HIPAA

如果您是账户所有者，可以启用IBM Cloud®账户，使其支持 HIPAA。 例如，如果您计划在支持 HIPAA 的服务中包含受保护健康信息 (PHI)，您可以选择启用 "支持 HIPAA 设置。

《美国健康保险可移植性和责任法案》(HIPAA) 和《医疗信息技术促进经济和临床健康法案》(HITECH) 定义了用于处理电子医疗交易和信息的标准。 如果您或您的公司是 HIPAA 定义的受保护实体，并且运行的是受 HIPAA 和 HITECH 法案管制的敏感工作负载，那么必须启用“支持 HIPAA”设置。 在 IBM Cloud 上的合规性中了解有关 IBM Cloud 合规性的更多信息。

将帐户配置为启用 HIPAA 时:

• 您可以过滤目录中支持 HIPAA 的服务。 启用 HIPAA 支持设置的账户仍可访问完整的服务目录。
• 您向IBM表示您的账户存储了受保护健康信息 (PHI)。
• 您以数字形式接受适用于受保护实体的IBM业务关联方附录 (BAA)。

仅当您或您的公司是 HIPAA 定义的受保护实体时，才可启用此设置。 如果您或贵公司是承保实体的业务关联方，请 联系IBM Cloud销售人员接受适用的 BAA。 有关 HIPAA 受保实体和业务协作方定义的更多信息，请参阅 美国卫生与公众服务部网站。

位置

您可以在 IBM Cloud中的任何受支持位置供应 IBM Cloud Activity Tracker 服务的实例。 有关更多信息，请参阅 位置。

根据位置 (区域)，您可以供应 1 审计实例。

• 将自动收集来自 IBM Cloud 中已启用的 AT 服务的事件。
• 每个位置都表示为该实例处理和处理 IBM Cloud Activity Tracker 请求以及驻留数据的地理区域。
• 每个 MZR 所在地都有三个不同的数据中心作为冗余。 每个位置的数据都保存在该位置附近的三个数据中心内。 如果一个位置中的三个数据中心都出现故障，那么该位置的 IBM Cloud Activity Tracker 服务将变为不可用。
• 每个 MZR 配置都可以接受单个数据中心故障。

选择计划供应 IBM Cloud Activity Tracker 实例的位置时，请检查每个位置的法规和高可用性 (HA) 规范。

例如，在欧洲，只有法兰克福地区受欧盟支持。

您还可以选中 确保零停机时间，以了解有关 IBM Cloud中的高可用性和灾难恢复标准的更多信息。

资源组

资源组是用于对支持 IAM 的资源进行组织的逻辑容器。

• 启用 IAM 的服务属于资源组。 IBM Cloud Activity Tracker 服务是支持 IAM 的服务。
• 在从目录创建资源时，将资源分配给其资源组。
• 设置资源组分配后就无法更改了，因此规划资源组非常重要。
• 如果在资源组名称中添加 PII 信息，那么可能会向同一帐户中的其他人披露敏感数据。

使用仅包含 Activity Tracker 实例的资源组来组织 IBM Cloud Activity Tracker 实例以进行访问控制和计费。

帐户所有者可以向任何资源组添加资源。 对于其他用户，必须使用 IAM 访问策略为其授予访问权，他们才能向资源组添加资源。 有关更多信息，请参阅 组织资源和分配访问权的最佳实践。

定义资源组时，请勿在名称中添加敏感信息。

命名

如果在服务实例的名称或描述中添加 PII 或其他敏感信息，那么可能会向同一帐户中的其他人披露敏感数据。

定义审计实例名称时，请勿在名称或描述中添加敏感信息。

服务套餐

您选择的服务套餐确定数据可供搜索的天数。 有关更多信息，请参阅服务套餐。

根据您需要能够通过 Web UI 在线搜索数据的天数来选择套餐。

HIPAA 套餐最多有 25 个用户。 如果需要向超过 25 个用户授予许可权，请 开具支持凭单。

标记

标记是您为资源分配的标签，用于对资源列表中的资源进行轻松过滤。

• 可以使用标记来组织资源，并在日后轻松找到这些资源。
• 在查看导出的使用情况报告时，还可以使用标记来帮助识别特定团队使用情况或成本分配。

使用标记来组织资源并跟踪使用量开销。

标签区分大小写，最大长度为 128 个字符。

• 允许对标记命名的字符包括 A-Z，0-9，空格，下划线，连字符，句点和冒号。
• 冒号会将标记转换为可以隔离成两个逻辑部分的字符串，如 key:value 对。 如果不想创建这种成对项，那么不能在标记中使用冒号。
• 逗号用于分隔标记，所以不能在标记名称本身内使用逗号。

