Gestionați-vă propria cheie principală de client

Această funcție nu este acceptată pentru Webex for Government.

Ca parte a angajamentului nostru față de securitatea end-to-end, Webex deține o cheie principală în numele fiecărei organizații. O numim cheie principală deoarece nu criptează conținutul direct, ci este folosită pentru a cripta celelalte chei ale organizației dvs. care criptează conținutul. Nivelul de bază al ierarhiei cheilor se numește cheia de conținut (CK), iar nivelurile intermediare ale cheilor se numesc chei de criptare a cheilor (KEK).

Înțelegem că unele organizații preferă să își gestioneze propria securitate, așa că vă oferim opțiunea de a vă gestiona propria cheie principală de client (CMK). Aceasta înseamnă că vă asumați responsabilitatea pentru crearea și rotirea (recriptarea) cheii principale pe care Webex o folosește pentru a cripta cheile de criptare a conținutului.

De acum înainte, o cheie se referă la CMK, cu excepția cazului în care se specifică altfel.

Cum funcționează

Webex păstrează CMK-ul într-un modul de securitate hardware (HSM), astfel încât serviciile Webex să nu aibă acces la valoarea CMK.
Control Hub afișează CMK-ul activ sau revocat în prezent și orice CMK în așteptare stocat în HSM. Când trebuie să rotiți (recriptați) CMK-ul, generați noul CMK și îl criptați cu cheia publică a HSM-ului, astfel încât numai HSM-ul să îl poată decripta și stoca.
Apoi încărcați și activați noul CMK în Control Hub. Webex începe imediat să utilizeze noul CMK pentru criptarea cheilor de conținut. Webex păstrează vechiul CMK, dar numai până când se asigură că cheile de criptare a conținutului sunt securizate de noul CMK.

Nu recriptăm retroactiv tot conținutul existent. După ce activezi CMK-ul, tot conținutul nou (Spații și Întâlniri) este recriptat și protejat.

Despre cheile AWS KMS

Înțelegem că unele organizații preferă să își gestioneze propria cheie în afara Webex. De aceea, vă oferim opțiunea de a vă gestiona propriul CMK în cadrul serviciului de gestionare a cheilor (KMS) Amazon Web Services (AWS). Aceasta implică faptul că ești responsabil pentru gestionarea cheilor tale în AWS KMS. Autorizați Webex să cripteze și să decripteze folosind cheia dvs. AWS KMS prin consola AWS. Furnizați către Webex ID-ul cheii AWS KMS în loc de CMK. Aceasta înseamnă că vă asumați responsabilitatea pentru crearea și rotirea (recriptarea) cheii AWS KMS pe care Webex o folosește pentru a cripta cheile de criptare a conținutului în cloud.

Cum funcționează

Creați o cheie cu AWS. AWS KMS este utilizat pentru a gestiona cheia și stochează cheia într-un modul de securitate hardware (HSM).
Oferiți Webex acces pentru a utiliza cheia AWS KMS prin consola AWS.

Asta înseamnă că, în loc să încărcați CMK-ul în Control Hub, oferiți companiei Webex acces la cheia AWS KMS. Cheia AWS KMS nu părăsește AWS KMS, iar serviciile Webex nu au acces la materialul cheii AWS KMS.

Control Hub afișează cheia AWS KMS activă sau revocată în prezent și orice cheie AWS KMS în așteptare care este stocată în AWS KMS. Când trebuie să rotiți cheia AWS KMS, generați noua cheie AWS KMS cu ajutorul consolei AWS KMS.
Apoi adăugați și activați noua cheie AWS KMS în Control Hub, furnizându-i numele resursă Amazon (ARN) al noii chei AWS KMS. Webex începe imediat să utilizeze noua cheie AWS KMS pentru criptarea cheilor de conținut. Webex nu mai necesită vechea cheie AWS KMS. Vechea cheie AWS KMS va dispărea din Control Hub după ce cheile de criptare a conținutului vor fi rotite și securizate de noua cheie AWS KMS. Webex nu șterge cheia AWS KMS din AWS KMS. Administratorul clientului poate elimina cheia din AWS KMS.

Stări cheie și ciclu de viață

Ciclul de viață al cheii

Definiții ale stărilor cheie

În așteptare

O cheie în această stare este stocată în HSM, dar nu este încă utilizată pentru criptare. Webex nu folosește această CMK pentru criptare.

Doar o cheie poate fi în această stare.

