IBM Cloud Docs
App ID でのデータの保護

App ID でのデータの保護

IBM Cloud® App ID を使用する時にデータを安全に管理するには、どのようなデータが保管され、暗号化されるのか、また、保管されている個人データを削除するにはどうすればよいのかを正確に理解しておくことが重要です。

App ID でのデータの保管と暗号化

App ID は、ユーザー・プロファイル属性を保管して暗号化します。 マルチテナント・サービスでは、すべてのテナントには指定された暗号鍵がありそれぞれのテナントのユーザー・データはそのテナントの鍵だけで暗号化されます。App ID は必ず、プライベートな資料を暗号化してから保管します。

鍵管理サービス (KMS) との統合を有効にすることにより、保存されたデータに (保管時に) より高いレベルの暗号化制御を追加できます。 IBM Cloud に保管するデータは、保存時にはエンベロープ暗号化を使用して暗号化されます。 暗号鍵を制御する必要がある場合、Key Protect または Hyper Protect Crypto Services を統合できます。 このプロセスは一般に Bring Your Own Key (BYOK) と呼ばれます。 Key Protect および Hyper Protect Crypto Services を使用して、暗号鍵を作成、インポート、および管理することができます。 アクセス・ポリシーを鍵に割り当てたり、ユーザーまたはサービス ID を鍵に割り当てたり、鍵へのアクセスを特定のサービスに対してのみ付与したりできます。

お客様独自の鍵の管理

App ID は、プロバイダーが管理する鍵とお客様が管理する鍵の両方を、エンベロープ暗号化を使用して実装します。 エンベロープ暗号化とは、ある暗号鍵を別の暗号鍵で暗号化することです。 実際のデータの暗号化に使用される鍵は、データ暗号鍵 (DEK) と呼ばれます。 DEK そのものが保管されることはなく、DEK が鍵暗号鍵 (KEK) と呼ばれるもう 1 つの鍵によってラップされ、ラップされた DEK が作成されます。 データを復号するには、ラップされた DEK をアンラップして DEK を取得します。 このプロセスは、KEK (この場合は KMS に保管されているお客様のルート鍵) にアクセスすることによってのみ実行できます。Key Protect 鍵は FIPS 140-2 レベル 3 認定のクラウド・ベースのハードウェア・セキュリティー・モジュール (HSM) で保護され、 Hyper Protect Crypto Services 鍵は FIPS 140-2 レベル 4 認定のクラウド・ベースの HSM で保護されます。

App ID を使用した Key Protect のお客様が管理する鍵の有効化

お客様が管理する鍵を使用する場合は、有効な IAM 許可が App ID サービスに割り当てられていることを確認する必要があります。

  1. Key Protect のインスタンスを作成します。
  2. お客様独自のルート鍵を生成するかインポート (Key Protect のインスタンスにインポート) します。 Key Protect を使用してルート鍵を作成すると、クラウド・ベースの HSM に基づく暗号鍵素材がサービスによって生成されます。 鍵の名前に、自分の名前やロケーションなどの個人情報が含まれていないことを確認してください。
  3. Key Protect に対するアクセス権限をサービスに付与します。 この作業を行うユーザーは、使用する Key Protect のインスタンスのアカウント所有者または管理者でなければなりません。 App ID サービスに対するビューアー以上のアクセス権限も持っている必要があります。
    1. **「管理」 > 「IAM へのアクセス」 > 「権限」**に移動します。
    2. Key Protectへのアクセスを許可する許可を作成します。
    3. ソース・アカウントを選択します。
    4. ソース・サービスとして App ID を選択します。
    5. ターゲット・サービスとして Key Protect を選択します。
    6. アクセスの有効範囲を指定します。
    7. 「リーダー」役割を割り当てます。
    8. 「許可」 をクリックします。
  4. App ID サービスのインスタンスを作成します。
    1. Key Protect インスタンスを選択します。
    2. 先ほど許可したルート鍵を選択します。
    3. 「作成」 をクリックします。

