Spravujte si vlastný hlavný kľúč zákazníka

Táto funkcia nie je podporovaná pre Webex pre vládu.

V rámci nášho záväzku k komplexnej bezpečnosti má spoločnosť Webex v mene každej organizácie hlavný kľúč. Nazývame ho hlavným kľúčom, pretože nešifruje obsah priamo, ale používa sa na šifrovanie ostatných kľúčov vašej organizácie, ktoré šifrujú obsah. Základná úroveň hierarchie kľúčov sa nazýva obsahový kľúč (CK) a medziľahlé úrovne kľúčov sa nazývajú šifrovacie kľúče kľúčov (KEK).

Chápeme, že niektoré organizácie uprednostňujú správu vlastnej bezpečnosti, preto vám dávame možnosť spravovať si vlastný hlavný kľúč zákazníka (CMK). To znamená, že preberáte zodpovednosť za vytvorenie a rotáciu (opätovné šifrovanie) hlavného kľúča, ktorý Webex používa na šifrovanie vašich šifrovacích kľúčov obsahu.

Pokiaľ nie je uvedené inak, kľúč sa v budúcnosti vzťahuje na CMK.

Ako to funguje

Webex uchováva váš kľúč CMK v hardvérovom bezpečnostnom module (HSM), aby služby Webex nemali prístup k hodnote CMK.
Control Hub zobrazuje váš aktuálne aktívny alebo zrušený CMK a všetky čakajúce CMK, ktoré sú uložené v HSM. Keď potrebujete otočiť (znovu zašifrovať) kľúč CMK, vygenerujete nový kľúč CMK a zašifrujete ho verejným kľúčom HSM, aby ho mohol dešifrovať a uložiť iba HSM.
Potom nahrajte a aktivujte nový CMK v Control Hub. Webex okamžite začne používať nový kľúč CMK na šifrovanie kľúčov obsahu. Webex si ponechá starý kľúč CMK, ale iba dovtedy, kým si nebude istý, že vaše šifrovacie kľúče obsahu sú zabezpečené novým kľúčom CMK.

Nešifrujeme spätne všetok existujúci obsah. Po aktivácii CMK sa všetok nový obsah (priestory a stretnutia) znova zašifruje a ochráni.

O kľúčoch AWS KMS

Uvedomujeme si, že niektoré organizácie uprednostňujú správu vlastných kľúčov mimo spoločnosti Webex. Preto vám dávame možnosť spravovať si vlastný kľúč CMK v službe správy kľúčov (KMS) od Amazon Web Services (AWS). To znamená, že ste zodpovední za správu svojich kľúčov v AWS KMS. Prostredníctvom konzoly AWS oprávňujete spoločnosť Webex na šifrovanie a dešifrovanie pomocou vášho kľúča AWS KMS. Webexu poskytnete ID kľúča AWS KMS namiesto vášho CMK. To znamená, že preberáte zodpovednosť za vytvorenie a rotáciu (opätovné šifrovanie) kľúča AWS KMS, ktorý Webex používa na šifrovanie vašich šifrovacích kľúčov obsahu v cloude.

Ako to funguje

Kľúč vytvoríte pomocou AWS. AWS KMS sa používa na správu vášho kľúča a ukladá ho do hardvérového bezpečnostného modulu (HSM).
Prostredníctvom konzoly AWS poskytujete spoločnosti Webex prístup k používaniu kľúča AWS KMS.

To znamená, že namiesto nahrávania vášho CMK do Control Hub poskytujete spoločnosti Webex prístup ku kľúču AWS KMS. Kľúč AWS KMS neopúšťa váš AWS KMS a služby Webex nemajú prístup k materiálu kľúča AWS KMS.

Control Hub zobrazuje váš aktuálne aktívny alebo zrušený kľúč AWS KMS a všetky čakajúce kľúče AWS KMS, ktoré sú uložené v AWS KMS. Keď potrebujete otočiť kľúč AWS KMS, vygenerujete si nový kľúč AWS KMS pomocou konzoly AWS KMS.
Potom pridáte a aktivujete nový kľúč AWS KMS v aplikácii Control Hub a poskytnete mu názov zdroja Amazon (ARN) nového kľúča AWS KMS. Webex okamžite začne používať nový kľúč AWS KMS na šifrovanie kľúčov vášho obsahu. Webex už nevyžaduje starý kľúč AWS KMS. Starý kľúč AWS KMS zmizne z Control Hub po rotácii kľúčov na šifrovanie obsahu a zabezpečení novým kľúčom AWS KMS. Webex neodstraňuje kľúč AWS KMS zo systému AWS KMS. Váš správca zákazníka môže odstrániť kľúč zo služby AWS KMS.