Activ(ă)

Webex utilizează în prezent această cheie CMK pentru a cripta alte chei pentru organizația dvs.

Doar o cheie poate fi în această stare.

Rotație

Webex utilizează temporar această CMK. Webex are nevoie de aceasta pentru a decripta datele și cheile care au fost criptate anterior de această cheie. Această cheie este retrasă când rotația (recriptarea) este completă.

Mai multe taste pot fi în această stare dacă o tastă nouă este activată înainte de finalizarea rotirii.

Retrasă

Webex nu folosește această CMK. Această cheie nu mai este utilizată pentru criptare. Se setează o durată de viață a cheii, după care această cheie este eliminată din HSM.

Revocată

Webex nu folosește această CMK. Chiar dacă există date și chei care au fost criptate cu această cheie, Webex nu o poate utiliza pentru a decripta datele și cheile.

Trebuie să revocați o cheie activă doar dacă suspectați că este compromisă. Aceasta este o decizie serioasă, deoarece împiedică multe operațiuni să se desfășoare corect. De exemplu, nu veți putea crea spații noi și nu veți putea decripta niciun conținut în Webex Client.
Doar o cheie poate fi în această stare. Trebuie să reactivați această cheie pentru a roti (recripta) o cheie nouă.
Acest CMK poate fi șters, dar nu trebuie să îl ștergeți dumneavoastră. Poate doriți să îl păstrați pentru decriptare / recriptarea după ce remediați suspecta încălcare a securității.

Șterse

Webex nu folosește această CMK. Comportamentul în această stare este același ca în starea Revocată, cu excepția faptului că este setată o durată de viață a cheii, după care această cheie este eliminată din HSM.

Dacă o cheie CMK ștearsă trece la starea Eliminată, trebuie să recuperați cheia originală pentru a restabili funcționalitatea în cadrul organizației.

Vă recomandăm să păstrați o copie de rezervă a cheii originale, altfel organizația dumneavoastră nu va mai fi funcțională.

Eliminat(ă)

Aceasta este o stare logică. Webex nu are această CMK stocată în HSM. Nu este afișat în Control Hub.

Cerințe

Proprietate

Prin preluarea dreptului de proprietate asupra CMK-ului dvs., trebuie:

Asumați-vă responsabilitatea pentru crearea în siguranță și crearea de copii de rezervă ale cheilor dumneavoastră
Înțelegeți implicațiile pierderii cheilor
Recriptați CMK-ul activ cel puțin o dată pe an, ca practică recomandată.

Crearea cheii

Trebuie să vă creați propriul CMK folosind acești parametri. Cheia dumneavoastră trebuie să fie:

256 biți (32 octeți) lungime
Criptat cu schema RSA-OAEP
Criptat cu cheia publică Webex cloud HSM

Software-ul dumneavoastră de generare a cheilor trebuie să fie capabil să:

Funcția hash SHA-256
Funcția de generare a măștii MGF1
PKCS#1 Căptușeală OAEP

Consultați Exemplu: Creați și criptați chei cu OpenSSL în fila Resurse din acest articol.

Autorizație

Trebuie să aveți acces la organizația dvs. Webex în Control Hub. Trebuie să fii administrator completpentru a gestiona CMK-ul.

Creați și activați cheia principală a clientului

1	Conectați-vă la Control Hub.
2	Accesați Setări organizație > Gestionarea cheilor. Pentru a activa BYOK (Adu-ți propria cheie), comutați pe Bring Your Own Key (BYOK) [] la activarea opțiunii Bring Your Own Key (BYOK) (Adu-ți propria cheie). Dacă dezactivați BYOK, cheia implicită comună Webex devine cheia principală pentru organizația dvs.
3	Selectați Încărcați o cheie personalizată și faceți clic pe Următorul.
4	Faceți clic pe Descărcați cheia publică. Salvați cheia publică Webex HSM într-un fișier .pem pe sistemul local.
5	Creați o cheie aleatorie criptografică securizată pe 256 de biți (32 de octeți) folosind software-ul de gestionare a cheilor.
6	Folosește cheia publică Webex HSM pentru a cripta noua cheie. Parametrii de criptare necesari sunt: Schema RSA-OAEP Funcția hash SHA-256 Funcția de generare a măștii MGF1 PKCS#1 Căptușeală OAEP Consultați Exemplu: Creați și criptați chei cu OpenSSL în fila Resurse din acest articol.
7	Trageți cheia criptată din sistemul de fișiere și plasați-o în zona de încărcare a interfeței Control Hub sau faceți clic pe Alegeți un fișier.
8	Faceți clic pe Înainte. Webex încarcă cheia dvs. în HSM, unde este decriptată și validată. Apoi, Control Hub vă arată ID-ul noului CMK și ID-ul CMK-ului activ în prezent, dacă există. Dacă aceasta este prima dvs. CMK, cheia activă în prezent este cheia implicită comună Webex (cea pe care o folosim în prezent pentru criptarea cheilor organizației dvs.).
9	Alegeți cum doriți să activați cheia: Activează cheia nouă: Noul CMK intră imediat în starea Activă. CMK-ul activ anterior intră în Rotație (stare Recriptare), până când tot conținutul dvs. este protejat de noul CMK, după care Webex șterge CMK-ul activ anterior. Activează mai târziu: Noul CMK trece în starea În așteptare. Webex păstrează această CMK în HSM, dar nu o folosește încă. Webex continuă să utilizeze CMK-ul activ în prezent pentru criptarea cheilor organizației dvs.

