管理数据加密
在 IBM Cloud®中,您可以使用自己的根密钥来保护资源。 您可以定期或根据需要手动轮换根密钥。 您可以禁用或删除已泄密或不再需要的根密钥。 您可以复原在删除后 30 天内删除的根密钥。
通过执行以下操作来管理根密钥:
- 决定是导入您自己的 HSM 根密钥还是由 KMS 生成根密钥。 如果要为自动密钥轮换设置轮换策略,那么必须使用 KMS 生成的根密钥。
- 通过 查看根密钥注册 来查看根密钥与它们保护的资源的关联。
- 决定何时需要 禁用 或 删除 根密钥。 禁用或删除根键时要谨慎。
- 启用已禁用的密钥或 复原已删除的密钥。
- 定期轮换根密钥 或手动轮换导入的根密钥。 缩短密钥的加密周期可降低发生安全漏洞的可能性。
- 决定是否要通过 删除 IAM 服务授权 来使数据暂时不可访问。
查看根密钥注册
Block Storage for VPC 卷,快照,File Storage for VPC 共享以及使用密钥加密的定制映像将针对密钥管理服务 (Key Protect 或 Hyper Protect Crypto Services) 中的根密钥进行注册。 通过查看注册,您可以将资源映射到其关联的加密密钥。 您可以快速查看哪些资源受根密钥保护。 您还可以通过查看哪些密钥正在主动保护数据,来评估禁用或删除密钥所涉及的风险。
有关更多信息,请参阅以下主题。
- Key Protect- 查看根密钥与加密的 IBM Cloud 资源之间的关联
- Hyper Protect Crypto Services- 查看根密钥与加密 IBM Cloud 资源之间的关联。
在控制台中管理根密钥
您可以使用用户界面禁用、启用、删除、还原或旋转 root 密钥。 下表描述了每个操作,并链接到 Key Protect 和 Hyper Protect Crypto Services 的详细步骤。
| 用户操作 | Key Protect UI 过程 | Hyper Protect Crypto Services UI 过程 |
|---|---|---|
| 禁用密钥 | 禁用根密钥。 | 禁用根密钥。 |
| 启用密钥 | 启用根密钥。 | 启用根密钥。 |
| 删除密钥 | 在控制台中删除密钥(单一授权)。 | 使用 GUI 删除密钥(单一授权)。 |
| 删除具有双重验证策略的密钥。 | 使用 GUI 授权删除密钥(双重授权)。 | |
| 复原密钥 | 使用控制台复原已删除的密钥。 | 使用 GUI 复原已删除的密钥。 |
| 手动旋转按键 | 手动旋转按键 | 手动旋转根键 |
使用应用程序接口管理根密钥
您可以使用 API 禁用、启用、删除、恢复或旋转您的根密钥。 下表描述了每种操作,并链接到 Key Protect 或 Hyper Protect Crypto Services API 的详细步骤。
| 用户操作 | Key Protect API 过程 | Hyper Protect Crypto Services API 过程 |
|---|---|---|
| 禁用密钥 | 禁用根密钥 | 禁用根密钥 |
| 启用密钥 | 启用已禁用的根密钥 | 启用已禁用的根密钥 |
| 删除密钥 | 使用 API 删除密钥(单一授权) | 使用 API 删除密钥(单一授权) |
| 删除具有双重验证策略的密钥) | 使用 API 授权删除密钥(双重授权) | |
| 复原密钥 | 使用 API 复原已删除的密钥 | 使用 API 复原已删除的密钥 |
| 手动旋转按键 | 手动旋转按键 | 手动旋转根键 |
由于删除根密钥会导致受其保护的所有资源都无法使用(status = unusable ),因此在尝试使用资源(如映像、卷、快照或文件共享)之前,应让应用程序检查其状态。 如果根密钥可复原,请将其复原以供使用,或者创建并使用其他根密钥。
客户根关键状态和资源状态
由于您执行的操作,根密钥会移至各种状态,而不同的根密钥状态会以不同方式影响资源。 下文将介绍用户操作如何影响根密钥状态,以及根密钥状态如何改变使用该密钥加密的资源的状态。