Kľúčové štáty a životný cyklus

Životný cyklus kľúča

Kľúčové definície štátov

Nevybavené

Kľúč v tomto stave je uložený v HSM, ale zatiaľ sa nepoužíva na šifrovanie. Webex nepoužíva tento kľúč CMK na šifrovanie.

V tomto stave môže byť iba jeden kľúč.

Aktívne

Webex momentálne používa tento kľúč CMK na šifrovanie ďalších kľúčov pre vašu organizáciu.

V tomto stave môže byť iba jeden kľúč.

Rotácia

Webex dočasne používa tento CMK. Webex ho potrebuje na dešifrovanie vašich údajov a kľúčov, ktoré boli predtým týmto kľúčom zašifrované. Tento kľúč sa vyradí z prevádzky po dokončení rotácie (opätovného šifrovania).

V tomto stave môže byť viacero kľúčov, ak sa pred dokončením rotácie aktivuje nový kľúč.

V dôchodku

Webex nepoužíva tento CMK. Tento kľúč sa už nepoužíva na šifrovanie. Nastaví sa čas životnosti kľúča, po ktorom sa tento kľúč odstráni z HSM.

Zrušené

Webex nepoužíva tento CMK. Aj keď existujú dáta a kľúče, ktoré boli týmto kľúčom zašifrované, Webex ho nemôže použiť na ich dešifrovanie.

Aktívny kľúč musíte zrušiť iba v prípade podozrenia, že bol zneužitý. Toto je vážne rozhodnutie, pretože bráni mnohým operáciám v správnom fungovaní. Napríklad nebudete môcť vytvárať nové priestory a nebudete môcť dešifrovať žiadny obsah v klientovi Webex.
V tomto stave môže byť iba jeden kľúč. Ak chcete otočiť (znovu zašifrovať) nový kľúč, musíte tento kľúč znova aktivovať.
Tento CMK sa dá odstrániť, ale nemusíte ho odstrániť. Možno si ho budete chcieť ponechať na dešifrovanie. / opätovné šifrovanie po vyriešení podozrenia z narušenia bezpečnosti.

Odstránené

Webex nepoužíva tento CMK. Správanie v tomto stave je rovnaké ako v stave Zrušené, s výnimkou nastavenia doby životnosti kľúča, po ktorej sa tento kľúč odstráni z HSM.

Ak odstránený kľúč CMK prejde do stavu Odstránené, musíte obnoviť pôvodný kľúč, aby ste obnovili funkčnosť organizácie.

Odporúčame vám uchovať si záložnú kópiu pôvodného kľúča, inak vaša organizácia prestane byť funkčná.

Odstránené

Toto je logický stav. Webex nemá tento CMK uložený v HSM. Nezobrazuje sa to v aplikácii Control Hub.

Požiadavky

Vlastníctvo

Prevzatím vlastníctva vášho CMK musíte:

Prevezmite zodpovednosť za bezpečné vytváranie a zálohovanie svojich kľúčov
Pochopte dôsledky straty kľúčov
Ako osvedčený postup by ste mali svoj aktívny CMK znova zašifrovať aspoň raz ročne.

Vytvorenie kľúča

Musíte si vytvoriť vlastný CMK pomocou týchto parametrov. Váš kľúč musí byť:

256 bitov (32 bajtov) dlhé
Šifrované pomocou schémy RSA-OAEP
Šifrované verejným kľúčom Webex cloud HSM

Váš softvér na generovanie kľúčov musí byť schopný:

Hašovacia funkcia SHA-256
Funkcia generovania masky MGF1
PKCS#1 Výplň OAEP

Pozri príklad : Vytvorte a zašifrujte kľúče pomocou OpenSSL na karte Zdroje v tomto článku.

