Eigenen Kundenhauptschlüssel verwalten

Über die Haupttasten des Kunden

Im Rahmen unserer Verpflichtung zur End-to-End-Sicherheit hält Webex einen Hauptschlüssel im Namen jeder Organisation. Wir nennen ihn Hauptschlüssel, da er den Inhalt nicht direkt verschlüsselt. Er wird jedoch zur Verschlüsselung der anderen Schlüssel Ihrer Organisation verwendet, die den Inhalt verschlüsseln. Die Basisebene der Schlüsselhierarchie wird als Inhaltsschlüssel (CK) bezeichnet, und die Zwischenebenen der Schlüssel werden als Schlüsselverschlüsselungsschlüssel (KEK) bezeichnet.

Wir sind uns bewusst, dass einige Organisationen es vorziehen, ihre Sicherheit selbst zu verwalten, daher geben wir Ihnen die Möglichkeit, Ihren eigenen Customer Main Key (CMK) zu verwalten. Das bedeutet, dass Sie die Verantwortung für das Erstellen und Drehen (erneute Verschlüsselung) des Hauptschlüssels übernehmen, den Webex für die Verschlüsselung Ihrer Inhalte verwendet.

In Zukunft bezieht sich ein Schlüssel auf den CMK, sofern nicht anders angegeben.

So funktioniert es

Webex speichert Ihren CMK in einem Hardware-Sicherheitsmodul (HSM), sodass die Webex -Dienste keinen Zugriff auf den CMK-Wert haben.
Control Hub zeigt Ihren derzeit aktiven oder widerrufenen CMK und alle ausstehenden CMK an, die im HSM gespeichert sind. Wenn Sie das CMK rotieren (erneut verschlüsseln) müssen, generieren Sie Ihr neues CMK und verschlüsseln es mit dem öffentlichen Schlüssel des HSM, sodass nur der HSM es entschlüsseln und speichern kann.
Anschließend laden Sie den neuen CMK in Control Hub hoch und aktivieren ihn. Webex verwendet ab sofort den neuen CMK für die Verschlüsselung Ihrer Inhaltsschlüssel. Webex behält den alten CMK bei, jedoch nur, bis sichergestellt ist, dass Ihre Inhaltsverschlüsselungsschlüssel durch den neuen CMK geschützt sind.

Wir verschlüsseln nicht alle vorhandenen Inhalte rückwirkend neu. Nachdem Sie CMK aktiviert haben, werden alle neuen Inhalte (Bereiche und Meetings) erneut verschlüsselt und geschützt.

Allgemeines zu AWS KMS-Tasten

Wir wissen, dass einige Organisationen ihren eigenen Schlüssel lieber außerhalb von Webex verwalten. Deshalb bieten wir Ihnen die Möglichkeit, Ihre eigene CMK im Amazon Web Services (AWS) Key Management Service (KMS) zu verwalten. Dies bedeutet, dass Sie für die Verwaltung Ihrer Schlüssel in der AWS KMS verantwortlich sind. Sie autorisieren Webex, das Ver- und Entschlüsseln mit Ihrem AWS KMS-Schlüssel über die AWS-Konsole durchzuführen. Sie stellen Webex Ihre AWS KMS-Schlüssel-ID anstelle Ihres CMK bereit. Das bedeutet, dass Sie die Verantwortung für das Erstellen und Drehen (erneute Verschlüsselung) des AWS KMS-Schlüssels übernehmen, den Webex zum Verschlüsseln Ihrer Inhaltsverschlüsselungscodes in der Cloud verwendet.

So funktioniert es

Sie erstellen einen Schlüssel mit AWS. Das AWS KMS wird zur Verwaltung Ihres Schlüssels verwendet und speichert den Schlüssel in einem Hardware-Sicherheitsmodul (HSM).
Sie stellen Webex über die AWS-Konsole Zugriff zur Verwendung des AWS KMS-Schlüssels zur Verfügung.

