Ключ
Основа криптографических операций — это криптографический ключ. Без доступа к ключу зашифровать и расшифровать данные невозможно.
Ключ — ресурс облака, который объединяет несколько экземпляров криптографических ключей, называемых версиями ключа. Для операций шифрования используется конкретная версия ключа. Первая версия создается в момент создания самого ключа.
Срок жизни ключей в облаке KMS не ограничен, их можно удалить только вручную. Для этого в KMS используется механизм отложенного удаления ключей: удаление выполняется с задержкой, чтобы снизить вероятность потери данных, зашифрованных удаляемым ключом. В течение заданного периода времени ключ и все его версии деактивированы, и вы можете отменить запланированное удаление.
Параметры ключа
Параметры симметричного ключа:
- идентификатор — уникальное имя ключа в облаке;
- имя — отображаемое имя ключа, которое может быть неуникальным;
- алгоритм шифрования — алгоритм, который используется при создании новых версий ключа;
- политика ротации — периодичность, с которой автоматически выполняется ротация ключа;
- статус — текущее состояние ключа.
Статус ключа
Статус | Описание |
|---|---|
ENABLED | Ключ активен. Его можно использовать в операциях шифрования |
DISABLED | Ключ деактивирован. Его и все его версии нельзя использовать в операциях шифрования |
SCHEDULED FOR DESTRUCTION | Запланировано удаление ключа. Он деактивирован. Ключ и все его версии нельзя использовать в операциях шифрования |
DESTROYED | Ключ уничтожен. Восстановить его невозможно |
Симметричный ключ
В методе симметричного шифрования и для зашифрования, и для расшифрования данных используется один и тот же ключ шифрования. Каждая операция шифрования выполняется с использованием версии ключа. Для операций шифрования каждая версия применяет свой уникальный криптографический материал и унаследованный от ключа алгоритм шифрования. Новая версия ключа создается при его ротации.
Период автоматической ротации задается в настройках ключа при его создании или редактировании. Ротировать ключ вручную можно в любой момент независимо от заданного периода автоматической ротации. Получаемая новая версия ключа автоматически назначается основной.
Ротировать и использовать в операциях шифрования можно только активный ключ. Ключ можно деактивировать, тогда он будет недоступен для зашифрования и расшифрования данных.
Особенности и ограничения
- На ресурс распространяются квоты и лимиты.
- После удаления невозможно восстановить ключ и данные, зашифрованные с его использованием.
Доступные операции
Операция | Комментарий |
|---|---|
| Просмотр списка ключей | Все ключи в проекте хранятся в одном месте |
| Создание ключа | Для выполнения операций шифрования вам необходимо создать ключ |
| Просмотр информации о ключе | После создания ключа вам доступна подробная информация о нем |
| Деактивация и активация ключа | Чтобы ключ был недоступен или доступен для выполнения операций шифрования, деактивируйте или активируйте его |
| Ротация ключа | Для генерации новой версии ключа ротируйте ключ |
| Редактирование ключа | Вы можете изменить параметры ключа после его создания |
| Удаление ключа | Вы можете запланировать удаление ключа, если больше не планируете использовать его |
| Отмена удаления ключа | Вы можете отменить удаление ключа в установленный срок |