如果在名称中添加 PII 信息，那么可能会向同一帐户中的其他人披露敏感数据。

定义标记时，请勿在标记名称中添加敏感信息。

标记对帐户的所有成员可见。

为了控制标签的可见度，分发标签使用指南，并让用户知道整个账户都能看到标签。

访问组

您可以在服务，资源组或访问组的上下文中分配使用 IBM Cloud Activity Tracker 服务的许可权。

使用访问组将一组用户和服务 ID 组织成一个单一实体，方便你管理 IAM 权限。

您可以创建多个访问组。

定义至少 4 个访问组:

策略

策略确定用户或服务标识可以执行的完整操作集。

对于每个访问组，为每个资源组定义一个策略，用于定义对该资源组的访问级别。

缺省情况下，帐户所有者是帐户中唯一可以向其他用户授予许可权以管理和使用 IBM Cloud Activity Tracker 服务的用户。

要允许帐户中的其他用户或服务标识管理服务，并能够授予使用 IBM Cloud Activity Tracker 服务的许可权，请使用平台角色 administrator为 IBM Cloud Activity Tracker 服务定义策略。 将此策略授予管理员访问组。

可以向组中的所有资源授予对资源组中资源的访问权，也可以仅向组中的所选服务授予对这些资源的访问权。

访问策略需要设置目标和角色。目标通常是服务实例或资源组中的所有服务实例。角色用于定义所允许的访问类型。

角色定义了用户或serviceID可以执行的操作。 IBM Cloud 中有不同类型的角色：

• 平台管理角色定义了在平台级别使用服务的权限，例如，一些操作包括为服务分配用户访问权限、创建或删除服务 ID、创建实例、为其他用户分配服务策略，以及将实例绑定到应用程序。 了解更多信息。
• 服务访问角色 定义用于调用服务的 API 的许可权。 了解更多信息。

对于每个访问组，为每个资源组定义一个策略，该策略指定授予用于处理资源组的许可权，用于管理该资源组中 IBM Cloud Activity Tracker 服务实例的许可权以及用于运行 IBM Cloud Activity Tracker 任务的许可权。

必须为需要许可权才能在帐户中使用 IBM Cloud Activity Tracker 服务的每个用户分配包含 IBM Cloud Activity Tracker 服务许可权的资源组策略。

您可以为访问组分配一个策略，而不是为每个用户或服务 ID 分配多次相同的访问权限。

将用户和服务 ID 添加到访问组。 通过访问组向这些用户和服务标识授予许可权。

有关更多信息，请参阅 向用户或服务 ID 授予管理权限。

备份审计实例的资源配置

在 UI 中，您可以定义可用于查看和分析数据的定制视图，仪表板，解析模板，屏幕和排除规则。

要复用审计实例中定义的资源定义，可以将这些资源从 IBM Cloud Activity Tracker 实例导出为 JSON 文件。 然后，就可以将定义导入其他审计实例。 例如，您可以在不同环境中针对阶段，生产前和生产实例复用资源。 了解更多信息。

将资源定义备份到版本控制系统 (例如 Git 存储库) 中，您可以在该存储库中控制对已归档文件的访问并管理版本。

将日志数据归档到 COS 存储区

允许将数据从审计实例归档到 IBM Cloud Object Storage (COS) 存储区。

供应审计实例后，可以配置对 IBM Cloud Object Storage (COS) 存储区的归档。 您可以根据需求创建不同类型的存储区。

为审计实例规划存储区时，请考虑以下信息:

