IBM Cloud Docs
使用双重授权策略删除密钥

使用双重授权策略删除密钥

设置IBM® Key Protect服务实例后,可以设置双重授权策略,以确保密钥不会被恶意或意外删除,方法是删除带有该策略的密钥需要两名管理员的批准。 本指南介绍了控制台和应用程序接口的使用说明。 有关 CLI 的说明,请查看 Key Protect CLI reference

管理双重授权设置

双重授权策略(也称为 "双重 auth "策略)可在实例级别设置,并自动应用于随后创建的任何密钥或特定密钥。 无论使用什么方法生成密钥策略,删除密钥都需要两名管理员的授权。

设置双重验证政策的注意事项

  • 为Key Protect实例启用双重授权后,该策略将适用于所有后续密钥。 在实例级别启用双重授权后,添加到实例中的任何新密钥都会自动继承双重授权策略。 当拥有实例_管理器_权限的用户希望设置一个适用于随后创建的所有密钥的策略时,无论密钥是由哪个用户创建的,这种方法都很有用。 由于实例级策略只能由具有_管理器_级权限(或专门定制的角色,包括设置双重验证策略的能力)的用户更改,因此_管理器_可以确保随后创建的任何密钥都具有该策略。 请注意,您现有的密钥不受策略更改的影响,仍需要单次授权才能删除。

  • 您可以随时禁用Key Protect实例的双重授权策略。 如果要 禁用现有的双重授权策略 以允许单一授权,请记住,该更改仅适用于将来添加到实例中的密钥。 在双重授权策略下创建的任何现有密钥在删除前仍需要两个用户进行操作。 密钥继承双重授权策略后,就不能再恢复该策略。

  • 双重验证策略一旦应用到密钥,就不能更改。 虽然可以在实例上启用或禁用双重验证策略,但不能禁用密钥上的双重验证策略。 密钥会保留策略,直到删除为止。

  • 您只能使用 API 对特定密钥应用双重验证策略。 无法在控制台中为单个密钥设置双重验证策略。 您必须使用 CLI 或 API。 同样,在控制台中也看不到密钥是否具有双重验证策略。

  • 除非有第二个账户管理员,否则不要设置双重认证。 否则无法删除密钥 根据定义,双重认证策略要求两个用户删除一个持有策略的密钥。 因此,最佳做法是在实例或密钥上建立策略之前,确保有第二个用户。

  • 要使用双重授权策略,必须为实例或密钥指定_管理器_访问策略。 要了解 IAM 角色如何映射到Key Protect服务操作,请查看 服务访问角色

有关删除双认证密钥的信息,请查看 删除密钥

通过控制台为Key Protect实例启用双重授权

如果希望通过图形界面在实例上禁用双重授权策略,可以使用控制台。

创建Key Protect实例后、 完成以下步骤创建双重授权策略:

  1. 登录IBM Cloud控制台

  2. 转到菜单 > 资源列表以查看您的资源列表。

  3. 从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。

  4. 单击页面左侧的“实例策略”链接。

    • 找到 Dual authorization delete 面板(在页面左上方 页面左上角)。

    • 切换 Dual authorization deletion 以启用或禁用策略。

    • 点击 SaveCancel(任选其一)。

使用 API 为您的Key Protect实例启用双重授权

作为实例管理器,通过 PUT 调用以下端点,为Key Protect实例启用双重授权策略。

https://<region>.kms.cloud.ibm.com/api/v2/instance/policies?policy=dualAuthDelete
  1. 读取您的身份验证凭据,以便使用 API

    要启用或禁用双重授权策略,必须为Key Protect实例分配一个_管理器_访问策略。 要了解 IAM 角色如何映射到Key Protect服务操作,请查看 服务访问角色

