Datenverschlüsselung verwalten
In IBM Cloud®können Sie Ihre Ressourcen mit Ihren eigenen Rootschlüsseln sichern. Sie können Ihre Rootschlüssel regelmäßig oder nach Bedarf manuell rotieren. Sie können Root-Schlüssel deaktivieren oder löschen, die kompromittiert sind oder die Sie nicht mehr benötigen. Sie können Rootschlüssel wiederherstellen, die innerhalb von 30 Tagen nach dem Löschen gelöscht wurden.
Verwalten Sie Ihre Rootschlüssel, indem Sie die folgenden Aktionen ausführen:
- Entscheiden Sie, ob Sie Ihren eigenen HSM-Rootschlüssel importieren oder einen Rootschlüssel durch das KMS generieren möchten. Wenn Sie eine Rotationsrichtlinie für eine automatische Schlüsselrotation einrichten möchten, müssen Sie vom Schlüsselmanagementservice generierte Rootschlüssel verwenden.
- Zeigen Sie die Zuordnung von Root-Schlüsseln zu den Ressourcen an, die sie schützen, indem Sie die Root-Schlüsselregistrierungen anzeigen.
- Entscheiden Sie, wann das Inaktivieren oder Löschen eines Rootschlüssels erforderlich ist. Seien Sie vorsichtig, wenn Sie Root Keys deaktivieren oder löschen.
- Aktivieren Sie einen inaktivierten Schlüssel oder stellen Sie einen gelöschten Schlüssel wieder her.
- Wechseln Sie Ihre Rootschlüssel in regelmäßigen Intervallen (Schlüsselrotation) oder stellen Sie sicher, dass Sie importierte Rootschlüssel manuell turnusmäßig wechseln. Durch das Verkürzen des Verschlüsselungszeitraums eines Schlüssels verringert sich die Möglichkeit einer Sicherheitsverletzung.
- Entscheiden Sie, ob Sie Ihre Daten vorübergehend unzugänglich machen möchten, indem Sie die IAM-Dienstberechtigung entfernen.
Rootschlüsselregistrierungen anzeigen
Block Storage for VPC volumes, Snapshots, File Storage for VPC Freigaben und benutzerdefinierte Images, die mit Ihrem Schlüssel verschlüsselt sind, werden mit dem Root-Schlüssel im Schlüsselverwaltungsdienst ( Key Protect oder Hyper Protect Crypto Services ) registriert. Durch Anzeigen der Registrierung können Sie Ihre Ressourcen den zugehörigen Verschlüsselungsschlüsseln zuordnen. Sie können schnell erkennen, welche Ressourcen durch einen Rootschlüssel geschützt werden. Sie können auch das Risiko abschätzen, das mit der Deaktivierung oder Löschung eines Schlüssels verbunden ist, indem Sie sehen, welche Schlüssel Daten aktiv schützen.
Vollständige Informationen finden Sie in den folgenden Abschnitten:
- Key Protect- Anzeigen von Verknüpfungen zwischen Stammschlüsseln und verschlüsselten IBM Cloud Ressourcen
- Hyper Protect Crypto Services- Anzeigen von Verknüpfungen zwischen Root-Schlüsseln und verschlüsselten IBM Cloud Ressourcen.
Verwaltung der Root-Schlüssel in der Konsole
Sie können die Benutzeroberfläche verwenden, um Ihre Stammschlüssel zu deaktivieren, zu aktivieren, zu löschen, wiederherzustellen oder zu drehen. In der folgenden Tabelle werden die einzelnen Aktionen beschrieben und Links zu detaillierten Schritten für Key Protect und Hyper Protect Crypto Services angegeben.