[1]：数据可能会被长期闲置。 对于活动较少的工作负载，可以创建使用不同存储类的存储区。 例如，将标准存储类用于活动工作负载，在这些工作负载中，您需要随时访问数据。

[2]: 您可以选择 不可变 Object Storage 以保留电子记录并保持数据完整性。 为存储区定义保留时间策略时，将指定以 WORM (写一次读多次)，不可擦除和不可重写方式存储数据。 此策略会强制执行，直到保留期结束以及除去任何合法保留。 请注意，Immutable Object Storage 仅在某些区域中可用。

[3]: 您可以使用到期规则在从对象创建日期开始的定义时间段之后自动删除对象。

[4]: 您可以定义保留策略以长期保留数据，并使数据可用于下载和查询。 如果您不需要查询数据，而只需要保持数据合规性，请将 COS 文件从任何存储层归档到长期脱机归档位置，或者使用联机 冷保险库 选项。

[5]：COS 提供了多种数据加密选项。 默认情况下，存储在 COS 中的所有对象都使用随机生成的密钥和全或无变换（AONT）进行加密。 有了 COS，您还可以通过提供自己的加密密钥来手动管理密钥，这就是所谓的使用客户提供的密钥的服务器端加密（SSE-C）。 或者，可以选择将集成功能与 IBM Cloud® 密钥管理服务 (例如 IBM® Key Protect 和 Hyper Protect Crypto Services) 配合使用。

[6] 弹性是指数据分布的地理区域的范围和规模。 例如，您可以选择跨区域弹性以在多个地理区域中传播数据，或者选择区域弹性以在单个区域中传播数据。 请注意，单个数据中心只在单个站点内的设备上分发数据。

使用您标识的存储功能和策略创建定制 COS 存储区。 了解更多信息。

如果需要访问数据并且需要使用 Data Engine 服务对其进行查询，请勿在 COS 存储区上配置长期保留策略。

使用下表来帮助您确定创建存储区时应考虑的功能:

灾难恢复或合规要求

要求	存储类: Standard[7]	存储类: Vault[8]	存储类: Cold Vault[9]	存储类: Flex[10]
Type of workload	Continuous access	Data isn't accessed frequently	Accessed every 90 days or less	Dynamic workloads where access patterns are difficult to predict
Data resiliency	Cross region	Cross region	Cross region	Cross region
Retention policy
Expiration policy
Long-term retention policy	NO	NO	NO	NO

备份或访问超出服务计划天数要求的数据

要求	存储类: Standard[7]	存储类: Vault[8]	存储类: Cold Vault[9]	存储类: Flex[10]
Type of workload	Continuous access	Data isn't accessed frequently	Accessed every 90 days or less	Dynamic workloads where access patterns are difficult to predict
Data resiliency	Cross region 或 Regional	Cross region 或 Regional	Cross region 或 Regional	Cross region 或 Regional
Retention policy
Expiration policy
Long-term retention policy	NO	NO	NO	NO

[7]：标准用于活动工作负载。 检索数据免费（除了操作请求本身和公共出站带宽的成本外）。

[8]：Vault 用于不经常访问数据的低温工作负载，但读取数据时需要支付检索费用。 该服务包括符合服务预期用途的对象大小和存储时间段的阈值：存储不太活跃且活动性较低的数据。

[9]：Cold Vault 用于冷工作负载，其中数据主要是存档数据（每 90 天或更短时间访问一次）--读取数据需要支付更高的检索费用。 该服务包括符合服务预期用途的对象大小和存储时间段的阈值：存储不活跃的非活动数据。

[10]：Flex 用于访问模式较难预测的动态工作负载。

受存储桶 "Immutable Object Storage 保留策略约束的对象，其过期操作将被推迟，直到不再执行保留策略。

使用您自己的密钥加密数据

默认情况下，存储在 COS 中的所有对象都使用随机生成的密钥和全或无变换（AONT）进行加密。 将数据归档到 COS 实例中时，将使用数据加密密钥 (DEK) 自动对对象进行加密。 需要访问存储区时，服务会检查您的用户许可权，并对存储区内的对象进行解密。 这种加密模式称为提供商管理加密。

