Hvala na povratnim informacijama.
Upravljajte svojim glavnim ključem kupca
Povratne informacije?Ova funkcija nije podržana za Webex for Government.
Kao deo naše posvećenosti bezbednosti od kraja do kraja, Vebek drži glavni ključ u ime svake organizacije. Mi ga zovemo glavni ključ jer ne šifrira sadržaj direktno, ali se koristi za šifrovanje drugih ključeva vaše organizacije koji šifriraju sadržaj. Osnovni nivo hijerarhije ključeva naziva se ključ sadržaja (CK), a srednji nivoi ključeva nazivaju se ključevi za šifrovanje ključeva (KEK).
Prepoznajemo da neke organizacije više vole da upravljaju sopstvenom bezbednošću, tako da vam dajemo mogućnost da upravljate sopstvenim glavnim ključem klijenta (CMK). To znači da preuzimate odgovornost za kreiranje i rotiranje (ponovno šifrovanje) glavnog ključa koji Vebek koristi za šifrovanje ključeva za šifrovanje sadržaja.
Ubuduće, ključ se odnosi na CMK, osim ako nije drugačije navedeno.
Kako to funkcioniše
-
Vebek čuva vaš CMK u hardverskom sigurnosnom modulu (HSM) tako da Vebek usluge nemaju pristup CMK vrednosti.
-
Control Hub prikazuje vaš trenutno aktivan ili opozvan CMK i bilo koji čekanje CMK koji se čuvaju u HSM. Kada je potrebno da rotirate (ponovo šifrujete) CMK, generišete svoj novi CMK i šifrujete ga sa javnim ključem HSM-a, tako da samo HSM može da ga dešifruje i skladišti.
-
Zatim otpremite i aktivirate novi CMK u Control Hub-u. Vebek odmah počinje da koristi novi CMK za šifrovanje ključeva sadržaja. Vebek zadržava stari CMK, ali samo dok ne bude siguran da su vaši ključevi za šifrovanje sadržaja osigurani novim CMK-om.
Mi ne retroaktivno ponovo šifrujemo sav postojeći sadržaj. Kada aktivirate svoj CMK, svi novi sadržaji (prostori i sastanci) se rešifruju i štite.
Prepoznajemo da neke organizacije više vole da upravljaju sopstvenim ključem izvan Vebeksa. Zato vam dajemo mogućnost da upravljate sopstvenim CMK-om u Amazon Veb Services (AVS) Kei Management Service (KMS). To podrazumeva da ste odgovorni za upravljanje ključevima u AVS KMS-u. Ovlašćujete Vebek da šifrira i dešifruje pomoću AVS KMS ključa preko AVS konzole. Vi pružate Vebek sa svojim AVS KMS ključnim ID-om umesto vašeg CMK-a. To znači da preuzimate odgovornost za kreiranje i rotiranje (ponovno šifrovanje) AVS KMS ključa koji Vebex koristi za šifrovanje ključeva za šifrovanje sadržaja u oblaku.
Kako to funkcioniše
-
Kreirate ključ sa AVS-om. AVS KMS se koristi za upravljanje ključem i čuva ključ u hardverskom sigurnosnom modulu (HSM).
-
Obezbeđujete Vebek pristup korišćenju AVS KMS ključa preko AVS konzole.
To znači da umesto da otpremite svoj CMK u Control Hub, obezbeđujete Vebek pristup AVS KMS ključu. AVS KMS ključ ne napušta vaš AVS KMS i Vebek usluge nemaju pristup AVS KMS ključnom materijalu.
Control Hub prikazuje vaš trenutno aktivan ili opozvan AVS KMS ključ i bilo koji AVS KMS ključ koji se čuva u AVS KMS-u. Kada je potrebno da rotirate AVS KMS taster, generišete svoj novi AVS KMS ključ sa AVS KMS konzolom.
-
Zatim dodate i aktivirate novi AVS KMS ključ u Control Hub-u, pružajući mu Amazon Resource Name (ARN) novog AVS KMS ključa. Vebek odmah počinje da koristi novi AVS KMS ključ za šifrovanje ključeva sadržaja. Vebek više ne zahteva stari AVS KMS ključ. Stari AVS KMS ključ će nestati iz Control Hub-a nakon što se ključevi za šifrovanje sadržaja rotiraju i osiguraju novim AVS KMS ključem. Vebek ne briše AVS KMS ključ iz AVS KMS-a. Vaš administrator klijenta može ukloniti ključ iz AVS KMS-a.
Ključni životni ciklus
Ključne definicije države
- Na čekanju
-
Ključ u ovom stanju se čuva u HSM-u, ali se još uvek ne koristi za šifrovanje. Vebek ne koristi ovaj CMK za enkripciju.
Samo jedan ključ može biti u ovom stanju.
- Aktivno
-
Vebek trenutno koristi ovaj CMK za šifrovanje drugih ključeva za vašu organizaciju.
Samo jedan ključ može biti u ovom stanju.
- Rotacija
-
Vebek privremeno koristi ovaj CMK. Vebek ga treba da dešifruje vaše podatke i ključeve koji su prethodno šifrovani ovim ključem. Ovaj ključ se povlači kada je rotacija (ponovno šifrovanje) završena.
Više tastera može biti u ovom stanju ako se novi ključ aktivira pre nego što je rotacija završena.
- Povučeno
-
Vebek ne koristi ovaj CMK. Ovaj ključ se više ne koristi za šifrovanje. Postavlja se ključno vreme do života, nakon čega se ovaj ključ uklanja iz HSM-a.
- Opozvano
-
Vebek ne koristi ovaj CMK. Čak i ako postoje podaci i ključevi koji su šifrovani ovim ključem, Vebek ne može da ga koristi za dešifrovanje podataka i ključeva.
- Potrebno je samo da opozovete aktivni ključ ako sumnjate da je ugrožen. Ovo je ozbiljna odluka jer sprečava mnoge operacije da se ponašaju ispravno. Na primer, nećete moći da kreirate nove prostore i nećete moći da dešifrujete bilo koji sadržaj u Vebek klijentu.
- Samo jedan ključ može biti u ovom stanju. Morate ponovo aktivirati ovaj ključ da rotira (reenkript) novi ključ.
- Ovaj CMK se može izbrisati, ali ne morate da ga izbrišete. Možda ćete želeti da ga zadrži za dešifrovanje / rešifrovanje nakon što rešite sumnju na kršenje bezbednosti.
- Izbrisano
-
Vebek ne koristi ovaj CMK. Ponašanje u ovom stanju je isto kao i u opozvanom stanju, osim što je postavljen ključ za vreme života, nakon čega se ovaj ključ uklanja iz HSM-a.
- Ako izbrisani CMK napreduje u stanje Uklonjeno, morate oporaviti originalni ključ da biste vratili funkcionalnost u organizaciju.
- Preporučujemo da sačuvate rezervnu kopiju originalnog ključa, inače vaša organizacija više neće biti funkcionalna.
- Uklonjeno
-
Ovo je logično stanje. Vebek nema ovaj CMK sačuvan u HSM-u. Ne prikazuje se u kontrolnom čvorištu.
Vlasništvo
Preuzimanjem vlasništva nad vašim CMK-om, morate:
- Preuzmite odgovornost za bezbedno stvaranje i pravljenje rezervnih kopija vaših ključeva
- Razumeti implikacije gubitka ključeva
- Ponovo šifrirajte svoj aktivni CMK najmanje jednom godišnje kao najbolju praksu
Kreiranje ključa
Morate kreirati sopstveni CMK koristeći ove parametre. Vaš ključ mora biti:
- Dugačak 256 bita (32 bajta)
- Šifrovano sa RSA-OAEP šemom
- Šifrovano sa javnim ključem Vebek oblaka HSM
Vaš softver za generisanje ključeva mora biti sposoban da:
- SHA-256 hash funkcija
- MGF1 maska generisanje funkcija
- PKCS#1 OAEP podloga
Pogledajte primer: Kreirajte i šifrirajte ključeve sa OpenSSL-om na kartici Resursi u ovom članku.
Ovlašćenje
Morate imati pristup vašoj Vebek organizaciji u Control Hub-u. Morate biti punopravni administrator da biste upravljali svojim CMK-om.
| 1 |
Prijavite se u kontrolno čvorište. |
| 2 |
Idite na . Da biste omogućili BIOK, uključite Bring Iour Ovn Kei (BIOK). Ako onemogućite BIOK, Vebek zajednički podrazumevani ključ postaje glavni ključ za vašu organizaciju. |
| 3 |
Izaberite Otpremi prilagođeni ključ i kliknite na dugme Sledeći. |
| 4 |
Kliknite na dugme Preuzmi javni ključ. Sačuvajte javni ključ Vebek HSM u .pem datoteci na vašem lokalnom sistemu. |
| 5 |
Kreirajte kriptografski siguran 256-bitni (32 bajt) slučajni ključ koristeći softver za upravljanje ključevima. |
| 6 |
Koristite javni ključ Vebek HSM da biste šifrirali svoj novi ključ. Potrebni parametri za šifrovanje su:
Pogledajte primer: Kreirajte i šifrirajte ključeve sa OpenSSL-om na kartici Resursi u ovom članku.
|
| 7 |
Prevucite šifrovani ključ iz vašeg sistema datoteka i ispustite ga u oblasti za otpremanje interfejsa Control Hub-a ili kliknite na dugme Izaberite datoteku. |
| 8 |
Kliknite na Dalje. Vebek otpremljuje vaš ključ u HSM, gde se dešifruje i potvrđuje. Zatim vam Control Hub prikazuje ID vašeg novog CMK-a i ID trenutno aktivnog CMK-a, ako postoji. Ako je ovo vaš prvi CMK, trenutno aktivni ključ je Vebek zajednički podrazumevani ključ (onaj koji trenutno koristimo za šifrovanje ključeva vaše organizacije). |
| 9 |
Izaberite kako želite da aktivirate svoj ključ:
|
Šta je sledeće
Mi ne retroaktivno ponovo šifrujemo sav postojeći sadržaj. Kada aktivirate svoj CMK, sav novi sadržaj (prostori i sastanci) će biti rešifrovani i zaštićeni.
| 1 |
Prijavite se u kontrolno čvorište. |
| 2 |
Idite na . |
| 3 |
Idi na aktivni CMK. |
| 4 |
Kliknite |
| 5 |
Kreirajte i šifrujte novi ključ (ako to još niste uradili). Proces je opisan u Kreirajte i aktivirajte glavni ključ klijenta u ovom članku.
|
| 6 |
Prevucite novi ključ iz vašeg sistema datoteka i ispustite ga u Control Hub. |
| 7 |
Kliknite na dugme Aktiviraj novi ključ. Novi ključ koji ste otpremili prelazi u aktivno stanje. Stari CMK ostaje u rotaciji (stanje ponovnog šifrovanja) sve dok Vebek ne završi šifriranje svih svojih sadržaja sa novim aktivnim CMK-om. Nakon ponovnog šifrovanja, ključ se kreće u penzionisano stanje. Vebek zatim briše stari CMK. |
i izaberite | 1 |
Prijavite se u kontrolno čvorište. |
| 2 |
Idite na . |
| 3 |
Idi na aktivni ključ. |
| 4 |
Kliknite |
| 5 |
Potvrdite opoziv ključa. To može do 10 minuta da u potpunosti opozove ključ.
|
| 1 |
Prijavite se u kontrolno čvorište. |
| 2 |
Idite na . |
| 3 |
Idi na trenutno ukinut ključ. |
| 4 |
Kliknite |
| 5 |
Potvrdite ključnu aktivaciju. Prethodno ukinuti ključ prelazi u aktivno stanje.
|
| 1 |
Prijavite se u kontrolno čvorište. |
| 2 |
Idite na . |
| 3 |
Idite na ukinuti ključ. |
| 4 |
Kliknite |
| 5 |
Potvrdite brisanje ključa. Kada se izbriše, imate mogućnost da vratite ključ u roku od 30 dana.
|
| 1 |
Prijavite se u kontrolno čvorište. |
| 2 |
Idite na . |
| 3 |
Idi na izbrisani ključ. |
| 4 |
Kliknite |
| 5 |
Potvrdite ključ restauraciju. Kada se vrati, Control Hub vam prikazuje ključ u opozvanom stanju pre nego što je izbrisan. Na primer, ako izbrišete opozvani ključ i zatim vratite ključ, Control Hub prikazuje obnovljeni ključ u opozvanom stanju.
|
Vlasništvo
Preuzimanjem vlasništva nad vašim AVS KMS ključem, morate:
- Preuzmite odgovornost za sigurno kreiranje i pravljenje rezervnih kopija vaših AVS KMS ključeva.
- Shvatite implikacije gubitka AVS KMS ključeva.
- Ponovo šifrirajte svoj aktivni AMS KMS ključ najmanje jednom godišnje kao najbolju praksu.
Ovlašćenje
- Morate biti ovlašćeni da kreirate i upravljate svojim ključevima u AVS KMS-u za vašu Vebek organizaciju.
- Morate imati pristup vašoj Vebek organizaciji u Control Hub-u. Morate biti punopravni administrator da biste upravljali svojim AVS KMS ključem.
| 1 |
Prijavite se na AVS i idite na AVS KMS konzolu. |
| 2 |
Izaberite ključeve kojima upravlja klijent, a zatim kliknite na dugme Kreiraj ključ. |
| 3 |
Kreirajte ključ sa sledećim atributima:
|
| 4 |
Kliknite na dugme Dalje. |
| 5 |
Pregledajte podešavanja i kliknite na dugme Završi. Kreiran je vaš AVS KMS ključ.
|
| 6 |
Idite na ključeve kojima upravlja klijent i kliknite na Alias ili ID ključa da biste videli ARN. |
Šta je sledeće
Preporučujemo da zadržite privremenu kopiju ARN-a. Ovaj ARN se koristi za dodavanje i aktiviranje AVS KMS ključa u Control Hub-u.
Takođe preporučujemo da kreirate rezervni ključ kako biste osigurali dostupnost i otpornost podataka. Ovo omogućava pristup šifrovanim podacima čak i tokom regionalnih prekida. Za više informacija, pogledajte Kreiranje rezervne AVS KMS ključa u ovom članku.
Pre nego što počnete
Uverite se da ste kreirali ključ za više regiona pre nego što nastavite da kreirate ključ za rezervnu kopiju. Za više informacija, pogledajte Kreiranje AVS KMS ključa u ovom članku.
| 1 |
Prijavite se na AVS i idite na AVS KMS konzolu. |
| 2 |
Izaberite novokreirani multi-region ključ. |
| 3 |
U odjeljku Regionalnost kliknite na dugme Kreiraj nove ključeve replike. |
| 4 |
Izaberite rezervni region sa liste AVS regiona i kliknite na dugme Sledeći. Na primer, ako je ključ kreiran u SAD Zapad (us-zapad-1), razmislite o kreiranju rezervnog ključa u SAD Istok (US-istok-1).
|
| 5 |
Kreirajte ključ sa sledećim atributima:
|
| 6 |
Kliknite na Sledeće. |
| 7 |
Pregledajte podešavanja, proverite polje za potvrdu i kliknite na dugme Kreiraj nove ključeve replike. |
Možete ovlastiti Cisco KMS da pristupi vašem AVS KMS ključu kreiranjem KMS granta ili konfigurisanjem IAM uloge. Izaberite opciju koja najbolje odgovara potrebama vaše organizacije kako biste osigurali sigurnu i fleksibilnu integraciju upravljanja ključevima.
Korišćenje KMS granta
Ovaj metod podrazumeva direktno davanje Cisco KMS dozvola za obavljanje kriptografskih operacija na vašem AVS KMS ključu.
| 1 |
Prijavite se na AVS i idite na AVS CloudShell konzolu. |
| 2 |
Pokrenite Specifičan |
Korišćenje IAM uloge
Kreirajte IAM politiku sa potrebnim KMS dozvolama, a zatim je priložite IAM ulozi koju Cisco KMS može preuzeti, omogućavajući sigurno i centralizovano upravljanje pristupom.
Konfigurišite IAM politiku
| 1 |
Prijavite se na AVS i idite na AVS KMS konzolu. |
| 2 |
Idi na . |
| 3 |
U levom oknu za navigaciju izaberite Politike, a zatim kliknite na dugme Kreiraj politiku. |
| 4 |
U odeljku Urednik politike izaberite opciju JSON. |
| 5 |
Kopirajte i nalepite sledeći dokument o politici. Zamenite |
| 6 |
Kliknite na Sledeće. |
| 7 |
Unesite ime politike i opcioni opis. |
| 8 |
Kliknite na dugme Kreiraj politiku. |
Konfigurišite IAM ulogu
| 1 |
Prijavite se na AVS i idite na AVS KMS konzolu. |
| 2 |
Idi na . |
| 3 |
U levom oknu za navigaciju izaberite Uloge, a zatim kliknite na dugme Kreiraj ulogu. |
| 4 |
U odjeljku Tip pouzdanog entiteta izaberite AVS nalog. |
| 5 |
Izaberite drugi AVS nalog. |
| 6 |
U polje ID naloga unesite ID AVS naloga koji se nalazi u interfejsu Control Hub-a. Ovo je isti ID naloga koji je deo . |
| 7 |
Kliknite na Dalje. |
| 8 |
U odjeljku Dodaj dozvole potražite i izaberite IAM politiku koju ste upravo kreirali. |
| 9 |
Kliknite na Dalje. |
| 10 |
Unesite ime uloge i opcioni opis. |
| 11 |
Pregledajte podešavanja i kliknite na dugme Kreiraj ulogu. |
Pre nego što počnete
Morate kreirati AVS KMS ključ pre nego što ga aktivirate u Control Hub-u. Pogledajte Kreirajte AVS KMS ključ u ovom članku.
Morate obezbediti Vebek pristup AVS KMS ključu. Pogledajte Autorizujte Cisco KMS sa pristupom AVS KMS ključu u ovom članku.
| 1 |
Prijavite se u kontrolno čvorište. |
| 2 |
Idite na i uključite Donesite svoj ključ (BIOK). Ako onemogućite BIOK, Vebek zajednički podrazumevani ključ postaje glavni ključ za vašu organizaciju. |
| 3 |
Izaberite Dodaj AVS KMS ključ i kliknite na dugme Sledeći. |
| 4 |
Nabavite sledeće ARN-ove sa AVS konzole:
|
| 5 |
U kontrolnom čvorištu unesite primarni ključ ARN. Ako je primenljivo, takođe unesite ključ za rezervnu kopiju ARN i IAM ulogu ARN u svojim poljima. Zatim kliknite na dugme Dodaj. Vaš primarni ključ ARN se učitava u Cisco KMS, gde se potvrđuje pristup ključu. Zatim vam Control Hub prikazuje ID ključa Cisco KMS vašeg novog AVS KMS ključa i trenutno aktivnog ID ključa Cisco KMS, ako postoji. Ako je ovo vaš prvi AVS KMS ključ, trenutno aktivni ključ je Vebek zajednički podrazumevani ključ (onaj koji trenutno koristimo za šifrovanje ključeva vaše organizacije). |
| 6 |
Izaberite kako želite da aktivirate svoj ključ:
|
Ako vaš korisnički administrator opozove ključ iz AVS KMS konzole, onda AVS KMS ključ je prikazan u stanju Opozvano od strane Amazona u Control Hub-u.
| 1 |
Prijavite se na Control Hub i idite na . |
| 2 |
Idite na opozvani AVS KMS ključ. |
| 3 |
Kliknite |
| 4 |
Potvrdite brisanje ključa. Kada se izbriše, možete oporaviti ključ u roku od 30 dana. |
Preporučujemo da prvo izbrišete AVS KMS ključ iz Control Hub-a pre nego što izbrišete CMK sa AVS konzole. Ako izbrišete CMK sa AVS konzole pre brisanja AVS KMS ključa u Control Hub-u, možete naići na probleme.
Uverite se da AVS KMS ključ više nije vidljiv u Control Hub-u pre nego što izbrišete CMK sa AVS konzole.
Ako naiđete na probleme sa AVS KMS ključem, koristite sledeće informacije da biste ga rešili.
-
AVS KMS ključ ARN. Na primer,
arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. -
AVS KMS ključno stanje. Na primer, AVS KMS ključ je onemogućen.
Ovaj primer koristi verziju 3.0 alata OpenSSL komandne linije. Pogledajte OpenSSL za više informacija o ovim alatima.
| 1 |
Prijavite se u kontrolno čvorište. |
| 2 |
Idite na . |
| 3 |
Kliknite na dugme Preuzmi javni ključ. Dobijate javni ključ Vebek HSM u .pem datoteci na vašem lokalnom sistemu. |
| 4 |
Kreirajte 256-bitni (32 bajt) ključ: Primer koristi ime main_keyfajla .bin za vaš nešifrovani novi ključ. Alternativno, možete generisati 32-bajtnu slučajnu vrednost koristeći Hek dump, Pithon ili online generatore. Takođe možete kreirati i upravljati svojim AVS KMS ključem. |
| 5 |
Koristite javni ključ Vebek HSM da biste šifrirali svoj novi ključ: Primer koristi .bin imena main_key_encrypteddatoteke za šifrovani izlazni ključ i putanju imena datoteke / to / public.pem za javni ključ Vebeksa. Šifrovani ključ je spreman za otpremanje u Control Hub. |
