。 确保选择 创建密钥 选项。
指定密钥的详细信息:
| 设置 | 描述 |
|---|---|
| Type | 您希望在 Key Protect 中管理的 钥匙类型。 缺省情况下选择根密钥。 |
| 密钥名称 | 可读的显示名称,便于识别您的钥匙。 长度必须在 2 到 90 个字符之间 (包括在内)。 为保护隐私,请确保密钥名称不包含个人可标识信息 (PII),例如,姓名或位置。 请注意,密钥名称不需要唯一。 |
| 密钥描述 | 可选。 描述是一种有用的方法,用于以无法使用别名或其名称的方式添加有关密钥的信息 (例如,描述其用途的短语)。 此描述必须至少为两个字符且不超过 240 个字符,并且以后不能更改。 为了保护您的隐私,请不要使用您的姓名或位置等个人数据作为钥匙的描述。 |
| 密钥别名 | 可选。 密钥别名 是描述密钥的方法,该密钥允许在显示名称限制之外对其进行标识和分组。 密钥最多可以有五个别名。 |
| 密钥环 | 可选。 密钥环 是允许根据需要独立管理这些分组的密钥分组。 每个密钥都必须是密钥环的一部分。 如果未选择密钥环,那么密钥将放在 default 密钥环中。 请注意,要将您正在创建的密钥放在密钥环中,您必须具有该密钥环上的 管理者 角色。 有关角色的更多信息,请查看
管理用户访问权。 |
| 轮换策略 | 可选。 如果您持有 管理者 角色,那么可以在密钥创建时为密钥设置轮换策略。 如果缺省情况下存在用于在密钥上创建轮换策略的 实例策略,那么还可以在创建密钥时将该策略覆盖到其他时间间隔。 注: 如果您未在此实例上拥有 管理者 角色 (或同等级别的许可权),那么此字段不可见。 |
填写完密钥详细信息后,单击创建密钥以进行确认。
服务中创建的密钥是 AES-CBC-PAD 算法支持的 256 位对称密钥。 为了提高安全性,密钥通过位于安全 IBM Cloud 数据中心且通过 FIPS 140-2 Level 3 认证的硬件安全模块 (HSM) 生成。
有关创建根密钥的更多信息,请查看 创建根密钥。
有关创建标准密钥的更多信息,请查看 创建标准密钥。
导入自己的密钥
您可以通过将现有车钥匙导入服务来启用自带钥匙(BYOK)的安全功能。 在此示例中,我们将导入根密钥。
要添加现有密钥,请完成以下步骤。
-
进入菜单 > 资源列表,查看您的资源列表。
-
从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。
-
要导入钥匙,请点击“添加”,然后选择 “导入您自己的钥匙”窗口。
指定密钥的详细信息:
| 设置 | 描述 |
|---|---|
| 密钥类型 | 您希望在 Key Protect 中管理的 钥匙类型。 选择 “根键” 按钮。 |
| 名称 | 一个便于识别钥匙的人类可读别名。 长度必须在 2 到 90 个字符之间 (包括在内)。 为保护隐私,请确保密钥名称不包含个人可标识信息 (PII),例如,姓名或位置。 请注意,密钥名称不需要唯一。 |
| 密钥资料 | base64-encoded 钥匙材料,例如现有的钥匙包,您希望在服务中存储和管理。 有关更多信息,请查看 Base64 编码密钥资料。 确保密钥资料的长度为 16,24 或 32 字节,并且对应于 128,192 或 256 位长度。 该密钥还必须是 base64-encoded。 |
| 密钥描述 | 可选。 描述是一种有用的方法,用于以无法使用别名或其名称的方式添加有关密钥的信息 (例如,描述其用途的短语)。 此描述必须至少为两个字符且不超过 240 个字符,并且以后不能更改。 为了保护您的隐私,请不要使用您的姓名或位置等个人数据作为钥匙的描述。 |
| 密钥别名 | 可选。 密钥别名 是描述密钥的方法,该密钥允许在显示名称限制之外对其进行标识和分组。 密钥最多可以有五个别名。 |