虽然此缺省加密模型提供了静态安全性，但某些工作负载需要对所用数据加密密钥的完全控制权。

COS 提供多种数据加密选项。 这种加密模式称为客户管理加密：

• 您可以通过提供自己的加密密钥来手动管理密钥，这称为“通过客户提供的密钥进行服务器端加密”(SSE-C)。

• 您可以选择将集成功能与 IBM Cloud® 密钥管理服务 (例如 IBM® Key Protect 和 Hyper Protect Crypto Services) 配合使用。

  您可以使用 IBM® Key Protect 在 IBM Cloud 服务中为应用程序供应加密密钥。 在管理密钥的生命周期时，了解密钥由 FIPS 140-2 3 级认证的 HSM（基于云的硬件安全模块）进行保护，从而防止信息被盗，这对您十分有益。 当您将 COS 与 Key Protect 服务集成时，可以向 DEK 添加包络加密。 在Key Protect 中，您可以提供高度安全的根密钥，作为您在服务中控制的主密钥。 创建存储桶时，可以在创建时为存储桶配置信封加密。 这一添加的保护功能将使用您在 Key Protect 中管理的根密钥来打包（或加密）与该存储区关联的 DEK。 这种做法被称为密钥封装，它使用多种 AES 算法来保护你的 DEK 的隐私和完整性，因此只有你才能控制对其相关数据的访问。

  Hyper Protect Crypto Services 是由您控制的单租户专用 HSM。 该服务在通过 FIPS 140-2 级别 4 认证的硬件上构建，该级别是行业内任何云提供者提供的最高级别。

如果需要使用自己的密钥对存储区中的静态数据进行加密，请使用下表来帮助您确定创建存储区时应考虑的功能:

使用自己的加密密钥

要求	存储类： Standard	存储类： Vault	存储类： Cold Vault	存储类： Flex
Type of workload	Continuous access	Data isn't accessed frequently	Accessed every 90 days or less	Dynamic workloads where access patterns are difficult to predict
Data resiliency	Regional	Regional	Regional	Regional
Retention policy [15]	NO	NO	NO	NO
Expiration policy
Long-term retention policy	NO	NO	NO	NO

[15]: 当前，无法将您自己的密钥与配置了保留时间策略的存储区配合使用。

使用客户管理的加密模型来管理和控制用于对静态数据进行加密的密钥。

指定 Key Protect 中的根密钥并授予服务之间的访问权后，可以使用 IBM Cloud Object Storage GUI 对指定的存储区启用包络加密。

要使用 Key Protect 服务对定制密钥启用加密，请 创建根密钥，并在 COS 实例与 Key Protect 实例之间创建 授权。 请注意，COS 存储区和 Key Protect 实例需要在同一区域中可用。

命名

如果以存储区的名称添加 PII 信息，那么可能要向同一帐户中的其他人披露敏感数据。

定义存储区名称时，请勿在名称或描述中添加敏感信息。

用于配置归档的 IAM 资源

要配置归档，您需要以下 IAM 策略:

• 具有 IBM Cloud Activity Tracker 服务的最低平台角色 查看者 和服务角色 管理者 的 IAM 策略: 需要此策略才能访问 UI 并配置审计实例的归档。
• 具有 COS 服务的最低平台角色 管理员 和服务角色 管理者 的 IAM 策略: 需要管理员角色来定义服务标识及其关联的 API 密钥，IBM Cloud Activity Tracker 实例使用该服务标识来认证和访问 IBM Cloud Object Storage 实例。 需要管理者角色才能创建和配置存储区。

您还需要服务标识。 服务标识用于标识服务，类似于用户标识标识用户的方式。 服务标识并不与特定用户绑定。 如果创建服务标识的用户离开组织并从帐户中删除，那么服务标识会保留。 IBM Cloud Activity Tracker 服务使用与您在 COS 实例上定义的服务标识相关联的 API 密钥来认证文件并将文件写入 COS 存储区。