Autorizácia

Musíte mať prístup k svojej organizácii Webex v Control Hub. Na správu vášho CMK musíte byť úplným správcom.

Vytvorte a aktivujte hlavný kľúč zákazníka

1	Prihláste sa do Control Hubu.
2	Prejdite na Nastavenia organizácie > Správa kľúčov. Ak chcete povoliť BYOK, prepnite prepínač Prineste si vlastný kľúč (BYOK). Ak zakážete BYOK, bežný predvolený kľúč Webex sa stane hlavným kľúčom pre vašu organizáciu.
3	Vyberte Nahrať vlastný kľúč a kliknite na Ďalej.
4	Kliknite na Stiahnuť verejný kľúč. Uložte verejný kľúč Webex HSM do súboru .pem vo vašom lokálnom systéme.
5	Vytvorte kryptograficky bezpečný 256-bitový (32-bajtový) náhodný kľúč pomocou softvéru na správu kľúčov.
6	Na zašifrovanie nového kľúča použite verejný kľúč Webex HSM. Požadované šifrovacie parametre sú: Schéma RSA-OAEP Hašovacia funkcia SHA-256 Funkcia generovania masky MGF1 PKCS#1 Výplň OAEP Pozri príklad : Vytvorte a zašifrujte kľúče pomocou OpenSSL na karte Zdroje v tomto článku.
7	Presuňte zašifrovaný kľúč zo súborového systému do oblasti nahrávania v rozhraní Control Hub alebo kliknite na Vybrať súbor.
8	Kliknite na Ďalej. Webex nahrá váš kľúč do HSM, kde sa dešifruje a overí. Control Hub vám potom zobrazí ID vášho nového CMK a ID aktuálne aktívneho CMK, ak existuje. Ak je toto váš prvý kľúč CMK, aktuálne aktívnym kľúčom je bežný predvolený kľúč Webex (ten, ktorý momentálne používame na šifrovanie kľúčov vašej organizácie).
9	Vyberte si, ako chcete aktivovať svoj kľúč: Aktivovať nový kľúč: Nový CMK okamžite prejde do aktívneho stavu. Predtým aktívny kľúč CMK prejde do stavu rotácie (opätovné šifrovanie), kým nebude všetok váš obsah chránený novým kľúčom CMK. Potom Webex predtým aktívny kľúč CMK odstráni. Aktivovať neskôr: Nový CMK sa presunie do stavu Čaká na vyriešenie. Webex uchováva tento CMK v HSM, ale zatiaľ ho nepoužíva. Webex naďalej používa aktuálne aktívny kľúč CMK na šifrovanie kľúčov vašej organizácie.

Čo robiť ďalej

Nešifrujeme spätne všetok existujúci obsah. Po aktivácii CMK bude všetok nový obsah (priestory a stretnutia) znova zašifrovaný a chránený.

Otočte kľúč

1	Prihláste sa do Control Hubu.
2	Prejdite na Nastavenia organizácie > Správa kľúčov.
3	Prejdite na aktívny CMK.
4	Kliknite na a vyberte Otočiť.
5	Vytvorte a zašifrujte nový kľúč (ak ste tak ešte neurobili). Postup je opísaný v časti Vytvorenie a aktivácia hlavného kľúča zákazníka v tomto článku.
6	Presuňte nový kľúč zo súborového systému do Control Hub.
7	Kliknite na Aktivovať nový kľúč. Nový kľúč, ktorý ste nahrali, prejde do aktívneho stavu. Starý kľúč CMK zostáva v stave Rotácia (opätovné šifrovanie), kým Webex nedokončí šifrovanie všetkého svojho obsahu pomocou nového aktívneho kľúča CMK. Po opätovnom zašifrovaní sa kľúč presunie do stavu „Vyradené“. Webex potom odstráni starý kľúč CMK.

Zrušte svoj kľúč

1	Prihláste sa do Control Hubu.
2	Prejdite na Nastavenia organizácie > Správa kľúčov.
3	Prejdite na aktívny kľúč.
4	Kliknite na a vyberte Zrušiť.
5	Potvrďte zrušenie kľúča. Úplné zrušenie vášho kľúča môže trvať až 10 minút.