Anstatt CMK in Control Hub hochzuladen, können Sie Webex Zugriff auf den AWS KMS-Schlüssel gewähren. Der AWS KMS-Schlüssel lässt AWS KMS nicht zurück und Webex-Dienste haben keinen Zugriff auf das AWS KMS-Schlüsselmaterial.

Control Hub zeigt Ihren derzeit aktiven oder gesperrten AWS KMS-Schlüssel und alle ausstehenden AWS KMS-Schlüssel an, die in AWS KMS gespeichert sind. Wenn Sie den AWS KMS Schlüssel drehen müssen, generieren Sie Ihren neuen AWS KMS Schlüssel mit der AWS KMS Konsole.
Anschließend fügen Sie den neuen AWS KMS-Schlüssel in Control Hub hinzu und aktivieren ihn mit dem Amazon Resource Name (ARN) des neuen AWS KMS-Schlüssels. Webex verwendet sofort den neuen AWS KMS-Schlüssel für die Verschlüsselung Ihrer Inhaltsschlüssel. Webex benötigt nicht mehr den alten AWS KMS-Schlüssel. Der alte AWS KMS-Schlüssel verschwindet aus Control Hub, nachdem Ihre Inhaltsverschlüsselungsschlüssel gedreht und mit dem neuen AWS KMS-Schlüssel gesichert wurden. Webex löscht den AWS KMS-Schlüssel nicht aus dem AWS KMS. Der Kundenadministrator kann den Schlüssel aus dem AWS-KMS entfernen.

Schlüsselzustände und Lebenszyklus

Schlüssellebenszyklus

Schlüsselstatusdefinitionen

Ausstehend

Ein Schlüssel in diesem Status ist im HSM gespeichert, wird jedoch noch nicht für die Verschlüsselung verwendet. Webex verwendet diesen CMK nicht für die Verschlüsselung.

Nur ein Schlüssel kann diesen Status haben.

Aktiv

Webex verwendet derzeit diesen CMK, um andere Schlüssel für Ihre Organisation zu verschlüsseln.

Nur ein Schlüssel kann diesen Status haben.

Rotation

Webex verwendet vorübergehend diesen CMK. Webex benötigt ihn, um Ihre Daten und Schlüssel zu entschlüsseln, die zuvor mit diesem Schlüssel verschlüsselt wurden. Dieser Schlüssel wird deaktiviert, wenn die Rotation (erneute Verschlüsselung) abgeschlossen ist.

Mehrere Schlüssel können diesen Status haben, wenn ein neuer Schlüssel aktiviert wird, bevor die Rotation abgeschlossen ist.

Im Ruhestand

Webex verwendet diesen CMK nicht. Dieser Schlüssel wird nicht mehr für die Verschlüsselung verwendet. Es wird eine Gültigkeitsdauer für einen Schlüssel festgelegt. Anschließend wird dieser Schlüssel aus dem HSM entfernt.

Widerrufen

Webex verwendet diesen CMK nicht. Selbst wenn Daten und Schlüssel vorhanden sind, die mit diesem Schlüssel verschlüsselt wurden, kann Webex diese nicht zum Entschlüsseln der Daten und Schlüssel verwenden.

Sie müssen einen aktiven Schlüssel nur widerrufen, wenn Sie vermuten, dass er kompromittiert wurde. Dies ist eine schwerwiegende Entscheidung, da viele Vorgänge nicht ordnungsgemäß ausgeführt werden können. Beispielsweise können Sie keine neuen Bereiche erstellen und Sie können keine Inhalte im Webex Client entschlüsseln.
Nur ein Schlüssel kann diesen Status haben. Sie müssen diesen Schlüssel erneut aktivieren, um einen neuen Schlüssel zu rotieren (erneut zu verschlüsseln).
Dieser CMK kann gelöscht werden, muss aber nicht gelöscht werden. Möglicherweise möchten Sie es zur Entschlüsselung/erneuten Verschlüsselung aufbewahren, nachdem Sie die vermutete Sicherheitsverletzung behoben haben.

