与密钥管理集成

您可以使用可控制的加密密钥对存储在 IBM Cloud 数据库中的数据进行加密。管理用于IBM Cloud资源、服务和应用程序的加密密钥的生命周期。

您可以使用以下任一选项：

通过 IBM Key Protect自带密钥 (BYOK)，并使用您自己的某个密钥对数据库和备份进行加密。
Hyper Protect Crypto Services (HPCS)- IBM Cloud® Hyper Protect Crypto Services，一种专用密钥管理服务和硬件安全模块 (HSM)，为您提供“保留自己的密钥”功能，用于对加密密钥进行独占控制的云数据加密。

仅 App Configuration Enterprise 套餐支持 BYOK 和 KYOK 功能。

有关更多信息，请参阅管理加密。

如果要使用 App Configuration CLI 或 API 来创建与密钥管理服务 (KMS) 的集成，请确保已启用授权以在与 KMS 服务集成之前授予服务之间的访问权。有关更多信息，请参阅使用授权来授予服务之间的访问权。

您可以创建并引入使用 Key Protect 或 Hyper Protect Crypto Services创建的密钥。首先，您需要在 IBM Cloud 帐户上供应 Key Protect 或 Hyper Protect Crypto Services。有关更多信息，请参阅供应密钥保护实例或参阅供应 Hyper Protect Crypto Services 实例。

要与密钥管理服务集成，请执行以下步骤:

在 App Configuration 服务实例仪表板中，单击集成。缺省情况下，这些集成会显示当前 App Configuration 服务中支持的服务以及集成。
从 密钥管理 磁贴中，单击 连接 +。这将显示 密钥管理 侧面板。

KMS
根据您的需求，从服务下拉列表中选择 Key Protect 或 Hyper Protect Crypto Services。
对于实例，选择下列其中一个选项:
- 创建新实例-用于创建所选服务的新实例。选择此选项会将您转至所选服务的相应供应页面。
- 选择现有实例-如果您已有 Key Protect 或 Hyper Protect Crypto Services 实例，请选择此选项。从下拉列表中选择 实例名称 和 根密钥。
单击创建以应用 Key Protect 或 Hyper Protect Crypto Services 实例的根密钥来加密 App Configuration 实例存储的段数据。

新创建的 密钥管理 信息列示在 已连接的实例下。

删除 App Configuration 实例时，将自动向密钥管理服务注销资源。如果有任何错误，您可以使用 IBM Cloud 控制台仪表板从密钥管理服务手动注销 App Configuration 实例。

使用授权来授予服务之间的访问权

使用 IBM Cloud® Identity and Access Management (IAM) 可创建或除去授权，授权用于授予一个服务对另一个服务的访问权。使用授权委派可自动创建访问策略来授予对相依服务的访问权。

在 IBM Cloud 控制台中，单击管理 > 访问权 (IAM)，然后选择授权。
单击创建。
选择源帐户。
- 如果需要访问目标服务的源服务位于此帐户中，请选择 此帐户。
- 如果需要访问目标服务的源服务位于其他帐户中，请选择 其他帐户。然后，输入源帐户的 帐户标识。
选择 源服务 作为 App Configuration。
指定是希望根据所选属性对所有资源或资源进行授权。如果根据所选属性选择了“资源”，请指定 添加属性: 仅源资源组或仅源服务实例。
根据您的需求选择 目标服务 (Key Protect 或 Hyper Protect Crypto Services)。
对于目标服务，指定是希望授权所有实例，仅授权帐户中的特定实例，还是仅授权特定资源组中的实例。
选择角色以向源服务分配访问目标服务的访问权。
单击授权。

要授权源服务访问目标服务，请运行 ibmcloud iam authorization-policy-create 命令。

有关可用于此命令的所有参数的更多信息，请参阅 ibmcloud iam authorization-policy-create。