Znovu aktivujte svoj zrušený kľúč

1	Prihláste sa do Control Hubu.
2	Prejdite na Nastavenia organizácie > Správa kľúčov.
3	Prejdite na aktuálne zrušený kľúč.
4	Kliknite na a vyberte Aktivovať.
5	Potvrďte aktiváciu kľúča. Predtým zrušený kľúč prejde do aktívneho stavu.

Odstráňte svoj zrušený kľúč

1	Prihláste sa do Control Hubu.
2	Prejdite na Nastavenia organizácie > Správa kľúčov.
3	Prejdite na zrušený kľúč.
4	Kliknite na a vyberte Odstrániť.
5	Potvrďte vymazanie kľúča. Po odstránení máte možnosť kľúč obnoviť do 30 dní.

Obnovte svoj zrušený kľúč

1	Prihláste sa do Control Hubu.
2	Prejdite na Nastavenia organizácie > Správa kľúčov.
3	Prejdite na odstránený kľúč.
4	Kliknite na a vyberte Obnoviť.
5	Potvrďte obnovenie kľúča. Po obnovení vám Control Hub zobrazí kľúč v stave Zrušené pred jeho odstránením. Napríklad, ak odstránite zrušený kľúč a potom ho obnovíte, Control Hub zobrazí obnovený kľúč v stave Zrušený.

Požiadavky

Vlastníctvo

Prevzatím vlastníctva vášho kľúča AWS KMS musíte:

Prevezmite zodpovednosť za bezpečné vytváranie a zálohovanie kľúčov AWS KMS.
Pochopte dôsledky straty kľúčov AWS KMS.
Ako osvedčený postup zašifrujte svoj aktívny kľúč AMS KMS aspoň raz ročne.

Autorizácia

Na vytváranie a správu kľúčov v AWS KMS pre vašu organizáciu Webex musíte mať oprávnenie.
Musíte mať prístup k svojej organizácii Webex v Control Hub. Na správu kľúča AWS KMS musíte byť s úplnými oprávneniami správcu.

Vytvorenie kľúča AWS KMS

1	Prihláste sa do AWS a prejdite do konzoly AWS KMS.
2	Vyberte Kľúče spravované zákazníkom a potom kliknite na Vytvoriť kľúč.
3	Vytvorte kľúč s nasledujúcimi atribútmi: Typ kľúča – vyberte Symetrický. Použitie kľúča – vyberte Šifrovať a dešifrovať. Rozšírené možnosti > Regionálnosť – vyberte Kľúč pre jeden región alebo Kľúč pre viacero regiónov. Štítky – zadajte alias, popis a značky. Kľúčoví administrátori – Vyberte kľúčových administrátorov a ich roly vo vašej organizácii. Odstránenie kľúča – Začiarknite políčko Povoliť správcom kľúčov odstrániť tento kľúč. Kľúčoví používatelia – vyberte kľúčových používateľov a roly vo vašej organizácii.
4	Kliknite na Ďalej.
5	Skontrolujte nastavenia a kliknite na tlačidlo Dokončiť. Váš kľúč AWS KMS je vytvorený.
6	Prejdite na Kľúče spravované zákazníkom a kliknite na alias alebo ID kľúča, čím zobrazíte ARN.

Čo robiť ďalej

Odporúčame vám uschovať si dočasnú kópiu ARN. Toto ARN sa používa na pridanie a aktiváciu vášho kľúča AWS KMS v Control Hub.

Taktiež odporúčame vytvoriť si záložný kľúč, aby ste zabezpečili dostupnosť a odolnosť údajov. To umožňuje prístup k šifrovaným údajom aj počas regionálnych výpadkov. Viac informácií nájdete v časti Vytvorenie záložného kľúča AWS KMS v tomto článku.

Vytvorte záložný kľúč AWS KMS

Predtým, ako začnete

Pred vytvorením záložného kľúča sa uistite, že ste vytvorili kľúč pre viac regiónov. Viac informácií nájdete v časti Vytvorenie kľúča AWS KMS v tomto článku.