| Benutzeraktion | Benutzerschnittstellenprozedur für Key Protect | Hyper Protect Crypto Services-Benutzerschnittstellenprozedur |
|---|---|---|
| Schlüssel inaktivieren | Rootschlüssel inaktivieren. | Rootschlüssel inaktivieren. |
| Schlüssel aktivieren | Aktivieren eines Rootschlüssels. | Aktivieren eines Rootschlüssels. |
| Schlüssel löschen | Schlüssel in der Konsole löschen(einzelne Berechtigung). | Schlüssel mit der GUI löschen(einzelne Berechtigung). |
| Löschen von Schlüsseln, die eine doppelte Autorisierungsrichtlinie haben. | Erlauben Sie das Löschen eines Schlüssels mit dem GUI(doppelte Berechtigung). | |
| Schlüssel wiederherstellen | Gelöschten Schlüssel über die Konsole wiederherstellen | Gelöschten Schlüssel über die GUI zurückschreiben. |
| Manuelles Drehen einer Taste | Schlüsselrotation manuell ausführen | Rootschlüssel manuell wechseln |
Verwaltung von Stammschlüsseln mit der API
Sie können die API verwenden, um Ihre Stammschlüssel zu deaktivieren, zu aktivieren, zu löschen, wiederherzustellen oder zu rotieren. In der folgenden Tabelle werden die einzelnen Aktionen beschrieben und Links zu detaillierten Schritten für die API Key Protect oder Hyper Protect Crypto Services angegeben.
| Benutzeraktion | API-Prozedur Key Protect | API-Prozedur Hyper Protect Crypto Services |
|---|---|---|
| Schlüssel inaktivieren | Rootschlüssel inaktivieren | Rootschlüssel inaktivieren |
| Schlüssel aktivieren | Inaktivierten Rootschlüssel aktivieren | Inaktivierten Rootschlüssel aktivieren |
| Schlüssel löschen | Schlüssel über die API löschen (einfache Autorisierung) | Schlüssel über die API löschen (einfache Autorisierung) |
| Löschen von Schlüsseln, die eine doppelte Autorisierungsrichtlinie haben) | Löschvorgang für einen Schlüssel über die API genehmigen (doppelte Autorisierung) | |
| Schlüssel wiederherstellen | Gelöschten Schlüssel mit der API wiederherstellen | Gelöschten Schlüssel mit der API wiederherstellen |
| Manuelles Drehen einer Taste | Schlüsselrotation manuell ausführen | Rootschlüssel manuell wechseln |
Da das Löschen eines Root-Schlüssels alle Ressourcen, die durch ihn geschützt sind, unbrauchbar macht (Status = unusable), programmieren Sie Ihre Anwendung so, dass sie den Status der Ressource (z. B. ein Image, ein Volume, einen
Snapshot oder eine Dateifreigabe) überprüft, bevor sie versucht, sie zu verwenden. Wenn der Root-Schlüssel wiederherstellbar ist, stellen Sie ihn wieder her, oder erstellen und verwenden Sie einen anderen Root-Schlüssel.
Zustände der Kundenstammschlüssel und Ressourcenstatus
Rootschlüssel werden aufgrund der von Ihnen ausgeführten Aktionen in verschiedene Status versetzt und unterschiedliche Rootschlüsselstatus wirken sich unterschiedlich auf Ressourcen aus. In den folgenden Abschnitten wird beschrieben, wie Benutzeraktionen den Status des Root-Schlüssels beeinflussen und wie der Status des Root-Schlüssels den Status der Ressourcen ändert, die mit diesem Schlüssel verschlüsselt sind.
Weitere Informationen über Stammschlüsselzustände aus Sicht des KMS finden Sie in den folgenden Themen.
- Key Protect- Wichtige Zustände und Übergänge
- Hyper Protect Crypto Services- Wichtige Zustände und Übergänge
Rootschlüssel inaktivieren
Wenn Sie einen Rootschlüssel inaktivieren, werden dadurch die zugehörigen Verschlüsselungs- und Entschlüsselungsoperationen ausgesetzt. Die verschlüsselten Ressourcen werden für den normalen Betrieb unbrauchbar. Die vorübergehende Deaktivierung eines Root-Schlüssels ist eine gute Praxis, wenn Sie eine mögliche Gefährdung der Sicherheit, eine Kompromittierung oder eine Datenverletzung vermuten. Sie können einen deaktivierten Stammschlüssel aktivieren, wenn die Sicherheitsbedrohung nicht mehr aktiv ist.