Ce este de făcut în continuare

Nu recriptăm retroactiv tot conținutul existent. După ce activați CMK-ul, tot conținutul nou (Spații și Întâlniri) va fi recriptat și protejat.

Rotește cheia

1	Conectați-vă la Control Hub.
2	Accesați Setări organizație > Gestionarea cheilor.
3	Accesați CMK-ul activ.
4	Faceți clic pe și selectați Rotire.
5	Creați și criptați o cheie nouă (dacă nu ați făcut-o deja). Procesul este descris în Creați și activați cheia principală a clientului din acest articol.
6	Trageți noua cheie din sistemul de fișiere și plasați-o în Control Hub.
7	Faceți clic pe Activați cheia nouă. Noua cheie pe care ați încărcat-o intră în starea Activă. Vechiul CMK rămâne în Rotație (starea Recriptare) până când Webex termină de criptat tot conținutul său cu noul CMK activ. După recriptare, cheia trece în starea Retired (Retras). Webex șterge apoi vechea CMK.

Revocați cheia

1	Conectați-vă la Control Hub.
2	Accesați Setări organizație > Gestionarea cheilor.
3	Accesați tasta activă.
4	Faceți clic pe și selectați Revocare.
5	Confirmați revocarea cheii. Revocarea completă a cheii poate dura până la 10 minute.

Reactivați cheia revocată

1	Conectați-vă la Control Hub.
2	Accesați Setări organizație > Gestionarea cheilor.
3	Accesați cheia revocată în prezent.
4	Faceți clic pe și selectați Activare.
5	Confirmați activarea cheii. Cheia revocată anterior intră în starea Activă.

Ștergeți cheia revocată

1	Conectați-vă la Control Hub.
2	Accesați Setări organizație > Gestionarea cheilor.
3	Accesați cheia revocată.
4	Faceți clic pe și selectați Ștergeți.
5	Confirmați ștergerea cheii. După ștergere, aveți opțiunea de a restaura cheia în termen de 30 de zile.

Restaurați cheia revocată

1	Conectați-vă la Control Hub.
2	Accesați Setări organizație > Gestionarea cheilor.
3	Accesați cheia ștearsă.
4	Faceți clic pe și selectați Anulare ștergere.
5	Confirmați restaurarea cheii. După restaurare, Control Hub vă arată cheia în starea Revocată, înainte de a fi ștearsă. De exemplu, dacă ștergeți o cheie revocată și apoi o restaurați, Control Hub afișează cheia restaurată în starea Revocată.

Cerințe

Proprietate

Prin preluarea dreptului de proprietate asupra cheii AWS KMS, trebuie:

Asumați-vă responsabilitatea pentru crearea și copierea de rezervă în siguranță a cheilor AWS KMS.
Înțelegeți implicațiile pierderii cheilor AWS KMS.
Ca practică recomandată, recriptați cheia AMS KMS activă cel puțin o dată pe an.

Autorizație

Trebuie să fiți autorizat să creați și să gestionați cheile în AWS KMS pentru organizația dvs. Webex.
Trebuie să aveți acces la organizația dvs. Webex în Control Hub. Trebuie să fii administrator completpentru a gestiona cheia AWS KMS.