1	Prihláste sa do AWS a prejdite do konzoly AWS KMS.
2	Vyberte novovytvorený kľúč pre viac oblastí.
3	V časti Regionálnosťkliknite na Vytvoriť nové replikačné kľúče.
4	Vyberte záložnú oblasť zo zoznamu oblastí AWS a kliknite na tlačidlo Ďalej. Napríklad, ak bol kľúč vytvorený v oblasti US West (us-west-1), zvážte vytvorenie záložného kľúča v oblasti US East (us-east-1).
5	Vytvorte kľúč s nasledujúcimi atribútmi: Štítky – zadajte alias, popis a značky. Kľúčoví administrátori – Vyberte kľúčových administrátorov a ich roly vo vašej organizácii. Odstránenie kľúča – Začiarknite políčko Povoliť správcom kľúčov odstrániť tento kľúč. Kľúčoví používatelia – vyberte kľúčových používateľov a roly vo vašej organizácii.
6	Kliknite na Ďalej.
7	Skontrolujte nastavenia, začiarknite potvrdzovacie políčko a kliknite na Vytvoriť nové repliky kľúčov.

Autorizujte Cisco KMS s prístupom ku kľúču AWS KMS

Službu Cisco KMS môžete autorizovať na prístup k vášmu kľúču AWS KMS vytvorením grantu KMS alebo konfiguráciou roly IAM. Vyberte si možnosť, ktorá najlepšie vyhovuje potrebám vašej organizácie, aby ste zabezpečili bezpečnú a flexibilnú integráciu správy kľúčov.

Použitie grantu KMS

Táto metóda zahŕňa priame udelenie povolení Cisco KMS na vykonávanie kryptografických operácií s vaším kľúčom AWS KMS.

Prihláste sa do AWS a prejdite do konzoly AWS CloudShell.

Spustite create-grant na autorizáciu Webexu nasledovne:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Napríklad:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

Znak KMS_CISCO_USER_ARN je špecifický pre vašu organizáciu. ARN sa zobrazí v okne Pridať kľúč AWS pri aktivácii nového kľúča AWK KMS v aplikácii Control Hub.

Používanie roly IAM

Vytvorte politiku IAM s potrebnými povoleniami KMS a potom ju priraďte k role IAM, ktorú môže Cisco KMS prevziať, čím umožníte bezpečnú a centralizovanú správu prístupu.

Konfigurácia politiky IAM

1	Prihláste sa do AWS a prejdite do konzoly AWS KMS.
2	Prejsť na Služby > IAM.
3	V ľavom navigačnom paneli vyberte položku Politikya potom kliknite na položku Vytvoriť politiku.
4	V sekcii Editor politík vyberte možnosť JSON.
5	Skopírujte a vložte nasledujúci dokument s pravidlami. Nahraďte `{key_arn}` názvom Amazon Resource Name (ARN) vášho kľúča AWS KMS. `{ "Version": “{date”}, "Statement": [ { "Sid": “Required Permissions to Cisco KMS”, "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ “{key_arn}” ] } ] }`
6	Kliknite na Ďalej.
7	Zadajte názov politiky a voliteľný popis.
8	Kliknite na Vytvoriť politiku.

Konfigurácia roly IAM

1	Prihláste sa do AWS a prejdite do konzoly AWS KMS.
2	Prejsť na Služby > IAM.
3	V ľavom navigačnom paneli vyberte položku Rolya potom kliknite na položku Vytvoriť rolu.
4	V časti Typ dôveryhodnej entityvyberte možnosť Účet AWS.
5	Vyberte Ďalší účet AWS.
6	Do poľa ID účtu zadajte ID účtu AWS uvedené v rozhraní Control Hub. Toto je to isté ID účtu, ktoré je súčasťou `{KMS_CISCO_USER_ARN}`. Napríklad 783772908578.
7	Kliknite na Ďalej.
8	V časti Pridať povoleniavyhľadajte a vyberte politiku IAM, ktorú ste práve vytvorili.
9	Kliknite na Ďalej.
10	Zadajte názov roly a voliteľný popis.
11	Skontrolujte si nastavenia a kliknite na Vytvoriť rolu.

Pridajte a aktivujte svoj kľúč AWS KMS

Predtým, ako začnete

Pred aktiváciou kľúča AWS KMS v aplikácii Control Hub musíte vytvoriť jeho názov. Pozrite si časť Vytvorenie kľúča AWS KMS v tomto článku.