Wenn Sie einen Root-Schlüssel deaktivieren, werden Workloads weiterhin in virtuellen Serverinstanzen ausgeführt, und Boot-Volumes bleiben verschlüsselt. Datenträger bleiben angehängt. Die Daten der Dateifreigabe werden verschlüsselt. Wenn Sie die virtuelle Serverinstanz stoppen, kann sie jedoch nicht neu gestartet werden. Sie können eine Ressource auch nicht mit einem deaktivierten Schlüssel bereitstellen. Bevor Sie einen Schlüssel inaktivieren, sollten Sie überprüfen, welche Ressourcen von ihm geschützt werden.
Wenn das CRK ausgesetzt ist, kann es nicht zum Verschlüsseln neuer Ressourcen oder zum Entschlüsseln von Passphrasen verwendet werden, die bestehende Ressourcen schützen.
| Ressourcentyp | Ressourcenstatus | Ergebnis |
|---|---|---|
| Angepasstes Image | Nicht verwendbar | Images können nicht zum Erstellen von Bootdatenträgern bei der Instanzbereitstellung verwendet werden. |
| Bootdatenträger | verfügbar | Bootdatenträger bleiben weiterhin mit dem ausgesetzten Schlüssel verschlüsselt. Wenn Sie die Instanz stoppen, die dieses Boot-Volume verwendet, kann sie nicht neu gestartet werden. |
| Datenvolumen | verfügbar | Datenträger bleiben verschlüsselt, zugeordnet (angehängt) und verfügbar, bis Sie die Instanz stoppen. Eigenständige Datenvolumes, die mit dem suspendierten Schlüssel verschlüsselt sind, können nicht an eine Instanz angehängt werden. |
| Snapshot | Nicht verwendbar | Snapshot kann nicht zur Wiederherstellung eines Volumes oder einer Dateifreigabe verwendet werden. |
| Dateifreigabe | stabil | Die Daten auf der Dateifreigabe sind zugänglich, aber Sie können keine Dateifreigabe mit diesem Schlüssel erstellen. |
| Instanz | verfügbar | Instanz-Workloads werden in der Befehlszeilenschnittstelle und der API weiterhin mit dem Status " verfügbar" und in der Konsole mit dem Status " ausgeführt" ausgeführt. Wenn Sie Instanzen stoppen, können sie nicht neu gestartet werden. |
Um zu sehen, welche Root-Schlüssel deaktiviert sind, sehen Sie in der Ressourcenliste der Konsole nach. Der Status von Volume- und Snapshot-Ressourcen ist unbrauchbar. Dateifreigaben mit dem Status Stabil bleiben weiter in diesem Status. In der QuickInfo der Benutzerschnittstelle wird für die Ressource 'Schlüssel ausgesetzt' angezeigt. In der API-Antwort wird der Ursachencode encryption_key_disabled angezeigt.
Weitere Informationen zum Deaktivieren eines Root-Schlüssels finden Sie in den folgenden Themen.
- Key Protect- Deaktivieren eines Stammschlüssels.
- Hyper Protect Crypto Services- Deaktivieren eines Stammschlüssels.
Aktivieren von Root-Schlüsseln
Sie können einen Root-Schlüssel, der sich in einem suspendierten Zustand befindet, aktivieren, wodurch der Schlüssel wieder in einen aktiven Zustand versetzt wird.
