IBM Cloud Docs
データと鍵の統合

データと鍵の統合

標準プランまたはエンタープライズ・プランの使用時に Db2 に保管するデータは、デフォルトではランダムに生成された鍵を使用して暗号化されます。 暗号鍵を制御する必要がある場合は、 IBM Key Protect または Hyper Protect Crypto Servicesを使用して、暗号鍵を作成、追加、および管理できます。 その後、それらの鍵を Db2 on Cloud デプロイメントに関連付けて、 Db2 データベースを暗号化できます。

IBM Key Protect は、IBM Cloud サービス上のアプリの暗号鍵をプロビジョンするときに役立ちます。 鍵のライフサイクルを管理する際に、情報の盗難を防止する FIPS 140-2 レベル 3 認証のクラウド・ベースのハードウェア・セキュリティー・モジュール (HSM) によって鍵が保護されていることを認識していると役立つことがあります。

Hyper Protect Crypto Services は、単一テナントの専用 HSM であり、お客様が管理します。 このサービスは、FIPS 140-2 レベル 4 認定を受けたハードウェア上に構築されており、クラウド・プロバイダーが提供するサービスとしては業界最高クラスのサービスです。

開始するには、 Key Protect インスタンスまたは Hyper Protect Crypto Services インスタンスを IBM Cloud アカウントにプロビジョンする必要があります。

鍵管理サービスでの鍵の作成または追加

Key Protectでキーを追加するには、 Key Protect のインスタンスにナビゲートし、 キーを生成または入力します

Hyper Protect Crypto Servicesに鍵を追加するには、 Hyper Protect Crypto Services のインスタンスにナビゲートし、 鍵を生成します

サービス許可の付与

Db2 on Cloud デプロイメントで使用するために Key Protect を許可します。

  1. IBM Cloud のダッシュボードを開きます。
  2. メニュー・バーから、 **「管理」 > 「アクセス (IAM)」**を選択します。
  3. サイド・ナビゲーションで、 **「許可」**を選択します。 **「作成 (Create)」**をクリックします。
  4. _「ソース・サービス」_メニューで、デプロイメントのサービスを選択します。 例えば、 Db2 を選択します。
  5. _「ソース・サービス・インスタンス」_メニューで、 **「すべてのサービス・インスタンス」**を選択します。
  6. 「ターゲット・サービス」 メニューで、 Key Protect または Hyper Protect Crypto Servicesを選択します。
  7. _「ターゲット・サービス・インスタンス」_メニューで、許可を付与するサービス・インスタンスを選択します。
  8. Readerの役割を有効にします。 **「許可」**をクリックします。

鍵暗号鍵の使用

鍵を使用するための Db2 on Cloud デプロイメント許可を付与した後、デプロイメントをプロビジョンするときに、 Key Protect または Hyper Protect Crypto Services に鍵名または CRN を指定します。 このデプロイメントは暗号鍵を使用してデータを暗号化します。

CLI または API を使用してデプロイメントをプロビジョンする場合、鍵は、その ID だけでなく、完全な CRN によって識別される必要があります。 CRN の形式は crn:v1:<...>:key:<id>です。

デプロイメントの削除

鍵で保護されているデプロイメントを削除すると、ソフト削除期間 (最大 9 日) の間、そのデプロイメントは鍵に対して登録されたままになります。 ソフト削除期間中に鍵を削除する必要がある場合は、 Key Protect または Hyper Protect Crypto Servicesを使用して鍵を強制的に削除する必要があります。 ソフト削除期間が経過すると、その鍵は強制しなくても削除できます。 鍵とデプロイメントの間の関連付けを確認することで、鍵を削除できるかどうかを判別できます。

暗号の廃棄

暗号の廃棄は破壊アクションです。 鍵が削除されると、データはリカバリー不能になります。

Key Protect または Hyper Protect Crypto Services を使用すると、 Key Protect または Hyper Protect Crypto Servicesを使用する IBM Cloud® サービス ( Db2 on Cloud デプロイメントを含む) によって使用されている鍵の強制削除を開始できます。 このアクションは暗号の廃棄と呼ばれます。 デプロイメントで使用中の鍵を削除すると、データが含まれているディスクがロックされ、そのデプロイメントが無効化されます。 UI や、UI、CLI、API のセキュリティー設定などの一部のメタデータには引き続きアクセスできますが、データベースやそこに含まれているデータにはアクセスできません。 鍵の削除は、 Key Protect を使用して kms.secrets.delete として、また Hyper Protect Crypto Servicesを使用して hs-crypto.secrets.delete として Log Analysis Activity Tracker に送信されます。