有关 KMS 透视图中的根密钥状态的更多信息,请参阅以下主题。
禁用根键
禁用根密钥时,将暂挂其加密和解密操作。 加密资源无法用于正常操作。 如果您怀疑可能存在安全漏洞,损害或数据泄露,那么最好临时禁用根密钥。 当安全威胁不再处于活动状态时,可以启用已禁用的根密钥。
禁用根密钥时,工作负载将继续在虚拟服务器实例中运行,引导卷将保持加密状态。 数据卷保持连接。 文件共享数据已加密。 但是,如果停止虚拟服务器实例,那么无法将其重新启动。 您也无法使用禁用的密钥来供应资源。 在禁用密钥之前,最好验证哪些资源受其保护。
当 CRK 被暂停时,它不能用于加密新资源或解除(解密)保护现有资源的口令。
| 资源类型 | 资源状态 | 结果 |
|---|---|---|
| 定制映像 | 不可用 | 在实例供应期间,映像不能用于创建引导卷。 |
| 引导卷 | 可用 | 引导卷仍使用暂挂的密钥进行加密。 如果停止使用该引导卷的实例,那么无法重新启动。 |
| 数据量 | 可用 | 数据卷保持加密,连接和可用状态,直到您停止实例为止。 无法将由暂挂密钥加密的独立数据卷连接到实例。 |
| 快照 | 不可用 | 快照不能用于还原卷或文件共享。 |
| 文件共享 | 稳定 | 可以访问文件共享上的数据,但无法使用该密钥创建文件共享。 |
| 实例 | 可用 | 在 CLI 和 API 中,实例工作负载继续以_可用_状态运行,在控制台中则以_运行_状态运行。 如果停止实例,那么它们无法重新启动。 |
要查看哪些根键被禁用,请查看控制台资源列表。 卷和快照资源的状态为 不可用。 处于 稳定 状态的文件共享仍然存在。 UI 工具提示显示资源的“键已暂挂”。 在 API 响应中,可以看到 encryption_key_disabled 原因码。
有关禁用根密钥的更多信息,请参阅以下主题。
启用根密钥
您可以启用处于_暂停状态_的根密钥,使该密钥返回_活动状态_。
下表显示了根密钥激活时加密资源的状态。 CRK 可用于解除保护现有资源的口令,并对新资源进行加密。
| 资源类型 | 资源状态 | 结果 |
|---|---|---|
| 定制映像 | 活动 | 映像可用于创建虚拟服务器实例。 |
| 引导卷 | 可用 | 引导卷可用于启动实例。 |
| 数据量 | 可用 | 可以将数据卷附加到实例。 |
| 快照 | 稳定 | 快照可用于还原卷或共享。 |
| 文件共享 | 稳定 | 文件共享可用。 您可以添加或除去安装目标。 您可以写入和读取数据。 |
| 实例 | 可用 | 可以重新启动实例。 |
有关启用禁用根密钥的更多信息,请参阅以下主题。
删除根密钥
删除根密钥时,该密钥不再可用于解密用于保护资源的口令。 受已删除根密钥保护的卷、快照和映像资源处于_不可用_状态,不能用于正常操作。File Storage for VPC 共享显示_暂停状态_。 存储系统处于脱机状态,无法访问数据。 您的数据仍然存在。
| 资源类型 | 资源状态 | 结果 |
|---|---|---|
| 定制映像 | 不可用 | 映像不能用于创建引导卷以供应新的虚拟服务器实例。 |
| 引导卷 | 不可用 | 关联的虚拟服务器实例已停止。 当实例引导卷处于 不可用 状态时,无法启动已停止的实例。 |
| 数据量 | 不可用 | 如果数据卷连接到正在运行的实例,那么该实例将停止。 无法将独立数据卷附加到实例。 您可以删除卷。 |
| 快照 | 不可用 | 快照无法访问,不能用于还原卷或文件共享。 |
| 文件共享 | 已暂挂 | File Storage 系统处于脱机状态,无法访问数据。 |
| 实例 | 不可用 | 具有已自动停止的已删除引导卷的实例无法重新启动。 |
根密钥可在三种状态下删除:激活、暂停_或_停用。 当到达密钥的到期日期时,会自动发生 已取消激活 状态。 无论删除之前的状态如何,都可以复原密钥。