Die folgende Tabelle zeigt den Status der verschlüsselten Ressourcen, wenn der Stammschlüssel aktiv ist. Das CRK steht zur Verfügung, um Passphrasen zu entschlüsseln, die bestehende Ressourcen schützen, und um neue Ressourcen zu verschlüsseln.
| Ressourcentyp | Ressourcenstatus | Ergebnis |
|---|---|---|
| Angepasstes Image | Aktiv | Images können zur Erstellung virtueller Serverinstanzen verwendet werden. |
| Bootdatenträger | verfügbar | Bootdatenträger sind zum Starten von Instanzen verfügbar. |
| Datenvolumen | verfügbar | Datenträger können an Instanzen angehängt (d. h. diesen zugeordnet) werden. |
| Snapshot | stabil | Der Snapshot kann zur Wiederherstellung eines Volumes oder einer Freigabe verwendet werden. |
| Dateifreigabe | stabil | Dateifreigabe ist verfügbar. Sie können Mountziele hinzufügen oder entfernen. Sie können Daten schreiben und lesen. |
| Instanz | verfügbar | Instanzen können erneut gestartet werden. |
Weitere Informationen zur Aktivierung eines deaktivierten Root-Schlüssels finden Sie in den folgenden Themen.
- Key Protect- Aktivieren eines deaktivierten Stammschlüssels.
- Hyper Protect Crypto Services- Aktivieren eines deaktivierten Stammschlüssels.
Rootschlüssel löschen
Wenn Sie einen Root-Schlüssel löschen, steht dieser Schlüssel nicht mehr zur Entschlüsselung von Passphrasen zur Verfügung, die zum Schutz Ihrer Ressourcen verwendet werden. Volume-, Snapshot- und Image-Ressourcen, die durch den gelöschten Root-Schlüssel geschützt sind, haben einen unbrauchbaren Status und können nicht für normale Vorgänge verwendet werden. File Storage for VPC Freigaben zeigen einen suspendierten Status. Das Speichersystem ist offline, und es kann nicht auf die Daten zugegriffen werden. Ihre Daten sind weiterhin vorhanden.
| Ressourcentyp | Ressourcenstatus | Ergebnis |
|---|---|---|
| Angepasstes Image | Nicht verwendbar | Solche Images können nicht zum Erstellen von Bootdatenträgern zwecks Bereitstellung einer neuen Virtual Server-Instanz verwendet werden. |
| Bootdatenträger | Nicht verwendbar | Die zugeordnete virtuelle Serverinstanz wurde gestoppt. Eine gestoppte Instanz kann nicht gestartet werden, wenn sich der Bootdatenträger der Instanz im Status unusable befindet. |
| Datenvolumen | Nicht verwendbar | Wenn der Datenträger einer aktiven Instanz zugeordnet ist, wird die Instanz gestoppt. Eigenständige Datenträger können nicht an Instanzen angehängt werden. Sie können den Datenträger löschen. |
| Snapshot | Nicht verwendbar | Der Snapshot ist unzugänglich und kann nicht zur Wiederherstellung eines Volumes oder einer Dateifreigabe verwendet werden. |
| Dateifreigabe | ausgesetzt | Das System File Storage ist offline und es kann nicht auf die Daten zugegriffen werden. |
| Instanz | Nicht verwendbar | Instanzen mit einem gelöschten Boot-Volume, die automatisch gestoppt wurden, können nicht neu gestartet werden. |
Ein Stammschlüssel kann aus drei Zuständen gelöscht werden: aktiv, ausgesetzt oder deaktiviert. Der deaktivierte Zustand tritt automatisch ein, wenn das Verfallsdatum eines Schlüssels erreicht ist. Unabhängig vom Zustand vor der Löschung können die Schlüssel wiederhergestellt werden.
Sie haben eine Karenzzeit von 30 Tagen, in der Sie den gelöschten Schlüssel wiederherstellen können. Andernfalls ist kein Zugriff mehr auf Ihre verschlüsselten Ressourcen möglich. Nach 30 Tagen kann Ihr Root-Schlüssel nicht mehr wiederhergestellt werden, und Ihre Ressourcen sind nicht mehr wiederherstellbar.