Gelöscht

Webex verwendet diesen CMK nicht. Das Verhalten in diesem Status entspricht dem Verhalten beim Widerrufen-Status, mit der Ausnahme, dass eine Gültigkeitsdauer für einen Schlüssel festgelegt ist. Danach wird dieser Schlüssel vom HSM entfernt.

Wenn ein gelöschter CMK den Status „Entfernt“ erhält, müssen Sie den ursprünglichen Schlüssel wiederherstellen, um die Funktionalität der Organisation wiederherzustellen.

Wir empfehlen Ihnen, eine Sicherungskopie Ihres ursprünglichen Schlüssels aufzubewahren, da Ihre Organisation andernfalls nicht mehr funktionsfähig ist.

Entfernt

Dies ist ein logischer Status. Webex hat diesen CMK nicht im HSM gespeichert. Es wird nicht im Control Hub angezeigt.

Anforderungen

Eigentumsrechte

Wenn Sie die Verantwortung für Ihren CMK übernehmen, müssen Sie:

Übernehmen Sie die Verantwortung für die sichere Erstellung und Sicherung Ihrer Schlüssel
Machen Sie sich mit den Folgen des Verlusts Ihrer Schlüssel vertraut
Aktives CMK mindestens einmal pro Jahr als Best Practice erneut verschlüsseln

Schlüsselerstellung

Sie müssen Ihren eigenen CMK mit diesen Parametern erstellen. Ihr Schlüssel muss wie folgt lauten:

256 Bit (32 Byte) lang
Mit dem RSA-OAEP-Schema verschlüsselt
Verschlüsselt mit dem öffentlichen Webex Cloud HSM-Schlüssel

Ihre Software für die Schlüsselgenerierung muss Folgendes können:

SHA-256-Hash-Funktion
Funktion zur Generierung von MFG1-Masken
PKCS#1 OAEP-Auffüllung

Siehe Beispiel: Schlüssel erstellen und verschlüsseln mit OpenSSL auf der Registerkarte Ressourcen in diesem Artikel.

Autorisierung

Sie müssen Zugriff auf Ihre Webex Organisation in Control Hub haben. Sie müssen ein Volladministrator um Ihren CMK zu verwalten.

Kunden-Hauptschlüssel erstellen und aktivieren

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung . Um BYOK zu aktivieren, schalten Sie Bringen Sie Ihren eigenen Schlüssel (BYOK) ein. Wenn Sie BYOK deaktivieren, wird der Allgemeine Webex Standardtaste wird zum Hauptschlüssel für Ihre Organisation.
3	Wählen Sie Einen benutzerdefinierten Schlüssel hochladen und klicken Sie auf Weiter .
4	Klicken Sie auf Öffentlichen Schlüssel herunterladen . Speichern Sie den öffentlichen Webex HSM-Schlüssel in einer PEM-Datei auf Ihrem lokalen System.
5	Erstellen Sie mit Ihrer Schlüsselverwaltungssoftware einen kryptographisch sicheren zufälligen 256-Bit-Schlüssel (32 Byte).
6	Verwenden Sie den öffentlichen Webex HSM-Schlüssel, um Ihren neuen Schlüssel zu verschlüsseln. Die erforderlichen Verschlüsselungsparameter sind: RSA-OAEP-Schema SHA-256-Hash-Funktion Funktion zur Generierung von MFG1-Masken PKCS#1 OAEP-Auffüllung Siehe Beispiel: Schlüssel erstellen und verschlüsseln mit OpenSSL auf der Registerkarte Ressourcen in diesem Artikel.
7	Ziehen Sie den verschlüsselten Schlüssel aus Ihrem Dateisystem per Drag-and-Drop im Upload-Bereich der Control Hub-Benutzeroberfläche, oder klicken Sie auf Datei auswählen .
8	Klicken Sie auf Weiter. Webex lädt Ihren Schlüssel in das HSM hoch, wo er entschlüsselt und validiert wird. Anschließend zeigt Control Hub die ID Ihres neuen CMK und die ID des derzeit aktiven CMK an, falls vorhanden. Wenn dies Ihr erster CMK ist, ist der derzeit aktive Schlüssel der Allgemeine Webex Standardtaste (diejenige, die wir derzeit für die Verschlüsselung der Schlüssel Ihrer Organisation verwenden).
9	Wählen Sie aus, wie Sie Ihren Schlüssel aktivieren möchten: Neuen Schlüssel aktivieren : Der neue CMK wechselt sofort in den Status Aktiv. Das zuvor aktive CMK wechselt in den Status „Rotation“ (Erneute Verschlüsselung), bis alle Inhalte durch das neue CMK geschützt sind. Anschließend löscht Webex das zuvor aktive CMK. Später aktivieren : Der neue CMK wird in den Status „Ausstehend“ versetzt. Webex behält diesen CMK im HSM bei, verwendet ihn jedoch noch nicht. Webex verwendet weiterhin den derzeit aktiven CMK zum Verschlüsseln der Schlüssel Ihrer Organisation.