Musíte poskytnúť spoločnosti Webex prístup ku kľúču AWS KMS. Pozrite si časť Autorizácia Cisco KMS s prístupom ku kľúču AWS KMS v tomto článku.

1	Prihláste sa do Control Hubu.
2	Prejdite na Nastavenia organizácie > Správa kľúčova prepnite Prineste si vlastný kľúč (BYOK). Ak zakážete BYOK, bežný predvolený kľúč Webex sa stane hlavným kľúčom pre vašu organizáciu.
3	Vyberte Pridať kľúč AWS KMS a kliknite na Ďalej.
4	Získajte nasledujúce ARN z konzoly AWS: Primárny kľúč ARN—ARN vášho primárneho kľúča AWS KMS. Nájdete to na stránke s podrobnosťami o kľúči v konzole AWS KMS. Záložný kľúč ARN (voliteľné) – ARN vášho replikačného (záložného) kľúča AWS KMS. Nájdete to na stránke s podrobnosťami o replikovom kľúči v konzole AWS KMS. ARN roly IAM (voliteľné) – ARN roly IAM, ktorú ste vytvorili na udelenie prístupu k službe Cisco KMS. Nájdete to na súhrnnej stránke roly v konzole AWS IAM.
5	V aplikácii Control Hub zadajte primárny kľúč ARN. Ak je to relevantné, zadajte do príslušných polí aj záložný kľúč ARN a rolu IAM ARN. Potom kliknite na Pridať. Váš primárny kľúč ARN sa nahrá do Cisco KMS, kde sa overí prístup ku kľúču. Control Hub vám potom zobrazí ID kľúča Cisco KMS vášho nového kľúča AWS KMS a aktuálne aktívne ID kľúča Cisco KMS, ak existuje. Ak je toto váš prvý kľúč AWS KMS, aktuálne aktívnym kľúčom je bežný predvolený kľúč Webex (ten, ktorý momentálne používame na šifrovanie kľúčov vašej organizácie).
6	Vyberte si, ako chcete aktivovať svoj kľúč: Aktivovať: Nový kľúč AWS KMS okamžite prejde do aktívneho stavu. Aktivovať neskôr: Nový kľúč AWS KMS sa presunie do stavu Čaká sa. Webex uchováva tento kľúč AWS KMS ARN v Cisco KMS, ale zatiaľ ho nepoužíva. Webex naďalej používa aktuálne aktívny kľúč AWS KMS na šifrovanie kľúčov vašej organizácie.

Otočte svoj kľúč AWS KMS

1	Prihláste sa do Control Huba prejdite do časti Nastavenia organizácie > Správa kľúčov.
2	Prejdite na aktívny kľúč AWS KMS.
3	Kliknite na a vyberte Otočiť.
4	Zadajte svoj nový kľúč AWS KMS a nové ARN a kliknite na Pridať. Proces je popísaný v časti Pridanie a aktivácia kľúča AMS KMS v tomto článku.
5	Kliknite na Aktivovať. Nový nahraný kľúč AWS KMS prejde do aktívneho stavu. Starý kľúč AWS KMS zostane v stave Rotácia, kým Webex nedokončí šifrovanie všetkého svojho obsahu pomocou nového aktívneho kľúča AWS KMS. Po opätovnom zašifrovaní starý kľúč AWS KMS automaticky zmizne z Control Hub.

Otočením pridajte ďalší kľúč AWS KMS (voliteľné)

1	Prihláste sa do Control Huba prejdite do časti Nastavenia organizácie > Správa kľúčov.
2	Kliknite na Pridať ďalší kľúč.
3	Zadajte svoj nový kľúč AWS KMS a kliknite na Pridať. Control Hub vám zobrazí ID kľúča Cisco KMS vášho nového kľúča AWS KMS a ID aktuálne aktívneho ID kľúča Cisco KMS. Proces je popísaný v časti Pridanie a aktivácia kľúča AMS KMS v tomto článku.
4	Kliknite na Aktivovať. Nový nahraný kľúč AWS KMS prejde do aktívneho stavu. Starý kľúč AWS KMS zostane v stave Rotácia, kým Webex nedokončí šifrovanie všetkého svojho obsahu pomocou nového aktívneho kľúča AWS KMS. Po opätovnom zašifrovaní starý kľúč AWS KMS automaticky zmizne z Control Hub.