Standardmäßig verhindert das KMS, dass Sie einen Rootschlüssel löschen, der eine Ressource aktiv schützt. Sie können mit der API das Löschen eines Stammschlüssels in Key Protect und Hyper Protect Crypto Services erzwingen. Wenn Sie das Löschen eines Rootschlüssels erzwingen, werden die folgenden Aktionen automatisch ausgeführt:
- Wenn der gelöschte Stammschlüssel Volumes schützt, wird die zugehörige virtuelle Serverinstanz gestoppt.
- Wenn der gelöschte Rootschlüssel Dateifreigaben schützt, wird die Dateifreigabe ausgesetzt.
- Beim Löschen eines Rootschlüssels wird die Verwendung des Schlüssels für sämtliche Ressourcen in der VPC gelöscht.
Hyper Protect Crypto Services erfordert, dass Sie alle Ressourcen löschen, bevor Sie einen Root-Schlüssel löschen, der diese Ressourcen schützt. Wenn Sie den Schlüssel nicht löschen können, lesen Sie das Thema Fehlerbehebung beim Schlüsselverwaltungsdienst.
Das Löschen des Rootschlüssels führt zu den folgenden Bedingungen.
- Alle Instanzen mit einem unbrauchbaren Boot-Volume werden nicht neu gestartet.
- Nicht verwendbare Datenträger können einer Instanz nicht zugeordnet werden (d. h., sie können nicht an eine Instanz angehängt werden).
- Sie können einen Datenträger nicht aus einem Snapshot wiederherstellen.
- Sie können nicht auf eine Dateifreigabe zugreifen.
- Sie können keine Instanzen aus unbrauchbaren Images bereitstellen.
- Die Abrechnung wird für nicht verwendbare Ressourcen solange fortgesetzt, bis Sie sie löschen.
Bevor Sie das Löschen eines Rootschlüssels erzwingen, sollten Sie alle Ressourcen überprüfen, die diesem Rootschlüssel zugeordnet sind. Erwägen Sie, den Schlüssel vorübergehend zu inaktivieren, anstatt ihn zu löschen, um die Verwendung dieses Rootschlüssels auszusetzen. Root-Schlüssel können innerhalb von 30 Tagen wiederhergestellt werden, allerdings nur, wenn es sich um importierte Root-Schlüssel handelt, die nicht vom KMS erzeugt wurden.
Weitere Informationen zum Löschen von Rootschlüsseln finden Sie in den folgenden Abschnitten.
- Key Protect- Löschen von Tasten.
- Hyper Protect Crypto Services- Löschen von Tasten.
Gelöschte Rootschlüssel wiederherstellen
Beim Wiederherstellen eines importierten Rootschlüssels wird der Schlüssel in den Status Aktiv zurückversetzt und der Zugriff auf den Schlüssel wird wiederhergestellt. Sie können den Zugriff auf alle Ressourcen wiederherstellen, die zuvor durch den Root-Schlüssel geschützt waren. Sie können reguläre Aktionen wie den Neustart einer Instanz und das erneute Anhängen von Data-Volumes fortsetzen. Die IDs der Datenträgeranhänge sind anders als vor dem Löschen des ursprünglichen Kundenstammschlüssels.
Root-Schlüssel, die vom KMS erzeugt wurden, können nicht wiederhergestellt werden.
Weitere Informationen zum Wiederherstellen von Stammschlüsseln finden Sie in den folgenden Themen.
- Key Protect- Schlüssel wiederherstellen
- Hyper Protect Crypto Services- Schlüssel wiederherstellen
Rotierende Kundenstammschlüssel
Durch das Rotieren der Kunden-Root-Schlüssel wird der Status der verschlüsselten Ressourcen nicht verändert. Wenn Sie die Schlüssel austauschen, bleibt der alte Schlüssel aktiv und wird weiterhin zur Entschlüsselung vorhandener Ressourcen verwendet.
