Ridigita la chiave master di crittografia software a riposo
Suggerisci modifiche
PDF
È possibile utilizzare l'API Element per reimmettere una chiave esistente. Questo processo crea una nuova chiave master sostitutiva per il server di gestione delle chiavi esterno. Le chiavi master vengono sempre sostituite da nuove chiavi master e non vengono mai duplicate o sovrascritte.
Potrebbe essere necessario eseguire una nuova chiave nell'ambito di una delle seguenti procedure:
-
Creare una nuova chiave come parte di un cambiamento dalla gestione interna delle chiavi alla gestione esterna delle chiavi.
-
Creare una nuova chiave come reazione o come protezione contro un evento correlato alla sicurezza.
|
Questo processo è asincrono e restituisce una risposta prima del completamento dell'operazione di rekey. È possibile utilizzare "GetAsyncResult" metodo per eseguire il polling del sistema per verificare il completamento del processo. |
-
È stata attivata la crittografia software a riposo utilizzando "CreateCluster" Metodo su un nuovo cluster che non contiene volumi e non dispone di i/O. Utilizzare il
GetSoftwareEncryptionatRestInfoper confermare che lo stato èenabledprima di procedere. -
Lo hai fatto "instaurazione di una relazione di fiducia" Tra il cluster SolidFire e un server di chiavi esterne (EKS). Eseguire "TestKeyProviderKmip" metodo per verificare che sia stabilita una connessione con il provider di chiavi.
-
Eseguire "ListKeyProvidersKmip" Comando e copia dell'ID del provider di chiavi (
keyProviderID). -
Eseguire "RekeySoftwareEncryptionAtRestMasterKey" con
keyManagementTypeparametro asexternale.keyProviderIDCome numero ID del provider di chiavi del passaggio precedente:{ "method": "rekeysoftwareencryptionatrestmasterkey", "params": { "keyManagementType": "external", "keyProviderID": "<ID number>" } } -
Copiare il
asyncHandlevalore diRekeySoftwareEncryptionAtRestMasterKeyrisposta del comando. -
Eseguire "GetAsyncResult" con il
asyncHandlevalore del passaggio precedente per confermare la modifica della configurazione. Dalla risposta del comando, dovresti vedere che la configurazione della vecchia chiave master è stata aggiornata con le nuove informazioni sulla chiave. Copiare il nuovo ID del provider di chiavi per utilizzarlo in un passaggio successivo.{ "id": null, "result": { "createTime": "2021-01-01T22:29:18Z", "lastUpdateTime": "2021-01-01T22:45:51Z", "result": { "keyToDecommission": { "keyID": "<value>", "keyManagementType": "internal" }, "newKey": { "keyID": "<value>", "keyManagementType": "external", "keyProviderID": <value> }, "operation": "Rekeying Master Key. Master Key management being transferred from Internal Key Management to External Key Management with keyProviderID=<value>", "state": "Ready" }, "resultType": "RekeySoftwareEncryptionAtRestMasterKey", "status": "complete" } -
Eseguire
GetSoftwareEncryptionatRestInfoper confermare i dettagli della nuova chiave, incluso ilkeyProviderID, sono stati aggiornati.{ "id": null, "result": { "masterKeyInfo": { "keyCreatedTime": "2021-01-01T22:29:18Z", "keyID": "<updated value>", "keyManagementType": "external", "keyProviderID": <value> }, "rekeyMasterKeyAsyncResultID": <value> "status": "enabled", "version": 1 }, }