Zrušte svoj kľúč AWS KMS

1	Prihláste sa do Control Huba prejdite do časti Nastavenia organizácie > Správa kľúčov.
2	Prejdite na aktuálne aktívny kľúč AWS KMS.
3	Kliknite na a vyberte Lokálne zrušiť.
4	Potvrďte zrušenie kľúča. Úplné zrušenie vášho kľúča môže trvať až 10 minút. Kľúč AWS KMS prejde do stavu Lokálne zrušený.

Ak správca zákazníka zruší kľúč z konzoly AWS KMS, kľúč AWS KMS sa v Control Hub zobrazí v stave Zrušené spoločnosťou Amazon.

Odstráňte svoj kľúč AWS KMS

1	Prihláste sa do Control Huba prejdite do časti Nastavenia organizácie > Správa kľúčov.
2	Prejdite na zrušený kľúč AWS KMS.
3	Kliknite na a vyberte Odstrániť.
4	Potvrďte vymazanie kľúča. Po odstránení môžete kľúč obnoviť do 30 dní.

Odporúčame vám najskôr odstrániť kľúč AWS KMS z Control Hub a až potom odstrániť kľúč CMK z konzoly AWS. Ak odstránite svoj CMK z konzoly AWS pred odstránením kľúča AWS KMS v Control Hub, môžete naraziť na problémy.

Pred odstránením kľúča CMK z konzoly AWS sa uistite, že kľúč AWS KMS už nie je viditeľný v Control Hub.

Obnovte svoj kľúč AWS KMS

1	Prihláste sa do Control Huba prejdite do časti Nastavenia organizácie > Správa kľúčov.
2	Prejdite na odstránený kľúč AWS KMS.
3	Kliknite na a vyberte Obnoviť.
4	Potvrďte obnovenie kľúča. Po obnovení vám Control Hub zobrazí kľúč v stave Zrušené.

Riešenie problémov s kľúčom AWS KMS

Ak narazíte na problémy s kľúčom AWS KMS, použite na ich vyriešenie nasledujúce informácie.

Kľúč AWS KMS (ARN). Napríklad, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Udeľuje udelenie kľúča AWS KMS.
Stav kľúča AWS KMS. Napríklad kľúč AWS KMS je zakázaný.

Príklad: Vytvárajte a šifrujte kľúče pomocou OpenSSL

Tento príklad používa verziu 3.0 nástrojov príkazového riadka OpenSSL. Viac informácií o týchto nástrojoch nájdete v článku OpenSSL.

1	Prihláste sa do Control Hubu.
2	Prejdite na Nastavenia organizácie > Správa kľúčov.
3	Kliknite na Stiahnuť verejný kľúč. Verejný kľúč Webex HSM získate v súbore .pem vo vašom lokálnom systéme.
4	Vytvorte 256-bitový (32-bajtový) kľúč: `openssl rand -out main_key.bin 32`. V príklade sa pre váš nový nešifrovaný kľúč používa názov súboru main_key.bin. Prípadne môžete vygenerovať 32-bajtovú náhodnú hodnotu pomocou hexadecimálneho výpisu, Pythonu alebo online generátorov. Môžete tiež vytvoriť a spravovať svoj kľúč AWS KMS.
5	Na zašifrovanie nového kľúča použite verejný kľúč Webex HSM: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` V príklade sa pre zašifrovaný výstupný kľúč používa názov súboru main_key_encrypted.bin a názov súboru path/to/public.pem pre verejný kľúč Webexu. Zašifrovaný kľúč je pripravený na nahranie do Control Hub.

Súvisiace články

Cisco AI Assistant

Ďakujeme za vašu spätnú väzbu.

Spravujte si vlastný hlavný kľúč zákazníka

Ako to funguje

Ako to funguje

Životný cyklus kľúča

Kľúčové definície štátov

Vlastníctvo

Vytvorenie kľúča

Autorizácia

Vlastníctvo

Autorizácia

Použitie grantu KMS

Používanie roly IAM

Konfigurácia politiky IAM

Konfigurácia roly IAM

Malé podniky

Podnik

Zariadenia

Riešenia pre

Zdroje

Spoločnosť