您有 30 天宽限期来 复原已删除的密钥。 否则,您的加密资源将变得不可访问。 30 天后,您的根密钥无法复原,并且您的资源不可恢复。
缺省情况下,KMS 会阻止您删除正在主动保护资源的根密钥。 您可以使用 API 在 Key Protect 和 Hyper Protect Crypto Services 中强制删除根密钥。 强制删除根密钥时,会自动执行以下操作:
- 如果删除的根密钥正在保护卷,则会停止相关的虚拟服务器实例。
- 如果删除的根密钥正在保护文件共享,那么将暂挂文件共享。
- 删除根密钥将清除 VPC 中所有资源的密钥使用情况。
Hyper Protect Crypto Services 要求在删除保护这些资源的根密钥之前删除所有资源。 如果无法删除密钥,请参阅 故障排除密钥管理服务 主题。
删除根密钥会导致以下情况。
- 具有不可用引导卷的所有实例都不会重新启动。
- 无法将不可用的数据卷附加到实例。
- 无法从快照复原卷。
- 您无法访问文件共享。
- 无法从不可用的映像供应实例。
- 将继续对不可用的资源进行计费,直到您删除这些资源为止。
在强制删除根密钥之前,最好查看与该根密钥关联的所有资源。 请考虑 临时禁用密钥,而不是将其删除以暂挂使用该根密钥。 根密钥可以在 30 天内复原,但仅当它们是导入的根密钥时,才会生成 KMS。
有关删除根密钥的更多信息,请参阅以下主题。
复原已删除的根密钥
复原导入的根密钥会将密钥返回到 活动 状态,并重新建立对密钥的访问权。 您可以复原对先前受根密钥保护的所有资源的访问权。 您可以恢复常规操作,如重启实例和重新连接数据卷。 卷附件 ID 与删除原始客户根密钥前的不同。
无法恢复 KMS 生成的根密钥。
有关恢复根密钥的更多信息,请参阅以下主题。
旋转客户根键
旋转客户根密钥不会改变加密资源的状态。 当您轮换密钥时,前一个密钥将保持活动状态,并且仍用于解密现有资源。
您可以通过设置轮换策略或手动轮换密钥来轮换 KMS 实例中的根密钥。 轮换策略会根据计划自动轮换密钥;手动轮换则是按需轮换密钥。
您也可以随时手动轮换导入或 KMS 生成的根密钥。Key Protect 和 Hyper Protect Crypto Services 允许每个根密钥每小时轮换一次。 KMS 会根据您的要求立即更换钥匙。 当您向 KMS 实例导入新的根密钥并希望立即旋转该密钥时,请使用此选项。
有关这些选项的更多信息,请参阅以下主题:
删除对根密钥的 IAM 服务授权
您可以通过除去 IAM 授权以使用该根密钥,使数据不可访问,但将其保留在云上。
当您 授权使用 根密钥时,您将授予 IBM 使用该密钥对资源进行加密的许可权。 当您在服务 (例如,Cloud Block Storage) 与密钥管理服务之间授权服务时,将通过 IAM 在密钥管理服务级别完成授权。
当您对目标服务 (在本例中为密钥管理服务) 具有管理员角色时,可以除去帐户中服务之间的任何权限。 如果删除源服务为其从属服务创建的访问策略,源服务将无法完成工作流或访问目标服务。
由于根密钥由您控制,因此您无需联系 IBM 以除去授权。
请勿除去 Cloud Block Storage 与 KMS 实例之间的 IAM 授权,然后删除 Block Storage 卷,快照或映像资源。 此类操作会导致 KMS 实例中的根密钥保持向已删除的资源注册。 必须先删除所有 BYOK 卷,快照或映像,然后才能除去 IAM 授权。
要使数据不可访问,但将其保留在 IBM Cloud上:
- 从源 Cloud Block Storage 服务中 除去 IAM 授权 到目标密钥管理服务实例。
- 停止所有具有该根密钥保护的已连接加密卷的虚拟服务器实例。
在 IBM Cloud Logs
出于审计目的,您可以通过将密钥管理服务与 IBM Cloud Logs. 在这两项服务都配置并运行后,当您对密钥执行操作时,就会在 IBM Cloud Logs 中生成并自动收集事件。
有关更多信息,请参阅以下主题: