设置轮换策略
您可以通过在 IBM® Key Protect for IBM Cloud® 实例上设置实例策略,或者通过在创建密钥时设置策略 (如果您具有正确的角色),为根密钥设置自动轮换策略。
从 轮换根密钥 开始,定期轮换根密钥会缩短密钥的 cryptoperiod,因此可以用作一般安全策略,也可以在特定情况下使用,例如人员更替,流程故障或检测到安全问题。
如果您没有设置轮换策略所必需的 Manager
许可权级别,那么只要您至少具有 Writer
许可权级别,仍可以随时手动轮换密钥。 请查看 手动旋转密钥,以获取有关此过程的更多信息。 此外,请查看 了解用户角色和资源,以获取有关管理者,写程序和其他角色
(例如,密钥,实例和帐户) 的访问权的更多信息。
设置轮换策略有几种不同的方法:
- 在 IBM® Key Protect for IBM Cloud® 实例上设置轮换策略。 这将确保创建的每个密钥都具有轮换策略,除非该策略在创建密钥时被
Manager
覆盖。 - 在密钥创建时设置轮换策略。 这允许在创建密钥期间调整要应用的特定密钥的轮换策略。
- 在创建密钥后设置轮换策略。 可随时更改密钥上的轮换策略,即使密钥带有已禁用的轮换策略,或者从未对密钥应用过轮换策略。
只能为 Key Protect 中生成的根密钥创建轮换策略。 如果最初导入的是根密钥,那么必须提供新的 Base64 编码的密钥资料,才能轮换密钥。 有关更多信息,请参阅 手动旋转密钥。
在实例上设置轮换策略
如果在实例上设置了轮换策略,那么在该实例中创建的每个根密钥都将携带该策略 (除非在创建密钥时覆盖该策略)。 当具有 Writer
角色 (缺省情况下无法分配轮换策略) 的用户在实例上创建大多数密钥,但期望根密钥带有轮换策略时,这特别有用。 实例策略允许具有 Manager
角色的用户设置策略,然后该策略将应用于 Writers
或其他 Managers
创建的所有密钥,除非这些
Managers
覆盖该策略。
使用控制台在实例上设置或编辑轮换策略
要设置实例策略,请浏览到左侧导航中的“实例策略”页面,并找到 密钥轮换策略 卡。 如果未设置任何策略,那么该按钮应该为 已禁用。 要设置策略:
- 单击该按钮以启用策略。
- 然后,设置轮换时间间隔。 请注意,只能以 30 天 (或一个月) 为间隔设置自动轮换策略。 例如,如果设置三个月,那么密钥将每 90 天轮换一次。 如果已为此实例启用轮换策略,那么只需将该值编辑为期望的月数。
- 单击保存。
现在已设置密钥策略。 如果未执行其他操作,那么将向在 Key Protect 中创建的每个根密钥发出此策略。
如果您只需要编辑单个密钥的策略,并且您是 Manager
,那么最佳策略是在密钥创建时更改密钥的轮换策略。
在密钥创建时设置轮换策略
如果您是 Manager
(或拥有同等级别的许可权),那么还可以在创建密钥的过程中设置密钥的轮换策略。 请注意,无论是否存在实例级别的轮换策略,都可以在创建密钥时设置策略。
使用控制台在密钥创建时设置轮换策略
如 在控制台中创建根密钥 中所示,要创建密钥,请浏览到实例中的“密钥”页面,然后单击 添加 以打开密钥创建侧面板。 然后,打开 高级选项 选项卡以显示 密钥别名,密钥环和 旋转策略 选项。
如果未看到 旋转策略 选项,请检查您的许可权级别以确保您是 Manager
。
如果存在实例级别的轮换策略,那么轮换策略按钮将显示为 已启用。 实例上启用的轮换时间间隔 (以月计) 可视。 如果此轮换时间间隔适用于此密钥,那么不需要执行除单击 创建 以创建密钥以外的其他操作。 如果要更改轮换时间间隔,请单击 编辑 并设置所需的时间间隔。 然后单击 保存。 然后,可以单击 创建 以创建密钥。
创建密钥后设置轮换策略
-
转至 菜单 > 资源列表 以查看资源列表。
-
从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。
-
在应用程序详细信息页面中,使用密钥表来浏览服务中的密钥。 如果您有许多密钥,那么可以通过使用搜索栏来缩小搜索范围,仅搜索已启用的密钥 (因为无法旋转其他类型的密钥),特定密钥环中的密钥以及具有特定别名的密钥。
-
找到密钥后,单击 ⋯ 图标以打开要轮换的密钥的选项列表。
-
从选项菜单中,单击 旋转 以打开 旋转 侧面板。
-
如果轮换策略为 已启用,那么可以通过更改所选的月数来编辑此策略。 这将设置根密钥的 30 天时间间隔。 例如,如果将键设置为每
2
个月旋转一次,那么将每 60 天旋转一次,而不考虑特定月份中的天数。 如果轮换策略为 已禁用,并且密钥是在实例具有轮换策略时创建的,那么可以看到轮换时间间隔编号。 这是在密钥创建时以 已禁用 状态写入密钥的轮换策略。 您还可以在此时更改轮换时间间隔。 -
单击 设置策略。 该政策现已生效。
如果要立即轮换密钥,请单击 旋转密钥。 注意: 这些操作不是互斥的。 如果密钥有现有轮换策略,那么界面会显示该密钥的现有轮换周期。
仅对于导入的根密钥,必须添加要在服务中存储和管理的 base64 编码密钥资料。 确保密钥资料为 128,192 或 256 位,并确保使用 base64 编码对数据字节 (例如,对于 256 位为 32 字节) 进行编码。
根据指定的轮换时间间隔,需要轮换密钥时,Key Protect 会自动使用新密钥资料替换根密钥。