Creați o cheie AWS KMS

1	Conectați-vă la AWS și accesați consola AWS KMS.
2	Selectați Chei gestionate de client și apoi faceți clic pe Creare cheie.
3	Creați cheia cu următoarele atribute: Tip cheie — Selectați Simetrică. Utilizarea cheii — Selectați Criptare și decriptare. Opțiuni avansate > Regionalitate — Selectați tasta Regiune unică sau tasta Regiune multiplă. Etichete — Introduceți Aliasul, Descrierea și Etichetele. Administratori cheie — Selectați utilizatorii și rolurile de administrator cheie ale organizației dvs. Ștergere cheie — Bifați Permiteți administratorilor de chei să șteargă această cheie. Utilizatori cheie — Selectați utilizatorii cheie și rolurile organizației dvs.
4	Faceți clic pe Următorul.
5	Verificați setările și faceți clic pe Finalizare. Cheia dvs. AWS KMS este creată.
6	Accesați Chei gestionate de client și faceți clic pe Alias sau ID-ul cheii pentru a vizualiza ARN-ul.

Ce este de făcut în continuare

Vă recomandăm să păstrați o copie temporară a ARN-ului. Acest ARN este utilizat pentru a adăuga și activa cheia AWS KMS în Control Hub.

De asemenea, vă recomandăm să creați o cheie de rezervă pentru a asigura disponibilitatea și reziliența datelor. Acest lucru permite accesul la date criptate chiar și în timpul întreruperilor regionale. Pentru mai multe informații, consultați Creați o cheie AWS KMS de rezervă din acest articol.

Creați o cheie AWS KMS de rezervă

Înainte de a începe

Asigurați-vă că ați creat o cheie multi-regiune înainte de a continua să creați o cheie de rezervă. Pentru mai multe informații, consultați Crearea unei chei AWS KMS din acest articol.

1	Conectați-vă la AWS și accesați consola AWS KMS.
2	Selectați cheia multi-regiune nou creată.
3	Sub Regionalitate, faceți clic pe Creare chei replică noi.
4	Alegeți o regiune de rezervă din lista de regiuni AWS și faceți clic pe Următorul. De exemplu, dacă cheia a fost creată în US West (us-west-1), luați în considerare crearea cheii de rezervă în US East (us-east-1).
5	Creați cheia cu următoarele atribute: Etichete — Introduceți Aliasul, Descrierea și Etichetele. Administratori cheie — Selectați utilizatorii și rolurile de administrator cheie ale organizației dvs. Ștergere cheie — Bifați Permiteți administratorilor de chei să șteargă această cheie. Utilizatori cheie — Selectați utilizatorii cheie și rolurile organizației dvs.
6	Faceţi clic pe Următorul.
7	Verificați setările, bifați caseta de confirmare și faceți clic pe Creați chei replică noi.

Autorizați Cisco KMS cu acces la cheia AWS KMS

Puteți autoriza Cisco KMS să acceseze cheia dvs. AWS KMS prin crearea unei autorizații KMS sau configurarea unui rol IAM. Alegeți opțiunea care se potrivește cel mai bine nevoilor organizației dvs. pentru a asigura o integrare sigură și flexibilă a managementului cheilor.

Utilizarea unei subvenții KMS

Această metodă implică acordarea directă a permisiunilor Cisco KMS pentru a efectua operațiuni criptografice asupra cheii dvs. AWS KMS.

Conectați-vă la AWS și accesați consola AWS CloudShell.

Executați create-grant pentru a autoriza Webex după cum urmează:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

De exemplu:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

KMS_CISCO_USER_ARN este specific organizației dumneavoastră. ARN-ul este afișat în fereastra Adăugați cheia AWS atunci când activați noua cheie AWK KMS în Control Hub.

Utilizarea unui rol IAM

Creați o politică IAM cu permisiunile KMS necesare și apoi atașați-o unui rol IAM pe care Cisco KMS îl poate asuma, permițând gestionarea accesului securizată și centralizată.

Configurați o politică IAM

1	Conectați-vă la AWS și accesați consola AWS KMS.
2	Accesați Servicii > IAM.
3	În panoul de navigare din stânga, selectați Politici, apoi faceți clic pe Creare politică.
4	În secțiunea Editor de politici, selectați opțiunea JSON.
5	Copiați și lipiți următorul document de politică. Înlocuiți `{key_arn}` cu numele resursei Amazon (ARN) al cheii dvs. AWS KMS. `{ "Version": “{date”}, "Statement": [ { "Sid": “Required Permissions to Cisco KMS”, "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ “{key_arn}” ] } ] }`
6	Faceţi clic pe Următorul.
7	Introduceți un Nume de politică și o Descriereopțională.
8	Faceți clic pe Creare politică.

