Skip to main content
Element Software
12.5
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Ridigita la chiave master di crittografia software a riposo

Collaboratori
PDF

È possibile utilizzare l'API Element per reimmettere una chiave esistente. Questo processo crea una nuova chiave master sostitutiva per il server di gestione delle chiavi esterno. Le chiavi master vengono sempre sostituite da nuove chiavi master e non vengono mai duplicate o sovrascritte.

Potrebbe essere necessario eseguire una nuova chiave nell'ambito di una delle seguenti procedure:

  • Creare una nuova chiave come parte di un cambiamento dalla gestione interna delle chiavi alla gestione esterna delle chiavi.

  • Creare una nuova chiave come reazione o come protezione contro un evento correlato alla sicurezza.

Nota Questo processo è asincrono e restituisce una risposta prima del completamento dell'operazione di rekey. È possibile utilizzare il "GetAsyncResult"metodo per eseguire il polling del sistema per verificare il completamento del processo.
Di cosa hai bisogno

  • Hai abilitato la crittografia software a riposo usando "CreateCluster"un metodo su un nuovo cluster che non contiene volumi e non dispone di i/O. Utilizzare il collegamento:./api/reference_element_api_getsoftwareencryptionatrestinfo.html[GetSoftwareEncryptionatRestInfo] per confermare che lo stato è enabled prima di procedere.

  • Hai scelto "instaurazione di una relazione di fiducia" tra il cluster SolidFire e un server chiavi esterno (EKS). Eseguire il "TestKeyProviderKmip" metodo per verificare che sia stata stabilita una connessione al provider di chiavi.

Fasi

  1. Eseguire il "ListKeyProvidersKmip" comando e copiare l'ID del provider di chiavi (keyProviderID).

  2. Eseguire "RekeySoftwareEncryptionAtRestMasterKey"con il keyManagementType parametro AS external e keyProviderID come numero ID del provider della chiave dal passaggio precedente:

    {
 "method": "rekeysoftwareencryptionatrestmasterkey",
 "params": {
   "keyManagementType": "external",
   "keyProviderID": "<ID number>"
 }
}

  3. Copiare il asyncHandle valore dalla RekeySoftwareEncryptionAtRestMasterKey risposta del comando.

  4. Eseguire il "GetAsyncResult" comando con il asyncHandle valore del passaggio precedente per confermare la modifica della configurazione. Dalla risposta del comando, dovresti vedere che la configurazione della vecchia chiave master è stata aggiornata con le nuove informazioni sulla chiave. Copiare il nuovo ID del provider di chiavi per utilizzarlo in un passaggio successivo.

    {
   "id": null,
   "result": {
     "createTime": "2021-01-01T22:29:18Z",
     "lastUpdateTime": "2021-01-01T22:45:51Z",
     "result": {
       "keyToDecommission": {
         "keyID": "<value>",
         "keyManagementType": "internal"
     },
     "newKey": {
       "keyID": "<value>",
       "keyManagementType": "external",
       "keyProviderID": <value>
     },
     "operation": "Rekeying Master Key. Master Key management being transferred from Internal Key Management to External Key Management with keyProviderID=<value>",
     "state": "Ready"
   },
   "resultType": "RekeySoftwareEncryptionAtRestMasterKey",
   "status": "complete"
}

  5. Eseguire GetSoftwareEncryptionatRestInfo il comando per confermare che i nuovi dettagli della chiave, compresa la keyProviderID, siano stati aggiornati.

    {
   "id": null,
   "result": {
     "masterKeyInfo": {
       "keyCreatedTime": "2021-01-01T22:29:18Z",
       "keyID": "<updated value>",
       "keyManagementType": "external",
       "keyProviderID": <value>
     },
     "rekeyMasterKeyAsyncResultID": <value>
     "status": "enabled",
     "version": 1
   },
}

Trova ulteriori informazioni