Nächste Schritte

Wir verschlüsseln nicht alle vorhandenen Inhalte rückwirkend neu. Sobald Sie CMK aktivieren, werden alle neuen Inhalte (Bereiche und Meetings) erneut verschlüsselt und geschützt.

Schlüssel drehen

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
3	Rufen Sie das aktive CMK auf.
4	Klicken Sie und wählen Sie Drehen .
5	Erstellen und verschlüsseln Sie einen neuen Schlüssel (falls Sie dies noch nicht getan haben). Der Prozess ist beschrieben in Kunden-Hauptschlüssel erstellen und aktivieren in diesem Artikel beschrieben.
6	Ziehen Sie den neuen Schlüssel aus Ihrem Dateisystem und legen Sie ihn in Control Hub ab.
7	Klicken Sie auf Neuen Schlüssel aktivieren . Der neue Schlüssel, den Sie hochgeladen haben, wird in den Status Aktiv versetzt. Die alte CMK bleibt im Rotationsstatus (Umverschlüsselungsstatus), bis Webex die Verschlüsselung aller Inhalte mit der neuen aktiven CMK abschließt. Nach der erneuten Verschlüsselung wechselt der Schlüssel in den Status "Im Ruhestand". Webex löscht dann den alten CMK.

Schlüssel widerrufen

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
3	Wechseln Sie zur aktiven Taste.
4	Klicken Sie und wählen Sie Widerrufen .
5	Bestätigen Sie den Schlüsselwiderruf. Es kann bis zu 10 Minuten dauern, bis Ihr Schlüssel vollständig widerrufen wird.

Ihren widerrufenen Schlüssel erneut aktivieren

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
3	Rufen Sie den aktuell gesperrten Schlüssel auf.
4	Klicken Sie und wählen Sie Aktivieren .
5	Bestätigen Sie die Schlüsselaktivierung. Der zuvor widerrufene Schlüssel wird in den Status „Aktiv“ versetzt.

Ihren widerrufenen Schlüssel löschen

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
3	Rufen Sie den widerrufenen Schlüssel auf.
4	Klicken Sie und wählen Sie „Löschen“ aus.
5	Bestätigen Sie das Löschen des Schlüssels. Nach dem Löschen haben Sie die Möglichkeit, den Schlüssel innerhalb von 30 Tagen wiederherzustellen.

Ihren widerrufenen Schlüssel wiederherstellen

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
3	Rufen Sie den gelöschten Schlüssel auf.
4	Klicken Sie und wählen Sie Undelete .
5	Bestätigen Sie die Wiederherstellung des Schlüssels. Nach der Wiederherstellung zeigt Control Hub Ihnen den Schlüssel im Status "Widerrufen" an, bevor er gelöscht wurde. Wenn Sie beispielsweise einen gesperrten Schlüssel löschen und den Schlüssel dann wiederherstellen, zeigt Control Hub den wiederhergestellten Schlüssel im Status "Rückgängig" an.