Configurați un rol IAM

1	Conectați-vă la AWS și accesați consola AWS KMS.
2	Accesați Servicii > IAM.
3	În panoul de navigare din stânga, selectați Roluri, apoi faceți clic pe Creare rol.
4	Sub Tip de entitate de încredere, selectați Cont AWS.
5	Alegeți Un alt cont AWS.
6	În câmpul ID cont, introduceți ID-ul contului AWS furnizat în interfața Control Hub. Acesta este același ID de cont care face parte din `{KMS_CISCO_USER_ARN}`. De exemplu, 783772908578.
7	Faceți clic pe Înainte.
8	Sub Adăugare permisiuni, căutați și selectați politica IAM pe care tocmai ați creat-o.
9	Faceți clic pe Înainte.
10	Introduceți un Nume de rol și o Descriereopțională.
11	Verificați setările și faceți clic pe Creare rol.

Adăugați și activați cheia AWS KMS

Înainte de a începe

Trebuie să creați o cheie AWS KMS înainte de a o activa în Control Hub. Consultați Crearea unei chei AWS KMS în acest articol.

Trebuie să oferiți Webex acces la cheia AWS KMS. Consultați Autorizarea Cisco KMS cu acces la cheia AWS KMS din acest articol.

1	Conectați-vă la Control Hub.
2	Accesați Setări organizație > Gestionare cheiși activați Utilizați cheia proprie (BYOK). Dacă dezactivați BYOK, cheia implicită comună Webex devine cheia principală pentru organizația dvs.
3	Selectați Adăugați cheie AWS KMS și faceți clic pe Următorul.
4	Obțineți următoarele ARN-uri din consola AWS: ARN cheie primară—ARN-ul cheii AWS KMS principale. Puteți găsi acest lucru pe pagina cu detaliile cheii din consola AWS KMS. ARN cheie de rezervă (opțional) - ARN-ul cheii AWS KMS replică (de rezervă). Puteți găsi acest lucru pe pagina cu detalii a cheii replică din consola AWS KMS. ARN rol IAM (opțional) - ARN-ul rolului IAM pe care l-ați creat pentru a acorda acces Cisco KMS. Puteți găsi acest lucru pe pagina de rezumat a rolului din consola AWS IAM.
5	În Control Hub, introduceți ARN-ul cheii primare. Dacă este cazul, introduceți și ARN-ul cheii de rezervă și ARN-ul rolului IAM în câmpurile respective. Apoi, faceți clic pe Adăugare. ARN-ul cheii primare este încărcat în Cisco KMS, unde este validat accesul la cheie. Apoi, Control Hub vă afișează ID-ul cheii Cisco KMS pentru noua cheie AWS KMS și ID-ul cheii Cisco KMS active în prezent, dacă există. Dacă aceasta este prima dvs. cheie AWS KMS, cheia activă în prezent este cheia implicită comună Webex( cea pe care o folosim în prezent pentru criptarea cheilor organizației dvs.).
6	Alegeți cum doriți să activați cheia: Activează: Noua cheie AWS KMS intră imediat în starea Activă. Activează mai târziu: Noua cheie AWS KMS trece în starea În așteptare. Webex păstrează acest ARN al cheii AWS KMS în Cisco KMS, dar nu îl folosește încă. Webex continuă să utilizeze cheia AWS KMS activă în prezent pentru criptarea cheilor organizației dvs.

Rotiți cheia AWS KMS

1	Conectați-vă la Control Hubși accesați Setări organizație > Gestionarea cheilor.
2	Accesați cheia AWS KMS activă.
3	Faceți clic pe și selectați Rotire.
4	Introduceți noua cheie AWS KMS și noul ARN și faceți clic pe Adăugare. Procesul este descris în Adăugați și activați cheia AMS KMS din acest articol.
5	Faceți clic pe Activare. Noua cheie AWS KMS pe care ați încărcat-o intră în starea Activă. Vechea cheie AWS KMS rămâne în starea Rotativă până când Webex termină de criptat tot conținutul său cu noua cheie AWS KMS activă. După recriptare, vechea cheie AWS KMS dispare automat din Control Hub.