| 密钥环 | 可选。 密钥环 是允许根据需要独立管理这些分组的密钥分组。 每个密钥都必须是密钥环的一部分。 如果未选择密钥环,那么密钥将放在 default 密钥环中。 请注意,要将您正在创建的密钥放在密钥环中,您必须具有该密钥环上的 管理者 角色。 有关角色的更多信息,请查看
管理用户访问权。 |
在导入密钥时,无法将轮换策略应用于密钥。 导入的密钥必须 手动旋转。
填写完密钥详细信息后,单击导入密钥以进行确认。
在 Key Protect 仪表板中,可以检查新密钥的常规特征。
在将密钥导入到 Key Protect之前,可以通过加密密钥材料,以编程方式启用额外的保护层来自带密钥 (BYOK)。
有关导入根密钥的更多信息,请查看 导入根密钥。
有关导入标准密钥的更多信息,请查看 导入标准密钥。
使用 Key Protect
-
如果向服务添加了根密钥,请通过检出 打包密钥 来了解有关使用根密钥保护静态数据加密密钥的更多信息。
-
如需了解有关将 Key Protect 服务与其他云数据解决方案集成的更多信息,请查看 集成文档。
-
如需了解有关钥匙编程管理的更多信息,请查看 Key Protect API参考文档。
使用 Key Protect 的最佳实践
虽然使用 Key Protect 的最佳方法最终取决于用例的需求,但要记住一些特定于 Key Protect的最佳实践。 这些建议是对使用任何IBM Cloud或IBM Cloud Object Storage服务时应遵守的一般最佳实践的补充。
使用安全备份
如果将根密钥导入到 Key Protect中,那么建议您维护密钥资料的安全备份。 此密钥资料将允许您在例如意外删除密钥的情况下生成等效密钥。 删除的密钥可以在被删除的 30 天内 复原,但如果已过去 30 天,您可以使用存储的密钥资料来创建功能相同的密钥 (例如,它将能够解包由删除的根密钥创建的数据加密密钥)。 您将需要更新应用程序,以使用为此功能完全相同的密钥提供的唯一密钥标识,并更改端点 (如果在其他区域中创建了新密钥)。
由于在密钥创建期间使用相同材料的任何密钥在功能上等效,因此建议您确保备份的密钥材料安全。
同样,您还可以使用密钥资料在不同于原始密钥的 Key Protect 区域中创建重复密钥,从而安全地备份根密钥。
每次旋转根密钥时,都会向密钥添加新的密钥材料,这将创建新版本的密钥。 因此,您的等效键 (使用相同键材料创建的重复键) 应与新材料保持同步。
使用具有重复密钥的密钥别名
由于使用相同材料创建的密钥在功能上完全相同 (即,两者都可用于合并和解包相同数据),因此用户可以选择在不同区域中创建这些密钥,并在数据中心暂时不可用时将其用作备份。 虽然这些重复项将具有不同的密钥标识,但可以为它们提供相同的 密钥别名。 此别名可以将功能相同的密钥组织在一起,从而使更新应用程序以指向这些备份密钥更容易。
使用密钥环
密钥环 是一种为需要相同 IAM 访问许可权的用户的目标组创建密钥组的方法。 这允许帐户管理员为管理他们的用户轻松定制他们拥有的密钥,因此,与手动更新每个密钥和用户的许可权相比,不太容易发生错误。
旋转密钥
您应该定期 轮换根密钥 (即,创建新版本的密钥)。 定期轮换减少了被称为密钥的 "cryptoperiod",也可用于人员更替,流程故障或检测安全问题等特定情况下。
可以手动旋转根密钥,如果密钥是使用 Key Protect创建的,那么可以根据密钥所有者设置的调度进行旋转。 您选择的 选项 取决于您的首选项和用例的需求。
有关旋转密钥的更多信息,请查看 将加密密钥引入云。
创建您自己的密钥资料
虽然 Base64-encode 密钥资料 相对简单,但在创建自己的密钥资料时遵循 NIST 准则 很重要。 未正确创建的密钥资料会使您的密钥更容易受到攻击。 除非您对自己创建相应的密钥资料充满信心,否则最佳实践是让 Key Protect 在密钥创建过程中为您创建密钥资料,这将遵循最新的 NIST 准则。
由于此密钥资料可用于 创建功能重复的密钥,因此无论您是自己创建了密钥资料还是导出了 Key Protect 创建的密钥,请确保此密钥资料安全。