Anforderungen

Eigentumsrechte

Wenn Sie die Verantwortung für Ihren AWS KMS-Schlüssel übernehmen, müssen Sie:

Übernehmen Sie die Verantwortung für die sichere Erstellung und Sicherung Ihrer AWS KMS-Schlüssel.
Machen Sie sich mit den Auswirkungen des Verlusts Ihrer AWS KMS-Schlüssel vertraut.
Verschlüsseln Sie Ihren aktiven AMS KMS-Schlüssel mindestens einmal pro Jahr als Best Practice.

Autorisierung

Sie müssen autorisiert sein, Ihre Schlüssel in der AWS KMS für Ihre Webex-Organisation zu erstellen und zu verwalten.
Sie müssen Zugriff auf Ihre Webex Organisation in Control Hub haben. Sie müssen ein Volladministrator sein , um Ihren AWS KMS-Schlüssel zu verwalten.

AWS KMS-Schlüssel erstellen

1	Melden Sie sich bei AWS an und gehen Sie zur AWS KMS-Konsole.
2	Wählen Sie Vom Kunden verwaltete Schlüssel und klicken Sie dann auf Schlüssel erstellen .
3	Erstellen Sie den Schlüssel mit den folgenden Attributen: Schlüsseltyp: Wählen Sie „Symmetrisch“ aus. Schlüsselnutzung: Wählen Sie Verschlüsseln und Entschlüsseln aus. Bezeichnungen: Geben Sie den Alias, die Beschreibung und die Tags ein. Schlüsseladministratoren – Wählen Sie die wichtigsten Administratorbenutzer und -rollen Ihrer Organisation aus. Schlüssellöschung – Aktivieren Sie das Kontrollkästchen Erlauben Sie Schlüsseladministratoren, diesen Schlüssel zu löschen. Schlüsselbenutzer: Wählen Sie die wichtigsten Benutzer und Rollen Ihrer Organisation aus.
4	Klicken Sie auf Weiter.
5	Überprüfen Sie Ihre Einstellungen und klicken Sie auf „Beenden“ . Ihr AWS KMS-Schlüssel wurde erstellt.
6	Navigieren Sie zu Vom Kunden verwaltete Schlüssel und klicken Sie auf den Alias oder die Schlüssel-ID, um den ARN anzuzeigen.

Nächste Schritte

Wir empfehlen Ihnen, eine temporäre Kopie der ARN zu behalten. Dieser ARN wird verwendet, um Ihren AWS KMS-Schlüssel in Control Hub hinzuzufügen und zu aktivieren.

Cisco KMS mit Zugriff auf den AWS KMS-Schlüssel autorisieren

Melden Sie sich bei AWS an und gehen Sie zur AWS CloudShell-Konsole.

Führen Sie create-grant um Webex wie folgt zu autorisieren:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Zum Beispiel:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Die Datei KMS_CISCO_USER_ARN ist spezifisch für Ihre Organisation. Der ARN wird im Fenster „AWS hinzufügen“ angezeigt, wenn Sie Ihren neuen AWK-KMS-Schlüssel in Control Hub aktivieren.

Ihren AWS KMS-Schlüssel hinzufügen und aktivieren

Vorbereitungen

Sie müssen einen AWS KMS-Schlüssel erstellen, bevor Sie ihn in Control Hub aktivieren. Siehe Erstellen Sie einen AWS KMS-Schlüssel in diesem Artikel.

Sie müssen Webex Zugriff auf den AWS KMS-Schlüssel gewähren. Siehe „Cisco KMS mit Zugriff auf den AWS KMS-Schlüssel autorisieren“ in diesem Artikel.

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung und Bring Your Own Key (BYOK) aktivieren. Wenn Sie BYOK deaktivieren, wird der Allgemeine Webex Standardtaste wird zum Hauptschlüssel für Ihre Organisation.
3	Wählen Sie AWS KMS-Schlüssel hinzufügen und klicken Sie auf Weiter .
4	Holen Sie sich die ARN von der AWS-Konsole.
5	Geben Sie den ARN in Control Hub ein und klicken Sie auf Hinzufügen . Ihr Schlüssel-ARN wird in das Cisco KMS hochgeladen, wo der Zugriff auf den Schlüssel validiert ist. Anschließend zeigt Control Hub Ihnen die Cisco KMS-Schlüssel-ID Ihres neuen AWS KMS-Schlüssels und ggf. die aktuell aktive Cisco KMS-Schlüssel-ID an. Wenn es sich hierbei um Ihren ersten AWS KMS-Schlüssel handelt, ist der aktuell aktive Schlüssel der gängige Webex-Standardschlüssel (der, den wir derzeit für die Verschlüsselung der Schlüssel Ihrer Organisation verwenden).
6	Wählen Sie aus, wie Sie Ihren Schlüssel aktivieren möchten: Aktivieren : Der neue AWS KMS Schlüssel geht sofort in den Aktiven Zustand. Später aktivieren : Der neue AWS KMS-Schlüssel wechselt in den Ausstehenden Status. Webex behält diesen AWS KMS-Schlüssel-ARN im Cisco KMS bei, verwendet ihn aber noch nicht. Webex verwendet weiterhin den derzeit aktiven AWS KMS-Schlüssel für die Verschlüsselung der Schlüssel Ihrer Organisation.

AWS KMS-Schlüssel drehen

1	Melden Sie sich bei Control Hub an und gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
2	Rufen Sie den aktiven AWS KMS-Schlüssel auf.
3	Klicken Sie und wählen Sie Drehen .
4	Geben Sie Ihren neuen AWS KMS-Schlüssel und den neuen ARN ein und klicken Sie auf Hinzufügen . Der Vorgang wird unter Hinzufügen und Aktivieren Ihres AMS KMS-Schlüssels in diesem Artikel beschrieben.
5	Klicken Sie auf Aktivieren. Der neue AWS KMS-Schlüssel, den Sie hochgeladen haben, wechselt in den Aktivstatus. Der alte AWS KMS-Schlüssel bleibt im Rotating-Status, bis Webex die Verschlüsselung aller Inhalte mit dem neuen Aktiven AWS KMS-Schlüssel abschließt. Nach der erneuten Verschlüsselung verschwindet der alte AWS KMS-Schlüssel automatisch aus Control Hub.

Drehen, um einen weiteren AWS KMS-Schlüssel hinzuzufügen (optional)

1	Melden Sie sich bei Control Hub an und gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
2	Klicken Sie auf Weitere Taste hinzufügen .
3	Geben Sie Ihren neuen AWS KMS-Schlüssel ein und klicken Sie auf Hinzufügen . Control Hub zeigt Ihnen die Cisco KMS-Schlüssel-ID Ihres neuen AWS KMS-Schlüssels und die ID der aktuell aktiven Cisco KMS-Schlüssel-ID an. Der Vorgang wird unter Hinzufügen und Aktivieren Ihres AMS KMS-Schlüssels in diesem Artikel beschrieben.
4	Klicken Sie auf Aktivieren. Der neue AWS KMS-Schlüssel, den Sie hochgeladen haben, wechselt in den Aktivstatus. Der alte AWS KMS-Schlüssel bleibt im Rotating-Status, bis Webex die Verschlüsselung aller Inhalte mit dem neuen Aktiven AWS KMS-Schlüssel abschließt. Nach der erneuten Verschlüsselung verschwindet der alte AWS KMS-Schlüssel automatisch aus Control Hub.

Ihren AWS KMS-Schlüssel widerrufen

1	Melden Sie sich bei Control Hub an und gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
2	Rufen Sie den derzeit aktiven AWS KMS-Schlüssel auf.
3	Klicken Sie auf und wählen Sie „Lokal widerrufen“ aus.
4	Bestätigen Sie den Schlüsselwiderruf. Es kann bis zu 10 Minuten dauern, bis Ihr Schlüssel vollständig widerrufen wird. Der AWS KMS-Schlüssel wechselt in den Status "Lokal gesperrt".

Wenn Ihr Kundenadministrator den Schlüssel aus der AWS KMS-Konsole entzieht, wird der AWS KMS-Schlüssel im Status „Von Amazon widerrufen“ in Control Hub angezeigt.

Löschen Sie Ihren AWS KMS-Schlüssel

1	Melden Sie sich bei Control Hub an und gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
2	Rufen Sie den gesperrten AWS KMS-Schlüssel auf.
3	Klicken Sie und wählen Sie „Löschen“ aus.
4	Bestätigen Sie das Löschen des Schlüssels. Nach dem Löschen können Sie den Schlüssel innerhalb von 30 Tagen wiederherstellen.

Wir empfehlen Ihnen, zuerst den AWS KMS-Schlüssel aus Control Hub zu löschen, bevor Sie Ihr CMK aus der AWS-Konsole löschen. Wenn Sie Ihr CMK aus der AWS-Konsole löschen, bevor Sie den AWS KMS-Schlüssel in Control Hub löschen, können Probleme auftreten.

Stellen Sie sicher, dass der AWS KMS-Schlüssel nicht mehr in Control Hub angezeigt wird, bevor Sie Ihr CMK aus der AWS-Konsole löschen.

Ihren AWS KMS-Schlüssel wiederherstellen

1	Melden Sie sich bei Control Hub an und gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
2	Rufen Sie den gelöschten AWS KMS-Schlüssel auf.
3	Klicken Sie und wählen Sie Undelete .
4	Bestätigen Sie die Wiederherstellung des Schlüssels. Nach der Wiederherstellung zeigt Control Hub Ihnen den Schlüssel im Status „Widerrufen“ an.

Fehlerbehebung bei Ihrem AWS KMS-Schlüssel

Wenn Probleme mit Ihrem AWS KMS-Schlüssel auftreten, verwenden Sie die folgenden Informationen zur Fehlerbehebung.

AWS KMS Schlüssel-arn. Zum Beispiel: arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Zuschüsse für den AWS KMS Schlüssel .
AWS KMS-Schlüsselstatus. Beispielsweise ist der AWS KMS-Schlüssel deaktiviert.

Beispiel: Schlüssel erstellen und verschlüsseln mit OpenSSL

In diesem Beispiel wird Version 3.0 der OpenSSL-Befehlszeilentools verwendet. Siehe OpenSSL um mehr über diese Tools zu erfahren.

1	Melden Sie sich bei Control Hub an.
2	Gehen Sie zu Organisationseinstellungen > Schlüsselverwaltung .
3	Klicken Sie auf Öffentlichen Schlüssel herunterladen . Sie erhalten den öffentlichen Webex HSM-Schlüssel in einer .pem-Datei auf Ihrem lokalen System.
4	Erstellen Sie einen 256-Bit-Schlüssel (32 Byte): `openssl rand 32 -out main_key.bin` Im Beispiel wird der Dateinamemain_key .bin für Ihren unverschlüsselten neuen Schlüssel.
5	Verwenden Sie den öffentlichen Webex HSM-Schlüssel, um Ihren neuen Schlüssel zu verschlüsseln: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Im Beispiel wird der Dateinamemain_key_encrypted .bin für den verschlüsselten Ausgabeschlüssel und den Dateinamen Pfad/zu/public.pem für den öffentlichen Webex Schlüssel. Der verschlüsselte Schlüssel kann jetzt in Control Hub hochgeladen werden.