Rotiți pentru a adăuga o altă cheie AWS KMS (opțional)

1	Conectați-vă la Control Hubși accesați Setări organizație > Gestionarea cheilor.
2	Faceți clic pe Adăugați o altă cheie.
3	Introduceți noua cheie AWS KMS și faceți clic pe Adăugare. Control Hub vă afișează ID-ul cheii Cisco KMS pentru noua cheie AWS KMS și ID-ul cheii Cisco KMS active în prezent. Procesul este descris în Adăugați și activați cheia AMS KMS din acest articol.
4	Faceți clic pe Activare. Noua cheie AWS KMS pe care ați încărcat-o intră în starea Activă. Vechea cheie AWS KMS rămâne în starea Rotativă până când Webex termină de criptat tot conținutul său cu noua cheie AWS KMS activă. După recriptare, vechea cheie AWS KMS dispare automat din Control Hub.

Revocați cheia AWS KMS

1	Conectați-vă la Control Hubși accesați Setări organizație > Gestionarea cheilor.
2	Accesați cheia AWS KMS activă în prezent.
3	Faceți clic pe și selectați Revocare locală.
4	Confirmați revocarea cheii. Revocarea completă a cheii poate dura până la 10 minute. Cheia AWS KMS intră în starea Revocată local.

Dacă administratorul clientului revocă cheia din consola AWS KMS, atunci cheia AWS KMS este afișată în starea Revocată de Amazon în Control Hub.

Ștergeți cheia AWS KMS

1	Conectați-vă la Control Hubși accesați Setări organizație > Gestionarea cheilor.
2	Accesați cheia AWS KMS revocată.
3	Faceți clic pe și selectați Ștergeți.
4	Confirmați ștergerea cheii. După ștergere, puteți recupera cheia în termen de 30 de zile.

Vă recomandăm să ștergeți mai întâi cheia AWS KMS din Control Hub înainte de a șterge CMK-ul din consola AWS. Dacă ștergeți cheia CMK din consola AWS înainte de a șterge cheia AWS KMS din Control Hub, este posibil să întâmpinați probleme.

Asigurați-vă că cheia AWS KMS nu mai este vizibilă în Control Hub înainte de a șterge CMK-ul din consola AWS.

Restaurați cheia AWS KMS

1	Conectați-vă la Control Hubși accesați Setări organizație > Gestionarea cheilor.
2	Accesați cheia AWS KMS ștearsă.
3	Faceți clic pe și selectați Anulare ștergere.
4	Confirmați restaurarea cheii. După restaurare, Control Hub vă arată cheia în starea Revocată.

Depanarea cheii AWS KMS

Dacă întâmpinați probleme cu cheia AWS KMS, utilizați următoarele informații pentru a le depana.

ARN-ul cheii AWS KMS. De exemplu, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Granturi asupra cheii AWS KMS.
Starea cheii AWS KMS. De exemplu, cheia AWS KMS este dezactivată.

Exemplu: Creați și criptați chei cu OpenSSL

Acest exemplu utilizează versiunea 3.0 a instrumentelor din linia de comandă OpenSSL. Vedeți OpenSSL pentru mai multe informații despre aceste instrumente.

1	Conectați-vă la Control Hub.
2	Accesați Setări organizație > Gestionarea cheilor.
3	Faceți clic pe Descărcați cheia publică. Primiți cheia publică Webex HSM într-un fișier .pem pe sistemul local.
4	Creați o cheie de 256 de biți (32 de octeți): `openssl rand -out main_key.bin 32`. Exemplul folosește numele de fișier main_key.bin pentru noua cheie necriptată. Alternativ, puteți genera o valoare aleatorie de 32 de octeți folosind un dump hexadecimal, Python sau generatoare online. De asemenea, puteți crea și gestiona cheia AWS KMS.
5	Folosește cheia publică Webex HSM pentru a cripta noua cheie: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Exemplul folosește numele de fișier main_key_encrypted.bin pentru cheia de ieșire criptată și numele de fișier path/to/public.pem pentru cheia publică Webex. Cheia criptată este gata pentru încărcare în Control Hub.

Lecturi conexe

Cisco AI Assistant

Mulțumim pentru feedback.

Gestionați-vă propria cheie principală de client

Cum funcționează

Cum funcționează

Ciclul de viață al cheii

Definiții ale stărilor cheie

Proprietate

Crearea cheii

Autorizație

Proprietate

Autorizație

Utilizarea unei subvenții KMS

Utilizarea unui rol IAM

Configurați o politică IAM

Configurați un rol IAM

Întreprindere mică

Enterprise

Dispozitive

Soluții pentru

Resurse

Companie