IBM Cloud Docs
鍵管理との統合

鍵管理との統合

制御可能な暗号鍵を使用して、 IBM Cloud データベースに保管するデータを暗号化できます。 IBM Cloudリソース、サービス、アプリケーションで使用する暗号化キーのライフサイクルを管理します。

以下のオプションのいずれかを使用できます:

  • IBM Key Protectで Bring Your Own Key (BYOK) を使用し、独自の鍵のいずれかを使用してデータベースとバックアップを暗号化します。
  • Hyper Protect Crypto Services (HPCS)- IBM Cloud® Hyper Protect Crypto Services。専用の鍵管理サービスであり、クラウド・データ暗号化用の Keep Your Own Key 機能を提供するハードウェア・セキュリティー・モジュール (HSM) です。

BYOK 機能および KYOK 機能は、 App Configuration エンタープライズ・プランでのみサポートされます。

詳しくは、 暗号化の管理 を参照してください。

App Configuration CLI または API を使用して鍵管理サービス (KMS) との統合を作成する場合は、KMS サービスと統合する前に、サービス間のアクセス権限を付与するための許可が有効になっていることを確認してください。 詳しくは、許可を使用した、サービス間のアクセス権限の付与を参照してください。

Key Protect または Hyper Protect Crypto Servicesを使用して作成された鍵を作成し、持ち込むことができます。 開始するには、 Key Protect または Hyper Protect Crypto Services を IBM Cloud アカウントにプロビジョンする必要があります。 詳しくは、 鍵保護インスタンスのプロビジョニング または Hyper Protect Crypto Services インスタンスのプロビジョニングを参照してください。

鍵管理サービスと統合するには、以下のステップを実行します。

  1. App Configuration サービス・インスタンスのダッシュボードで、 「統合」 をクリックします。 デフォルトでは、統合には、現在の App Configuration サービスの統合とともに、サポートされるサービスが表示されます。

  2. 「鍵管理」 タイルで、 「接続 +」 をクリックします。 これにより、 「鍵管理」 サイド・パネルが表示されます。

    KMS統合を作成する{: caption="を作成するKMS" caption-side="bottom"}を作成するKMS統合を作成する

  3. 要件に応じて、 「サービス」 ドロップダウン・リストから Key Protect または Hyper Protect Crypto Services を選択します。

  4. 「インスタンス」 で、以下のいずれかのオプションを選択します。

    • 新規インスタンスの作成-選択したサービスの新規インスタンスを作成します。 このオプションを選択すると、選択したサービスのそれぞれのプロビジョニング・ページが表示されます。
    • 既存のインスタンスを選択- Key Protect または Hyper Protect Crypto Services インスタンスが既にある場合は、このオプションを選択します。 ドロップダウン・リストから 「インスタンス名」「ルート鍵」 を選択します。

  5. 「作成」 をクリックして、 Key Protect または Hyper Protect Crypto Services インスタンスのルート・キーを使用して、 App Configuration によって保管されたセグメント・データを暗号化します。

新しく作成された 「鍵管理」 情報が 「接続済みインスタンス」 の下にリストされます。

App Configuration インスタンスが削除されると、鍵管理サービスへのリソースの登録抹消が自動的に行われます。 エラーが発生した場合は、 IBM Cloud コンソール・ダッシュボードを使用して、鍵管理サービスから App Configuration インスタンスを手動で登録抹消できます。

許可を使用した、サービス間のアクセス権限の付与

IBM Cloud® Identity and Access Management (IAM) を使用して、あるサービスに別のサービスへのアクセス権限を付与する許可を作成または削除します。 許可の委任を使用して、依存サービスへのアクセス権限を付与するアクセス・ポリシーを自動的に作成します。

コンソールでの許可の作成

  1. IBM Cloud コンソールで、「管理」 > **「アクセス (IAM)」をクリックし、「許可」**を選択します。

  2. 「作成」 をクリックします。

  3. ソース・アカウントを選択します。

    • ターゲット・サービスへのアクセスを必要とするソース・サービスがこのアカウント内にある場合は、**「このアカウント」**を選択します。
    • ターゲット・サービスへのアクセスを必要とするソース・サービスが別のアカウント内にある場合は、「他のアカウント」を選択します。 次に、送信元アカウントのアカウントID を入力します。

  4. App Configuration として 「ソース・サービス」 を選択します。

  5. 選択した属性に基づいて、すべてのリソースに対する権限を付与するか、リソースに対する権限を付与するかを指定します。 選択した属性に基づいてリソースを選択した場合は、 「属性の追加」(ソース・リソース・グループのみ、またはソース・サービス・インスタンスのみ) を指定します。

  6. 要件 (Key Protect または Hyper Protect Crypto Services) に従って 「ターゲット・サービス」 を選択します。

  7. ターゲット・サービスに対して、すべてのインスタンス、アカウント内の特定のインスタンスのみ、または特定のリソース・グループ内のインスタンスのみを認可するかどうかを指定します。

  8. ターゲット・サービスにアクセスするソース・サービスに対して、アクセス権限を割り当てるための役割を選択します。

  9. 「許可」 をクリックします。

CLI を使用した許可の作成

ソース・サービスからターゲット・サービスへのアクセスを許可するには、ibmcloud iam authorization-policy-create コマンドを実行します。

このコマンドで利用可能なすべてのパラメーターについて詳しくは、ibmcloud iam authorization-policy-create を参照してください。