Sie können Rootschlüssel in der KMS-Instanz durch das Festlegen einer Rotationsrichtlinie turnusmäßig wechseln oder die Schlüssel manuell wechseln. Bei Verwendung einer Rotationsrichtlinie werden die Schlüssel auf Basis eines Zeitplans turnusgemäß gewechselt; bei einer manuellen Rotation werden die Schlüssel bei Bedarf ausgetauscht.
Sie können Ihre importierten oder von KMS generierten Stammschlüssel auch jederzeit manuell drehen. Key Protect und Hyper Protect Crypto Services erlauben eine Drehung pro Stunde für jeden Stammschlüssel. Vom KMS wird der Schlüssel bei einer Anforderung sofort ersetzt. Verwenden Sie diese Option, wenn Sie einen neuen Rootschlüssel in die KMS-Instanz importieren und den Schlüssel sofort wechseln möchten.
Weitere Informationen zu diesen Optionen finden Sie in den folgenden Themen:
- Key Protect- Verwaltung von Rotationsrichtlinien und manuelle Rotation von Schlüsseln.
- Hyper Protect Crypto Services- Festlegen einer Rotationsrichtlinie für Stammschlüssel und manuelles Rotieren von Stammschlüsseln.
Entfernen der IAM-Dienstberechtigung für einen Root-Schlüssel
Sie können den Zugriff auf Ihre Daten verhindern und die Daten weiterhin in der Cloud beibehalten, indem Sie die IAM-Berechtigung zum Verwenden des betreffenden Rootschlüssels entfernen.
Wenn Sie für Ihren Rootschlüssel die Verwendung autorisieren, erteilen Sie IBM die Berechtigung, den Schlüssel für die Verschlüsselung Ihrer Ressource zu verwenden. Die Autorisierung erfolgt auf der Ebene des Schlüsselverwaltungsdienstes über IAM, wenn Sie den Dienst zwischen Ihrem Dienst (z. B. Cloud Block Storage ) und dem Schlüsselverwaltungsdienst autorisieren.
Sie können alle Berechtigungen für Services in Ihrem Konto entfernen, wenn Sie über die Administratorrolle für den Zielservice verfügen (in diesem Fall ist dies der Schlüsselmanagementservice). Wenn Sie eine Zugriffsrichtlinie entfernen, die vom Quelldienst für seine abhängigen Dienste erstellt wurde, ist der Quelldienst nicht in der Lage, den Workflow abzuschließen oder auf den Zieldienst zuzugreifen.
Da die Root-Schlüssel unter Ihrer Kontrolle stehen, müssen Sie sich nicht an IBM wenden, um die Berechtigung zu entziehen.
Entfernen Sie nicht die IAM-Autorisierung zwischen Cloud Block Storage und der KMS-Instanz und löschen Sie dann ein Block Storage Volume, einen Snapshot oder eine Image-Ressource. Dies führt dazu, dass der Stammschlüssel in der KMS-Instanz für die gelöschte Ressource registriert bleibt. Sie müssen alle BYOK-Volumes, -Snapshots oder -Images löschen, bevor Sie die IAM-Autorisierung entfernen.
So machen Sie Ihre Daten unzugänglich, behalten sie aber auf IBM Cloud:
- Entfernen Sie die IAM-Berechtigung für den Zugriff vom Quellenservice Cloud Block Storage auf Ihre Zielinstanz des Schlüsselmanagementservice.
- Stoppen Sie alle virtuellen Serverinstanzen mit zugeordneten verschlüsselten Datenträgern, die durch diesen Rootschlüssel geschützt sind.
Ereignisse im IBM Cloud Logs anzeigen
Zu Prüfungszwecken können Sie den Aktivitätspfad für einen Schlüssel überwachen, indem Sie Ihren Schlüsselverwaltungsdienst mit IBM Cloud Logs. Nachdem beide Dienste eingerichtet sind und laufen, werden Ereignisse generiert und automatisch in IBM Cloud Logs gesammelt, wenn Sie Aktionen mit Schlüsseln durchführen.
Weitere Informationen finden Sie in den folgenden Quellen: