Hantera din egen kundnyckel

Den här funktionen stöds inte av Webex for Government.

Som en del av vårt engagemang för heltäckande säkerhet innehar Webex en huvudnyckel för varje organisations räkning. Vi kallar den en huvudnyckel eftersom den inte krypterar innehåll direkt, men den används för att kryptera organisationens andra nycklar som krypterar innehållet. Basnivån i nyckelhierarkin kallas innehållsnyckel (CK) och de mellanliggande nivåerna av nycklarna kallas nyckelkrypteringsnycklar (KEK).

Vi förstår att vissa organisationer föredrar att hantera sin egen säkerhet, så vi ger dig möjlighet att hantera din egen kundhuvudnyckel (CMK). Det här innebär att du tar ansvar för att skapa och rotera (omkryptera) huvudnyckeln som Webex använder för att kryptera dina innehållskrypteringsnycklar.

Framöver hänvisar en nyckel till CMK om inget annat anges.

Så här går det till:

Webex lagrar din CMK i en hårdvarusäkerhetsmodul (HSM) så att Webex-tjänsterna inte har åtkomst till CMK-värdet.
Control Hub visar din för närvarande aktiva eller återkallade CMK och alla väntande CMK som lagras i HSM. När du behöver rotera (omkryptera) CMK:n genererar du din nya CMK och krypterar den med HSM:ns publika nyckel, så att endast HSM:n kan dekryptera och lagra den.
Sedan laddar du upp och aktiverar den nya CMK:n i Control Hub. Webex börjar omedelbart använda den nya CMK:n för att kryptera dina innehållsnycklar. Webex behåller den gamla CMK:n, men bara tills det är säkert att dina innehållskrypteringsnycklar är säkrade av den nya CMK:n.

Vi krypterar inte om allt befintligt innehåll retroaktivt. När du aktiverar din CMK krypteras och skyddas allt nytt innehåll (utrymmen och möten) om.

Om AWS KMS-nycklar

Vi förstår att vissa organisationer föredrar att hantera sin egen nyckel utanför Webex. Därför ger vi dig möjligheten att hantera din egen CMK i Amazon Web Services (AWS) Key Management Service (KMS). Detta innebär att du är ansvarig för att hantera dina nycklar i AWS KMS. Du godkänner att Webex krypterar och dekrypterar med din AWS KMS-nyckel via AWS-konsolen. Du förser Webex med ditt AWS KMS-nyckel-ID istället för ditt CMK. Det här innebär att du tar ansvar för att skapa och rotera (omkryptera) AWS KMS-nyckeln som Webex använder för att kryptera dina innehållskrypteringsnycklar i molnet.

Så här går det till:

Du skapar en nyckel med AWS. AWS KMS används för att hantera din nyckel och lagrar nyckeln i en hårdvarusäkerhetsmodul (HSM).
Du ger Webex åtkomst att använda AWS KMS-nyckeln via AWS-konsolen.

Det här innebär att du istället för att ladda upp din CMK till Control Hub ger Webex åtkomst till AWS KMS-nyckeln. AWS KMS-nyckeln lämnar inte din AWS KMS och Webex-tjänster har inte åtkomst till AWS KMS-nyckelmaterialet.

Control Hub visar din för närvarande aktiva eller återkallade AWS KMS-nyckel och alla väntande AWS KMS-nycklar som lagras i AWS KMS. När du behöver rotera AWS KMS-nyckeln genererar du din nya AWS KMS-nyckel med AWS KMS-konsolen.
Sedan lägger du till och aktiverar den nya AWS KMS-nyckeln i Control Hub och anger Amazon Resource Name (ARN) för den nya AWS KMS-nyckeln. Webex börjar omedelbart använda den nya AWS KMS-nyckeln för att kryptera dina innehållsnycklar. Webex kräver inte längre den gamla AWS KMS-nyckeln. Den gamla AWS KMS-nyckeln försvinner från Control Hub efter att dina innehållskrypteringsnycklar har roterats och säkrats av den nya AWS KMS-nyckeln. Webex tar inte bort AWS KMS-nyckeln från AWS KMS. Din kundadministratör kan ta bort nyckeln från AWS KMS.

Viktiga tillstånd och livscykel

Nyckellivscykel

Viktiga definitioner av tillstånd

Väntande

En nyckel i det här tillståndet lagras i HSM men den används ännu inte för kryptering. Webex använder inte denna CMK för kryptering.

Endast en nyckel kan vara i detta tillstånd.

Aktiv

Webex använder för närvarande denna CMK för att kryptera andra nycklar för din organisation.

Endast en nyckel kan vara i detta tillstånd.

Rotering

Webex använder tillfälligt denna CMK. Webex behöver den för att dekryptera dina data och nycklar som tidigare krypterades med den här nyckeln. Den här nyckeln tas ur bruk när rotationen (omkrypteringen) är klar.

Flera nycklar kan vara i detta tillstånd om en ny nyckel aktiveras innan rotationen är klar.

Ur bruk

Webex använder inte denna CMK. Denna nyckel används inte längre för kryptering. En nyckellivstid (time-to-live) anges, varefter nyckeln tas bort från HSM.

Återkallad

Webex använder inte denna CMK. Även om det finns data och nycklar som krypterades med den här nyckeln kan Webex inte använda den för att dekryptera data och nycklarna.

Du behöver bara återkalla en aktiv nyckel om du misstänker att den är komprometterad. Detta är ett allvarligt beslut eftersom det hindrar många operationer från att fungera korrekt. Till exempel kommer du inte att kunna skapa nya utrymmen och du kommer inte att kunna dekryptera något innehåll i Webex-klienten.
Endast en nyckel kan vara i detta tillstånd. Du måste återaktivera den här nyckeln för att rotera (omkryptera) en ny nyckel.
Denna CMK kan raderas men du behöver inte radera den. Du kanske vill spara den för dekryptering / omkryptera efter att du har åtgärdat det misstänkta säkerhetsintrånget.

Borttaget

Webex använder inte denna CMK. Beteendet i det här tillståndet är detsamma som i återkallat tillstånd, förutom att en nyckeltidsgräns anges, varefter nyckeln tas bort från HSM.

Om en borttagen CMK går över till tillståndet Borttagen måste du återställa den ursprungliga nyckeln för att återställa funktionaliteten i organisationen.

Vi rekommenderar att du behåller en säkerhetskopia av din ursprungliga nyckel, annars kommer din organisation inte längre att fungera.

Borttaget

Detta är ett logiskt tillstånd. Webex har inte denna CMK lagrad i HSM. Den visas inte i Control Hub.

Krav

Ägarskap

Genom att ta ansvar för din CMK måste du:

Ta ansvar för säkert skapande och säkerhetskopiering av dina nycklar
Förstå konsekvenserna av att förlora dina nycklar
Kryptera om din aktiva CMK minst en gång per år som en god praxis

Nyckelskapande

Du måste skapa din egen CMK med hjälp av dessa parametrar. Din nyckel måste vara:

256 bitar (32 byte) lång
Krypterad med RSA-OAEP-schemat
Krypterad med Webex Cloud HSM offentliga nyckel

Din programvara för nyckelgenerering måste kunna:

SHA-256 hashfunktion
MGF1-maskgenereringsfunktion
PKCS#1 OAEP-stoppning

Se Exempel: Skapa och kryptera nycklar med OpenSSL i fliken Resurser i den här artikeln.

Behörighet

Du måste ha åtkomst till din Webex-organisation i Control Hub. Du måste vara en fullständig administratör för att hantera din CMK.

Skapa och aktivera din kunds huvudnyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering. För att aktivera BYOK, aktivera Ta med din egen nyckel (BYOK). Om du inaktiverar BYOK blir den gemensamma standardnyckeln Webex huvudnyckeln för din organisation.
3	Välj Ladda upp en anpassad nyckel och klicka på Nästa.
4	Klicka på Ladda ner offentlig nyckel. Spara den offentliga nyckeln för Webex HSM i en .pem-fil på ditt lokala system.
5	Skapa en kryptografiskt säker 256-bitars (32 byte) slumpmässig nyckel med hjälp av din nyckelhanteringsprogramvara.
6	Använd Webex HSM:s offentliga nyckel för att kryptera din nya nyckel. De obligatoriska krypteringsparametrarna är: RSA-OAEP-systemet SHA-256 hashfunktion MGF1-maskgenereringsfunktion PKCS#1 OAEP-stoppning Se Exempel: Skapa och kryptera nycklar med OpenSSL i fliken Resurser i den här artikeln.
7	Dra den krypterade nyckeln från ditt filsystem och släpp den i uppladdningsområdet i Control Hub-gränssnittet, eller klicka på Välj en fil.
8	Klicka på Nästa. Webex laddar upp din nyckel till HSM, där den dekrypteras och valideras. Sedan visar Control Hub ID:t för din nya CMK och ID:t för den för närvarande aktiva CMK:n, om någon finns. Om detta är din första CMK är den aktiva nyckeln Webex gemensamma standardnyckel (den vi för närvarande använder för att kryptera din organisations nycklar).
9	Välj hur du vill aktivera din nyckel: Aktivera ny nyckel: Den nya CMK:n går omedelbart in i aktivt tillstånd. Den tidigare aktiva CMK:n går in i rotation (omkrypteringsläge) tills allt ditt innehåll är skyddat av den nya CMK:n, varefter Webex tar bort den tidigare aktiva CMK:n. Aktivera senare: Den nya CMK:n flyttar till tillståndet Väntar. Webex lagrar denna CMK i HSM, men använder den inte ännu. Webex fortsätter att använda den aktiva CMK:n för att kryptera din organisations nycklar.

Nästa steg

Vi krypterar inte om allt befintligt innehåll retroaktivt. När du har aktiverat din CMK kommer allt nytt innehåll (utrymmen och möten) att krypteras om och skyddas.

Rotera din nyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering.
3	Gå till den aktiva CMK:n.
4	Klicka på och välj Rotera.
5	Skapa och kryptera en ny nyckel (om du inte redan har gjort det). Processen beskrivs i Skapa och aktivera din kundnyckel i den här artikeln.
6	Dra den nya nyckeln från ditt filsystem och släpp den i Control Hub.
7	Klicka på Aktivera ny nyckel. Den nya nyckeln som du laddade upp övergår till aktivt tillstånd. Den gamla CMK:n förblir i rotation (omkrypteringsläge) tills Webex har slutfört krypteringen av allt innehåll med den nya aktiva CMK:n. Efter omkryptering flyttas nyckeln till tillståndet Pensionerad. Webex tar sedan bort den gamla CMK:n.

Återkalla din nyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering.
3	Gå till den aktiva nyckeln.
4	Klicka på och välj Återkalla.
5	Bekräfta återkallelsen av nyckeln. Det kan ta upp till 10 minuter att helt återkalla din nyckel.

Återaktivera din återkallade nyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering.
3	Gå till den för närvarande återkallade nyckeln.
4	Klicka på och välj Aktivera.
5	Bekräfta nyckelaktiveringen. Den tidigare återkallade nyckeln går in i aktivt tillstånd.

Ta bort din återkallade nyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering.
3	Gå till den återkallade nyckeln.
4	Klicka på och välj Ta bort.
5	Bekräfta borttagningen av nyckeln. När nyckeln har raderats har du möjlighet att återställa den inom 30 dagar.

Återställ din återkallade nyckel

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering.
3	Gå till den borttagna nyckeln.
4	Klicka på och välj Återställ.
5	Bekräfta nyckelåterställningen. När den har återställts visar Control Hub nyckeln i tillståndet Återkallad innan den togs bort. Om du till exempel tar bort en återkallad nyckel och sedan återställer nyckeln, visar Control Hub den återställda nyckeln i tillståndet Återkallad.

Krav

Ägarskap

Genom att ta över äganderätten till din AWS KMS-nyckel måste du:

Ta ansvar för säkert skapande och säkerhetskopiering av dina AWS KMS-nycklar.
Förstå konsekvenserna av att förlora dina AWS KMS-nycklar.
Kryptera om din aktiva AMS KMS-nyckel minst en gång per år som en god praxis.

Behörighet

Du måste vara behörig att skapa och hantera dina nycklar i AWS KMS för din Webex-organisation.
Du måste ha åtkomst till din Webex-organisation i Control Hub. Du måste vara en fullständig administratör för att hantera din AWS KMS-nyckel.

Skapa en AWS KMS-nyckel

1	Logga in på AWS och gå till AWS KMS-konsolen.
2	Välj Kundhanterade nycklar och klicka sedan på Skapa nyckel.
3	Skapa nyckeln med följande attribut: Tangenttyp—Välj Symmetrisk. Nyckelanvändning – Välj Kryptera och dekryptera. Avancerade alternativ > Regionalitet – Välj Enregionsnyckel eller Flerregionsnyckel. Etiketter – Ange alias, beskrivning och taggar. Nyckeladministratörer – Välj organisationens nyckeladministratörsanvändare och roller. Nyckelborttagning—Markera Tillåt nyckeladministratörer att ta bort den här nyckeln. Nyckelanvändare – Välj organisationens nyckelanvändare och roller.
4	Klicka på Nästa.
5	Granska dina inställningar och klicka på Slutför. Din AWS KMS-nyckel har skapats.
6	Gå till Kundhanterade nycklar och klicka på Alias eller Nyckel-ID för att visa ARN.

Nästa steg

Vi rekommenderar att du behåller en tillfällig kopia av ARN-numret. Detta ARN används för att lägga till och aktivera din AWS KMS-nyckel i Control Hub.

Vi rekommenderar också att du skapar en säkerhetskopia för att säkerställa datatillgänglighet och motståndskraft. Detta möjliggör åtkomst till krypterad data även vid regionala avbrott. För mer information, se Skapa en säkerhetskopia av AWS KMS-nyckel i den här artikeln.

Skapa en säkerhetskopia av AWS KMS-nyckel

Innan du börjar

Se till att du har skapat en nyckel för flera regioner innan du fortsätter med att skapa en reservnyckel. För mer information, se Skapa en AWS KMS-nyckel i den här artikeln.

1	Logga in på AWS och gå till AWS KMS-konsolen.
2	Välj den nyskapade nyckeln för flera regioner.
3	Under Regionalitetklickar du på Skapa nya repliknycklar.
4	Välj en säkerhetskopieringsregion från listan över AWS-regioner och klicka på Nästa. Om nyckeln till exempel skapades i USA:s västra del (us-west-1) kan du överväga att skapa reservnyckeln i USA:s östra del (us-east-1).
5	Skapa nyckeln med följande attribut: Etiketter – Ange alias, beskrivning och taggar. Nyckeladministratörer – Välj organisationens nyckeladministratörsanvändare och roller. Nyckelborttagning—Markera Tillåt nyckeladministratörer att ta bort den här nyckeln. Nyckelanvändare – Välj organisationens nyckelanvändare och roller.
6	Klicka på Nästa.
7	Granska dina inställningar, markera bekräftelserutan och klicka på Skapa nya repliknycklar.

Auktorisera Cisco KMS med åtkomst till AWS KMS-nyckeln

Du kan ge Cisco KMS åtkomst till din AWS KMS-nyckel genom att skapa ett KMS-tilldelningskrav eller konfigurera en IAM-roll. Välj det alternativ som bäst passar din organisations behov för att säkerställa säker och flexibel integration av nyckelhantering.

Använda ett KMS-bidrag

Den här metoden innebär att Cisco KMS direkt beviljar behörigheter att utföra kryptografiska operationer på din AWS KMS-nyckel.

Logga in på AWS och gå till AWS CloudShell-konsolen.

Kör create-grant för att auktorisera Webex enligt följande:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}

Till exempel:

aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

KMS_CISCO_USER_ARN är specifikt för din organisation. ARN-numret visas i fönstret Lägg till din AWS-nyckel när du aktiverar din nya AWK KMS-nyckel i Control Hub.

Använda en IAM-roll

Skapa en IAM-policy med nödvändiga KMS-behörigheter och koppla den sedan till en IAM-roll som Cisco KMS kan anta, vilket möjliggör säker och centraliserad åtkomsthantering.

Konfigurera en IAM-policy

1	Logga in på AWS och gå till AWS KMS-konsolen.
2	Gå till Tjänster > Jag är.
3	I den vänstra navigeringsrutan väljer du Policyeroch klickar sedan på Skapa policy.
4	I avsnittet Policyredigerare väljer du alternativet JSON.
5	Kopiera och klistra in följande policydokument. Ersätt `{key_arn}` med Amazon Resource Name (ARN) för din AWS KMS-nyckel. `{ "Version": “{date”}, "Statement": [ { "Sid": “Required Permissions to Cisco KMS”, "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ “{key_arn}” ] } ] }`
6	Klicka på Nästa.
7	Ange ett Policynamn och en valfri Beskrivning.
8	Klicka på Skapa policy.

Konfigurera en IAM-roll

1	Logga in på AWS och gå till AWS KMS-konsolen.
2	Gå till Tjänster > Jag är.
3	I den vänstra navigeringsrutan väljer du Rolleroch klickar sedan på Skapa roll.
4	Under Typ av betrodd enhetväljer du AWS-konto.
5	Välj Ett annat AWS-konto.
6	I fältet Konto-ID anger du det AWS-konto-ID som anges i Control Hub-gränssnittet. Detta är samma konto-ID som är en del av `{KMS_CISCO_USER_ARN}`. Till exempel 783772908578.
7	Klicka på Nästa.
8	Under Lägg till behörighetersöker du efter och väljer den IAM-policy du just skapade.
9	Klicka på Nästa.
10	Ange ett rollnamn och en valfri beskrivning.
11	Granska dina inställningar och klicka på Skapa roll.

Lägg till och aktivera din AWS KMS-nyckel

Innan du börjar

Du måste skapa en AWS KMS-nyckel innan du aktiverar den i Control Hub. Se Skapa en AWS KMS-nyckel i den här artikeln.

Du måste ge Webex åtkomst till AWS KMS-nyckeln. Se Auktorisera Cisco KMS med åtkomst till AWS KMS-nyckeln i den här artikeln.

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhanteringoch aktivera Ta med din egen nyckel (BYOK). Om du inaktiverar BYOK blir den gemensamma standardnyckeln Webex huvudnyckeln för din organisation.
3	Välj Lägg till AWS KMS-nyckel och klicka på Nästa.
4	Hämta följande ARN-nummer från AWS-konsolen: Primärnyckel ARN—ARN för din primära AWS KMS-nyckel. Du hittar detta på nyckelns detaljsida i AWS KMS-konsolen. Backup-nyckel ARN (valfritt) – ARN för din replika (backup) AWS KMS-nyckel. Du hittar detta på repliknyckelns detaljsida i AWS KMS-konsolen. IAM-rollens ARN (valfritt) – ARN:et för den IAM-roll du skapade för att bevilja Cisco KMS-åtkomst. Du hittar detta på rollens sammanfattningssida i AWS IAM-konsolen.
5	I Control Hub anger du primärnyckeln ARN. Om tillämpligt, ange även Backup-nyckel ARN och IAM-roll ARN i respektive fält. Klicka sedan på Lägg till. Din primärnyckel ARN laddas upp till Cisco KMS, där åtkomst till nyckeln valideras. Sedan visar Control Hub Cisco KMS-nyckel-ID:t för din nya AWS KMS-nyckel och det för närvarande aktiva Cisco KMS-nyckel-ID:t, om det finns något. Om detta är din första AWS KMS-nyckel är den aktiva nyckeln Webex gemensamma standardnyckel (den vi för närvarande använder för att kryptera din organisations nycklar).
6	Välj hur du vill aktivera din nyckel: Aktivera: Den nya AWS KMS-nyckeln går omedelbart in i aktivt tillstånd. Aktivera senare: Den nya AWS KMS-nyckeln flyttas till tillståndet Väntar. Webex behåller denna AWS KMS-nyckel (ARN) i Cisco KMS, men använder den inte ännu. Webex fortsätter att använda den aktiva AWS KMS-nyckeln för att kryptera din organisations nycklar.

Rotera din AWS KMS-nyckel

1	Logga in på Kontrollhubbenoch gå till Organisationsinställningar > Nyckelhantering.
2	Gå till den aktiva AWS KMS-nyckeln.
3	Klicka på och välj Rotera.
4	Ange din nya AWS KMS-nyckel och nya ARN och klicka på Lägg till. Processen beskrivs i Lägg till och aktivera din AMS KMS-nyckel i den här artikeln.
5	Klicka på Aktivera. Den nya AWS KMS-nyckeln som du laddade upp övergår till aktivt tillstånd. Den gamla AWS KMS-nyckeln förblir i roterande tillstånd tills Webex har slutfört krypteringen av allt innehåll med den nya aktiva AWS KMS-nyckeln. Efter omkryptering försvinner den gamla AWS KMS-nyckeln automatiskt från Control Hub.

Rotera för att lägga till ytterligare en AWS KMS-nyckel (valfritt)

1	Logga in på Kontrollhubbenoch gå till Organisationsinställningar > Nyckelhantering.
2	Klicka på Lägg till ytterligare en nyckel.
3	Ange din nya AWS KMS-nyckel och klicka på Lägg till. Control Hub visar Cisco KMS-nyckel-ID:t för din nya AWS KMS-nyckel och ID:t för det aktiva Cisco KMS-nyckel-ID:t. Processen beskrivs i Lägg till och aktivera din AMS KMS-nyckel i den här artikeln.
4	Klicka på Aktivera. Den nya AWS KMS-nyckeln som du laddade upp övergår till aktivt tillstånd. Den gamla AWS KMS-nyckeln förblir i roterande tillstånd tills Webex har slutfört krypteringen av allt innehåll med den nya aktiva AWS KMS-nyckeln. Efter omkryptering försvinner den gamla AWS KMS-nyckeln automatiskt från Control Hub.

Återkalla din AWS KMS-nyckel

1	Logga in på Kontrollhubbenoch gå till Organisationsinställningar > Nyckelhantering.
2	Gå till den för närvarande aktiva AWS KMS-nyckeln.
3	Klicka på och välj Återkalla lokalt.
4	Bekräfta återkallelsen av nyckeln. Det kan ta upp till 10 minuter att helt återkalla din nyckel. AWS KMS-nyckeln går in i tillståndet Lokalt återkallad.

Om din kundadministratör återkallar nyckeln från AWS KMS-konsolen visas AWS KMS-nyckeln i tillståndet Återkallad av Amazon i Control Hub.

Ta bort din AWS KMS-nyckel

1	Logga in på Kontrollhubbenoch gå till Organisationsinställningar > Nyckelhantering.
2	Gå till den återkallade AWS KMS-nyckeln.
3	Klicka på och välj Ta bort.
4	Bekräfta borttagningen av nyckeln. När nyckeln har raderats kan du återställa den inom 30 dagar.

Vi rekommenderar att du först tar bort AWS KMS-nyckeln från Control Hub innan du tar bort din CMK från AWS-konsolen. Om du tar bort din CMK från AWS-konsolen innan du tar bort AWS KMS-nyckeln i Control Hub kan du stöta på problem.

Se till att AWS KMS-nyckeln inte längre syns i Control Hub innan du tar bort din CMK från AWS-konsolen.

Återställ din AWS KMS-nyckel

1	Logga in på Kontrollhubbenoch gå till Organisationsinställningar > Nyckelhantering.
2	Gå till den borttagna AWS KMS-nyckeln.
3	Klicka på och välj Återställ.
4	Bekräfta nyckelåterställningen. När den har återställts visar Control Hub nyckeln i tillståndet Återkallat.

Felsök din AWS KMS-nyckel

Om du stöter på problem med din AWS KMS-nyckel kan du använda följande information för att felsöka den.

AWS KMS-nyckel ARN. Till exempel, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.
Beviljande av AWS KMS-nyckeln.
AWS KMS-nyckelstatus. Till exempel är AWS KMS-nyckeln inaktiverad.

Exempel: Skapa och kryptera nycklar med OpenSSL

Det här exemplet använder version 3.0 av kommandoradsverktygen för OpenSSL. Se OpenSSL för mer information om dessa verktyg.

1	Logga in på Control Hub.
2	Gå till Organisationsinställningar > Nyckelhantering.
3	Klicka på Ladda ner offentlig nyckel. Du får den offentliga nyckeln för Webex HSM i en .pem-fil på ditt lokala system.
4	Skapa en 256-bitars (32 byte) nyckel: `openssl rand -out main_key.bin 32`. Exemplet använder filnamnet main_key.bin för din okrypterade nya nyckel. Alternativt kan du generera ett slumpmässigt värde på 32 byte med hjälp av Hex-dump, Python eller online-generatorer. Du kan också skapa och hantera din AWS KMS-nyckel.
5	Använd Webex HSM:s offentliga nyckel för att kryptera din nya nyckel: `openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256` Exemplet använder filnamnet main_key_encrypted.bin för den krypterade utdatanyckeln och filnamnet path/to/public.pem för den offentliga Webex-nyckeln. Den krypterade nyckeln är redo att laddas upp till Control Hub.

Relaterad läsning

Cisco AI Assistant

Tack för din feedback.

Hantera din egen kundnyckel

Så här går det till:

Så här går det till:

Nyckellivscykel

Viktiga definitioner av tillstånd

Ägarskap

Nyckelskapande

Behörighet

Ägarskap

Behörighet

Använda ett KMS-bidrag

Använda en IAM-roll

Konfigurera en IAM-policy

Konfigurera en IAM-roll

Små företag

Företag

Enheter

Lösningar för

Resurser

Företag