为具有 写程序 许可权的 COS 实例创建服务标识。 限制对服务标识的访问权，以便与其关联的 API 密钥只能写入您为归档而配置的存储区。

如果在服务标识的名称或描述中添加 PII 信息，那么可能会向同一帐户中的其他人披露敏感数据。

定义服务标识名称时，请勿在名称或描述中添加敏感信息。

您可能需要定期轮换 API 密钥，否则 API 密钥可能会受到损害。

定期轮换与服务标识关联的 API 密钥，以防止因密钥泄露而导致的任何安全违规，或遵守安全准则。

用于控制对已归档文件的访问权的 IAM 策略

在 COS 中，您可以定义策略来控制向服务标识和用户授予的用于读取，写入，更新对象属性和删除对象的许可权。 了解更多信息。

限制用户对存储区中归档文件的访问权。

欧盟支持的帐户

将法兰克福审计实例中的日志归档到IBM Cloud Object Storage) 存储桶时，请考虑以下信息。(COS) 存储桶时，请考虑以下信息：

• 供应 COS 服务的实例时，此实例是帐户中的全局实例。 它不是区域绑定的实例。

• 必须配置符合欧盟支持和 GDPR 法规的存储区。 有关 COS 欧盟支持的端点的列表，请参阅欧盟支持的端点。

  例如，请考虑以下场景：

  • 对于具有区域弹性的存储区，可以在 EU-DE 位置创建存储区，以在法兰克福保存数据。

  • 对于具有跨区域弹性的存储区，可以在 eu-geo 位置创建存储区。 数据会保存在欧盟地理位置中位于意大利米兰、阿姆斯特丹和法兰克福的数据中心内。

• 必须限制用户访问权，使其只能管理这些存储区中的归档日志文件。

• 用户负责将文件下载到欧盟支持的位置。

通过 Activity Tracker 监视归档

您可以使用 IBM Cloud® Activity Tracker 服务来监视 IBM Cloud 帐户的活动。 您可以使用此服务来调查异常活动和关键操作，并满足监管审计要求。 此外，可以在发生操作时收到相关警报。 收集的事件符合 Cloud Auditing Data Federation (CADF) 标准。

在 COS 中，您可以跟踪管理和数据事件。

• 缺省情况下，未启用这些事件。
• 管理事件报告用于更改资源配置，存储区属性和对象属性的状态的操作。
• 数据事件报告对存储区，对象和多部分对象 (例如，创建，删除和访问) 的操作。
• 必须将每个存储区配置为启用管理事件或启用管理和数据事件。 请注意，不能仅对存储区启用数据事件。 有关更多信息，请参阅 Activity Tracker 事件。

在用于从审计实例归档数据的存储区上启用 COS 管理和数据事件收集。 使用这些事件来监视 COS 存储区中的活动。

在 IBM Cloud® Activity Tracker中，可以定义视图，仪表板和屏幕以监视 COS 管理和数据事件。 您还可以在视图上配置警报，以在发生特定情况时通知您。 在视图上，可以配置电子邮件警报，Slack 警报，PagerDuty 警报或这些警报的任意组合。 有关更多信息，请参阅 创建定制视图 和 管理警报。

例如，您可以定义在存储区中归档对象时报告的视图。 在该视图上，您可以配置电子邮件警报以在对象已归档时通知您。 您可能具有要求您控制谁访问已归档的数据的合规性要求。 您可以定义用于报告对存储区的访问权的视图，并定义警报以在发生时通知您。

在 IBM Cloud® Activity Tracker 中定义视图，仪表板，屏幕和警报，以调查 COS 存储区中的异常活动和关键操作，并符合监管审计要求。

已归档文件

虽然您在存储区级别定义了用于管理 COS 对象 (IBM Cloud Activity Tracker 归档文件) 的策略，但出于合规性和审计目的，可能需要将特定文件保留更长时间。 在 COS 中，可以针对每个对象设置不同的属性，以允许您满足此需求。

• 可以向归档文件定义 legal hold 标志。 在初始上传对象期间或写入对象之后，可以将合法保留应用于对象。 了解更多信息。
• 您可以定义 无限期保留 标志以无限期地存储对象，直到应用新的保留期为止。 了解更多信息。

如果需要将文件保留时间超过在存储区级别指定的缺省保留期，请将 法定保留时间 标志或 无限期保留时间 标志添加到各个归档文件。