Skip to main content
Element Software
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Chiffrement logiciel de nouvelle clé pour la clé principale REST

Contributeurs
PDF

Vous pouvez utiliser l'API Element pour re-saisir une clé existante. Ce processus crée une nouvelle clé principale de remplacement pour votre serveur de gestion de clés externe. Les clés principales sont toujours remplacées par de nouvelles clés principales et ne sont jamais dupliquées ou remplacées.

Vous devrez peut-être procéder à une nouvelle clé dans le cadre de l'une des procédures suivantes :

  • Créez une nouvelle clé dans le cadre d'un changement de gestion interne des clés à gestion externe des clés.

  • Créez une nouvelle clé comme réaction ou comme protection contre un événement lié à la sécurité.

Remarque Ce processus est asynchrone et renvoie une réponse avant la fin de l'opération de renouvellement de clé. Vous pouvez utiliser le "GetAsyncResult" méthode d'interrogation du système pour voir quand le processus est terminé.
Ce dont vous avez besoin

  • Vous avez activé le chiffrement logiciel au repos à l'aide du "CreateCluster" D'une nouvelle méthode située sur un nouveau cluster, qui ne contient pas de volumes et n'a pas d'E/S. Utilisez le lien :../api/reference_element_api_getsoftwareencryptionatrestinfo.html[GetSoftwareEncryptionatRestInfo] pour confirmer que l'état est enabled avant de continuer.

  • Vous avez "établissement d'une relation de confiance" Entre le cluster SolidFire et un serveur de clés externe (EKS). Exécutez le "TestKeyProviderKmip" méthode permettant de vérifier qu'une connexion au fournisseur de clés est établie.

Étapes

  1. Exécutez le "ListeKeyProvidersKmip" Commande et copie l'ID du fournisseur de clés (keyProviderID).

  2. Exécutez le "RekeySoftwareEncryptionAtResteMasterKey" avec le keyManagementType ens. paramètre external et keyProviderID Comme numéro d'ID du fournisseur de clés de l'étape précédente :

    {
 "method": "rekeysoftwareencryptionatrestmasterkey",
 "params": {
   "keyManagementType": "external",
   "keyProviderID": "<ID number>"
 }
}

  3. Copiez le asyncHandle valeur du RekeySoftwareEncryptionAtRestMasterKey réponse de la commande.

  4. Exécutez le "GetAsyncResult" commande avec asyncHandle valeur de l'étape précédente pour confirmer le changement de configuration. À partir de la réponse de commande, vous devriez voir que l'ancienne configuration de clé principale a été mise à jour avec de nouvelles informations de clé. Copiez le nouvel ID de fournisseur de clés pour l'utiliser ultérieurement.

    {
   "id": null,
   "result": {
     "createTime": "2021-01-01T22:29:18Z",
     "lastUpdateTime": "2021-01-01T22:45:51Z",
     "result": {
       "keyToDecommission": {
         "keyID": "<value>",
         "keyManagementType": "internal"
     },
     "newKey": {
       "keyID": "<value>",
       "keyManagementType": "external",
       "keyProviderID": <value>
     },
     "operation": "Rekeying Master Key. Master Key management being transferred from Internal Key Management to External Key Management with keyProviderID=<value>",
     "state": "Ready"
   },
   "resultType": "RekeySoftwareEncryptionAtRestMasterKey",
   "status": "complete"
}

  5. Exécutez le GetSoftwareEncryptionatRestInfo commande pour confirmer que les nouveaux détails de clé, y compris le keyProviderID, ont été mis à jour.

    {
   "id": null,
   "result": {
     "masterKeyInfo": {
       "keyCreatedTime": "2021-01-01T22:29:18Z",
       "keyID": "<updated value>",
       "keyManagementType": "external",
       "keyProviderID": <value>
     },
     "rekeyMasterKeyAsyncResultID": <value>
     "status": "enabled",
     "version": 1
   },
}

Trouvez plus d'informations