  2. 运行以下 curl 命令,为Key Protect实例启用双重授权策略。

    $ curl -X PUT \
        "https://<region>.kms.cloud.ibm.com/api/v2/instance/policies?policy=dualAuthDelete" \
        -H "accept: application/vnd.ibm.kms.policy+json" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>" \
        -H "x-kms-key-ring: <key_ring_ID>" \
        -H "content-type: application/vnd.ibm.kms.policy+json" \
        -d '{
                "metadata": {
                    "collectionType": "application/vnd.ibm.kms.policy+json",
                    "collectionTotal": 1
                },
                "resources": [
                    {
                        "policy_type": "dualAuthDelete",
                        "policy_data": {
                            "enabled": true
                        }
                    }
                ]
            }'
    

    根据下表替换示例请求中的变量。

描述了在实例级别启用双重授权所需的变量。
变量 描述
区域 需要。 区域缩写,如 us-southeu-gb,表示 Key Protect 实例所在的地理区域。

更多信息,请参阅 区域服务端点
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。

更多信息,请参阅 检索访问令牌
instance_ID 需要。 分配给 Key Protect 服务实例的唯一标识符。

更多信息,请参阅 检索实例 ID
键环 ID 可选。 钥匙所属钥匙圈的唯一标识符
如果未指定,Key Protect将在与指定实例关联的每个钥匙圈中搜索钥匙。 建议指定钥匙圈 ID,以优化请求

注意:创建时没有 x-kms-key-ring 标头的密钥环 ID 为:默认。

For more information, see 分组键.

成功的请求将返回 HTTP204 No Content 响应,表明您的 Key Protect 实例现在已启用双重授权。 您创建或导入到服务中的密钥现在需要两次授权才能删除。 有关更多信息,请参阅 删除按键

可选:验证双重验证策略的启用

您可以通过发出列表策略请求来验证双认证策略密钥是否已启用:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/instance/policies?policy=dualAuthDelete" \
    -H "accept: application/vnd.ibm.kms.policy+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

其中 <instance_ID> 是您的实例名称,您的 <IAM_token> 是您的 IAM 令牌。

通过控制台禁用Key Protect实例的双重授权

如果希望通过图形界面在实例上禁用双重授权策略,可以使用控制台。

创建Key Protect实例后,请完成以下步骤以创建双重授权策略:

  1. 登录IBM Cloud控制台

  2. 转到菜单 > 资源列表以查看您的资源列表。

  3. 从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。

  4. 在“实例策略”页面,使用“策略”表浏览Key Protect实例中的策略。

  5. 单击 ⋯ 图标,打开要禁用的策略的选项列表。

  6. 从选项菜单中单击禁用策略,并在更新的策略表中确认策略已禁用。

使用 API 禁用Key Protect实例的双重授权

作为实例管理器,您可以通过 PUT 调用以下端点,禁用Key Protect实例的现有双重授权策略。

https://<region>.kms.cloud.ibm.com/api/v2/instance/policies?policy=dualAuthDelete
  1. 读取您的身份验证凭据,以便使用 API

    要启用或禁用双重授权策略,必须为Key Protect实例分配一个_管理器_访问策略。 要了解 IAM 角色如何映射到Key Protect服务操作,请查看 服务访问角色

  2. 运行以下 curl 命令,禁用Key Protect实例的现有双重授权策略。

    $ curl -X PUT \
        "https://<region>.kms.cloud.ibm.com/api/v2/instance/policies?policy=dualAuthDelete" \
        -H "accept: application/vnd.ibm.kms.policy+json" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>" \
        -H "x-kms-key-ring: <key_ring_ID>" \
        -H "content-type: application/vnd.ibm.kms.policy+json" \
        -d '{
                "metadata": {
                    "collectionType": "application/vnd.ibm.kms.policy+json",
                    "collectionTotal": 1
                },
                "resources": [
                    {
                        "type": "application/vnd.ibm.kms.policy+json",
                        "dualAuthDelete": {
                            "enabled": false
                        }
                    }
                ]
            }'
    

    根据下表替换示例请求中的变量。

描述了在实例级别启用双重授权所需的变量。
变量 描述
区域 需要。 区域缩写,如 us-southeu-gb,表示 Key Protect 实例所在的地理区域。

更多信息,请参阅 区域服务端点
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。

更多信息,请参阅 检索访问令牌
instance_ID 需要。 分配给 Key Protect 服务实例的唯一标识符。

更多信息,请参阅 检索实例 ID
键环 ID 可选。 钥匙所属钥匙圈的唯一标识符。
如果未指定,Key Protect 将在与指定实例关联的每个钥匙圈中搜索钥匙。 建议指定钥匙圈 ID,以优化请求

注意:创建时没有 x-kms-key-ring 标头的密钥环 ID 为:默认。

For more information, see 分组键.

成功的请求将返回 HTTP204 No Content 响应,这表明您的服务实例的双重授权策略已更新。 您创建或导入到服务中的密钥现在只需要一次授权就可以删除。 有关更多信息,请参阅 删除按键

可选:验证是否禁用双重验证策略

您可以通过发出列表策略请求来验证双认证策略密钥是否已被禁用:

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/instance/policies?policy=dualAuthDelete" \
    -H "accept: application/vnd.ibm.kms.policy+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

其中 <instance_ID> 是您的实例名称,您的 <IAM_token> 是您的 IAM 令牌。

在特定密钥上设置双重授权策略

您还可以使用IBM® Key Protect for IBM Cloud®为单个密钥设置双重授权策略。 并不是说只能通过 API 或 CLI 来实现这一操作。

在密钥级别启用双重授权后,就不能再更改与密钥关联的策略,以允许单一授权删除密钥。

查看密钥的双重授权策略

要查看高级视图,可以通过 GET 调用以下端点来检索单个密钥的双重授权策略。

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/policies?policy=dualAuthDelete
  1. 检索您的身份验证凭据,以便在服务中使用密钥

    要使用双重授权策略,必须为实例或密钥指定_管理器_访问策略。 要了解 IAM 角色如何映射到Key Protect服务操作,请查看 服务访问角色

  2. 运行以下 curl 命令,检索指定密钥的双重授权策略。

    $ curl -X GET \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/policies?policy=dualAuthDelete" \
        -H "accept: application/vnd.ibm.kms.policy+json" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>"
    

    根据下表替换示例请求中的变量。

描述了使用Key ProtectAPI 查看密钥的双重授权策略所需的变量。API 查看密钥的双重授权策略所需的变量。
变量 描述
keyID_or_alias 需要。 具有现有轮换策略的密钥的唯一标识符或别名。
区域 需要。 区域缩写,如 us-southeu-gb,表示 Key Protect 实例所在的地理区域。

更多信息,请参阅 区域服务端点
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载值。

更多信息,请参阅 检索访问令牌
instance_ID 需要。 分配给 Key Protect 服务实例的唯一标识符。

更多信息,请参阅 检索实例 ID

请求成功后,将返回与密钥相关的双重授权策略详细信息。 下面的 JSON 对象显示了对已有双重授权策略的密钥的响应示例。

{
    "metadata": {
        "collectionTotal": 1,
        "collectionType": "application/vnd.ibm.kms.policy+json"
    },
    "resources": [
        {
            "id": "02fd6835-6001-4482-a892-13bd2085f75d",
            "crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
            "dualAuthDelete": {
                "enabled": true
            },
            "createdBy": "...",
            "creationDate": "2020-03-10T20:41:27Z",
            "updatedBy": "...",
            "lastUpdateDate": "2020-03-16T20:41:27Z"
        }
    ]
}

对于没有现有双重授权策略的密钥,下面的 JSON 显示了一个响应示例。

{
    "metadata": {
        "collectionTotal": 0,
        "collectionType": "application/vnd.ibm.kms.policy+json"
    }
}

为密钥创建双重验证策略

还可以使用 API 在密钥上设置双重认证策略。 通过 PUT 调用以下端点,为单键创建双重授权策略。

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/policies?policy=dualAuthDelete

为单个密钥启用双重授权策略后,该策略将无法恢复。

  1. 检索您的身份验证凭据,以便在服务中使用密钥

    要使用双重授权策略,必须为实例或密钥指定_管理器_访问策略。 要了解 IAM 角色如何映射到Key Protect服务操作,请查看 服务访问角色

  2. 运行以下 curl 命令,为指定密钥启用双重授权。

    $ curl -X PUT \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/policies?policy=dualAuthDelete" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>" \
        -H "content-type: application/vnd.ibm.kms.policy+json" \
        -d '{
                "metadata": {
                    "collectionType": "application/vnd.ibm.kms.policy+json",
                    "collectionTotal": 1
                },
                "resources": [
                    {
                        "type": "application/vnd.ibm.kms.policy+json",
                        "dualAuthDelete": {
                            "enabled": true
                        }
                    }
                ]
            }'
    

    根据下表替换示例请求中的变量。

描述了使用Key ProtectAPI 更新双重授权策略所需的变量。API 更新双重授权策略所需的变量。
变量 描述
keyID_or_alias 需要。 要为其创建双重授权策略的密钥的唯一标识符或别名。
区域 需要。 区域缩写,如 us-southeu-gb,表示 Key Protect 实例所在的地理区域。

更多信息,请参阅 区域服务端点
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。

更多信息,请参阅 检索访问令牌
instance_ID 需要。 分配给 Key Protect 服务实例的唯一标识符。

更多信息,请参阅 检索实例 ID

请求成功后会返回 200 OK 响应,其中包含密钥的双重授权策略详细信息。 下面的 JSON 对象显示了一个响应示例。

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.policy+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
            "crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:30372f20-d9f1-40b3-b486-a709e1932c9c:key:2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
            "dualAuthDelete": {
                "enabled": true
            },
            "createdBy": "...",
            "creationDate": "2020-03-10T20:41:27Z",
            "updatedBy": "...",
            "lastUpdateDate": "2020-03-16T20:41:27Z"
        }
    ]
}

现在,删除密钥需要两个用户的授权。

删除具有双重验证策略的密钥

可以使用控制台、API 或 CLI 删除具有双重验证策略的密钥。 无论双重授权政策的原因是什么,删除的方法都是一样的。 其中一个有权删除密钥的用户会安排删除密钥,但必须由另一个用户确认。

您可以使用IBM® Key Protect for IBM Cloud®通过双重授权流程安全删除加密密钥。

删除密钥前,请务必查看 删除和清除密钥前的注意事项

删除持有双重验证策略的密钥的注意事项

在使用双重授权删除密钥之前:

  • 确定谁可以授权删除Key Protect资源。 要使用双重授权,必须确定一个用户可以设置删除密钥,另一个用户可以删除密钥。 具有_Writer_或_Manager_角色的用户可以设置要删除的密钥,但只有具有_Manager_角色的用户才能删除密钥。

  • 计划在七天授权期内删除密钥。 当第一个用户授权删除密钥时,该密钥会在 活跃 state 中保留七天,在此期间允许对该密钥进行所有密钥操作。 要完成删除,另一个具有_管理员_角色的用户可以使用Key ProtectGUI 或 API图形用户界面或应用程序接口在这七天内的任何时间删除密钥,此时密钥将转入“已销毁”状态。 请注意,由于无法清除活动密钥,因此必须先由其他用户删除该密钥,才能清除活动密钥。

  • 密钥及其相关数据在删除 90 天后将无法访问。 删除密钥时,密钥会被“软删除”,这意味着密钥及其相关数据在删除后 30 天内仍可恢复。 您仍然可以检索长达 90 天的相关数据,如密钥元数据、注册和策略。 90 天后,密钥将被自动 清除 或硬删除,其相关数据也将从Key Protect服务中永久删除。

在控制台授权删除密钥

为实例或密钥启用双重授权后,可使用Key Protect提供删除密钥的首次授权。IBM Cloud控制台。

  1. 登录IBM Cloud控制台

  2. 转到菜单 > 资源列表以查看您的资源列表。

  3. 从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。

  4. 在应用程序详细信息页面中,使用密钥表来浏览服务中的密钥。

  5. 单击 ⋯ 图标以打开要删除的密钥的选项列表。

  6. 从选项菜单中,单击计划删除密钥并查看密钥的 相关资源。

  7. 单击 Next 按钮,输入密钥名称,然后单击 Schedule deletion

  8. 联系其他用户完成密钥删除。

其他用户必须拥有实例或密钥的_管理器_访问策略,才能授权删除密钥。

清除控制台中持有双重授权的密钥

在另一个使用_管理器_访问策略的用户授权删除密钥四小时后,只要其中一个用户持有 _KeyPurge_属性,就可以清除该密钥。

单击 ⋯ 图标打开要清除的密钥的选项列表,然后单击“清除” 即可。 如果无法删除密钥,请确保在其他用户授权删除密钥后至少已过了四个小时,并且您持有_KeyPurge_属性。

使用应用程序接口授权删除密钥

为实例或密钥启用双重授权后,可通过向以下端点调用 POST 来提供删除密钥的首次授权。

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/setKeyForDeletion
  1. 检索您的身份验证凭据,以便在服务中使用密钥

    要设置删除密钥,必须为实例或密钥指定_经理_或_作家_访问策略。 要了解 IAM 角色如何映射到Key Protect服务操作,请查看 服务访问角色

  2. 复制要设置或授权删除的密钥 ID。

  3. 提供删除密钥的首次授权。

    $ curl -X POST \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/setKeyForDeletion" \
        -H "accept: application/vnd.ibm.kms.key_action+json" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>" \
        -H "content-type: application/vnd.ibm.kms.key_action+json"
    

    根据下表替换示例请求中的变量。

描述了设置删除密钥所需的变量。
变量 描述
区域 需要。 区域缩写,如 us-southeu-gb,表示 Key Protect 实例所在的地理区域。

更多信息,请参阅 区域服务端点
键名或别名 需要。 要旋转的根密钥的唯一标识符或别名。
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。

更多信息,请参阅 检索访问令牌
instance_ID 需要。 指定给您的 Key Protect 服务实例的唯一标识。
更多信息,请参阅 检索实例 ID

请求成功时,系统会返回 HTTP 204 No Content 响应,表明您的密钥已被授权删除。 现在,拥有 “经理” 访问权限的另一个用户可以使用 Key Protect或API 删除密钥

如果需要防止删除已授权删除的密钥,可以通过调用 POST /api/v2/keys/<keyID_or_alias>/actions/unsetKeyForDeletion 来删除现有授权。

删除密钥

设置删除密钥后,另一个使用_管理器_访问策略的用户可以使用Key Protect安全地删除该密钥。GUI 或 API 安全删除密钥。

Key Protect会设置一个为期七天的授权期,从您提供第一次授权删除密钥后开始计算。 在这七天期间,钥匙仍在 活跃 state 中,允许对钥匙进行所有操作。 如果其他用户未采取任何行动,且七天期限已过,则必须重新启动双重授权程序才能删除密钥。

通过调用 DELETE 删除一个键及其内容。

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>
  1. 检索您的身份验证凭据,以便在服务中使用密钥

  2. 检索要删除的密钥的标识。

    您可以通过 GET /v2/keys 请求或在 Key Protect 面板中查看密钥来获取指定密钥的 ID。

  3. 运行以下 curl 命令删除密钥及其内容。

    $ curl -X DELETE \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>" \
        -H "prefer: <return_preference>"
    

    根据下表替换示例请求中的变量。

描述删除按键所需的变量。
变量 描述
区域 需要。 区域缩写,如 us-southeu-gb,表示 Key Protect 实例所在的地理区域。

更多信息,请参阅 区域服务端点
键名或别名 需要。 要删除的密钥的唯一标识符或别名。
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。

更多信息,请参阅 检索访问令牌
instance_ID 需要。 分配给 Key Protect 服务实例的唯一标识符。

更多信息,请参阅 检索实例 ID
返回首选项 可选。 改变 POST 和 DELETE 操作服务器行为的标头。

如果将 return_preference 变量设置为 return=minimal,服务就会返回一个成功的删除响应。 将变量设置为 return=representation 时,服务会同时返回密钥材料和密钥元数据。

如果 return_preference 变量设置为 return=representation,则 DELETE 请求的详细信息将在响应实体正文中返回。

删除按键后,该按键将转入 Deactivated 键状态。 24 小时后,如果密钥没有恢复,密钥将转入 Destroyed 状态。 被销毁的密钥最长可在 30 天后或过期日期(以较早者为准)恢复。 之后,密钥内容将被永久删除,再也无法访问。

以下 JSON 对象显示返回值示例。

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
          "type": "application/vnd.ibm.kms.key+json",
          "id": "02fd6835-6001-4482-a892-13bd2085f75d",
          "name": "test-root-key",
          "aliases": [
                "alias-1",
                "alias-2"
              ],
          "state": 5,
          "extractable": false,
          "crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
          "imported": false,
          "creationDate": "2020-03-10T20:41:27Z",
          "createdBy": "...",
          "algorithmType": "Deprecated",
          "algorithmMetadata": {
              "bitLength": "256",
              "mode": "Deprecated"
          },
          "algorithmBitSize": 256,
          "algorithmMode": "Deprecated",
          "lastUpdateDate": "2020-03-16T20:41:27Z",
          "dualAuthDelete": {
              "enabled": false
          },
          "deleted": true,
          "deletionDate": "2020-03-16T21:46:53Z",
          "deletedBy": "..."
        }
    ]
}

有关可用参数的详细说明,请参阅 Key Protect REST API 参考文档

密钥清除

删除密钥时,会立即停用其密钥材料,并将其移动到Key Protect服务的后备库中。 在删除密钥四小时后,该密钥可被手动清除。 密钥删除 30 天后,密钥将不可恢复,密钥材料也将销毁。 在密钥被删除 90 天后,如果没有手动清除,该密钥将符合自动清除条件,其所有相关数据将从Key Protect服务中永久删除,即“硬删除”。

有关删除和清除密钥的更多信息,请查看 关于删除和清除密钥

下表列出了可以使用哪些 API 来检索与已删除密钥相关的数据。

列出用户可用于查看密钥及其注册详细信息的 API。
API 描述
获取密钥 检索关键信息
获取钥匙元数据 检索关键元数据
获取注册信息 读取与密钥相关的注册列表

删除现有授权

如果需要在七天授权期到期前取消对某个密钥的授权,可以通过向以下终端拨打 POST 取消现有授权。

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/unsetKeyForDeletion
  1. 检索您的身份验证凭据,以便在服务中使用密钥

    要移除删除密钥的授权,必须为实例或密钥指定_管理器_或_编写者_访问策略。 要了解 IAM 角色如何映射到Key Protect服务操作,请查看 服务访问角色

  2. 复制要取消设置或删除授权的密钥 ID。

  3. 删除现有授权以删除密钥。

    $ curl -X POST \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/unsetKeyForDeletion" \
        -H "accept: application/vnd.ibm.kms.key_action+json" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>" \
        -H "content-type: application/vnd.ibm.kms.key_action+json"
    

    根据下表替换示例请求中的变量。

描述了取消设置删除密钥所需的变量。
变量 描述
区域 需要。 区域缩写,如 us-southeu-gb,表示 Key Protect 实例所在的地理区域。
更多信息,请参阅 区域服务端点
键名或别名 需要。 要旋转的根密钥的唯一标识符或别名。
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。

更多信息,请参阅 检索访问令牌
instance_ID 需要。 分配给 Key Protect 服务实例的唯一标识符。

更多信息,请参阅 检索实例 ID

请求成功时,系统会返回 HTTP 204 No Content 响应,表明您的密钥不再被授权删除。 如果需要重新启动双重授权程序,可以再签发一次授权来设置删除密钥。