App ID は、鍵の状態の変更をサポートします。

鍵のローテーション

KEK をローテートすると、ローテートされる鍵に関連付けられた DEK が App ID により再ラップされ、ユーザー・データが常に最新の暗号鍵で保護されるようになります。

鍵の削除

KEK を削除すると、削除から 4 時間以内にユーザー・データはアクセス不能になります。 鍵を削除するときにユーザー・データは破棄されませんが、App ID がユーザー・データを復号できなくなるため、ユーザー・データはアクセス不能になります。

App ID を使用した Hyper Protect Crypto Services のお客様が管理する鍵の有効化

お客様が管理する鍵を使用する場合は、有効な IAM 許可が App ID サービスに割り当てられていることを確認する必要があります。

  1. Hyper Protect Crypto Services のインスタンスを作成します
  2. スマート・カードまたはワークステーションからマスター鍵をロードして、インスタンスを初期化します。
  3. Hyper Protect Crypto Services のインスタンスに対して独自のルート鍵を生成またはインポートします。 Hyper Protect Crypto Services を使用してルート鍵を作成すると、クラウド・ベースの HSM に基づく暗号鍵素材がサービスによって生成されます。 鍵の名前に、自分の名前やロケーションなどの個人情報が含まれていないことを確認してください。
  4. Hyper Protect Crypto Services へのアクセス権限をサービスに付与します。 この作業を行うユーザーは、使用する Hyper Protect Crypto Services のインスタンスのアカウント所有者または管理者でなければなりません。 App ID サービスに対するビューアー以上のアクセス権限も持っている必要があります。
    1. **「管理」 > 「IAM へのアクセス」 > 「権限」**に移動します。
    2. Key Protectへのアクセスを許可する許可を作成します。
    3. ソース・アカウントを選択します。
    4. ソース・サービスとして App ID を選択します。
    5. ターゲット・サービスとして Hyper Protect Crypto Services を選択します。
    6. アクセスの有効範囲を指定します。
    7. 「リーダー」役割を割り当てます。
    8. 「許可」 をクリックします。
  5. App ID サービスのインスタンスを作成します。
    1. Hyper Protect Crypto Services インスタンスを選択します。
    2. 先ほど許可したルート鍵を選択します。
    3. 「作成」 をクリックします。

App ID は、鍵の状態の変更をサポートします。

鍵のローテーション

KEK をローテートすると、ローテートされる鍵に関連付けられた DEK が App ID により再ラップされ、ユーザー・データが常に最新の暗号鍵で保護されるようになります。

鍵の削除

KEK を削除すると、削除から 4 時間以内にユーザー・データはアクセス不能になります。 鍵を削除するときにユーザー・データは破棄されませんが、App ID がユーザー・データを復号できなくなるため、ユーザー・データはアクセス不能になります。

App ID でのデータの削除

App ID のインスタンスを削除すると、ユーザー関連データもすべて削除されます。 サービス・インスタンスを削除すると、7 日間の再利用期間が開始します。 その期間中は、インスタンスおよびすべてのユーザー関連データを復元できます。 ただし、インスタンスとデータが永久に削除された場合は、復元できません。 App ID では、永久に削除されたインスタンスのどのようなデータも保管しません。

App ID のデータ保存ポリシーに、お客様がサービスを削除した後のデータ保管期間を記載しています。 データ保存ポリシーは、App ID ご利用条件と特記事項の中の IBM Cloud サービス記述に含まれています。

インスタンスの削除

App ID のインスタンスが必要ではなくなった場合、サービス・インスタンスおよび保管されたデータを削除できます。 また、コンソールを使用してサービス・インスタンスを削除することもできます。

  1. サービスを削除して、7 日間の再利用期間を適用します。

    ibmcloud resource service-instance-delete <serviceName>

  2. オプション: インスタンスを永久に削除するために、再利用 ID を取得します。

    ibmcloud resource reclamations --resource-instance-id <tenantID>

    インスタンスを永久に削除しない選択をした場合でも、7 日間の再利用期間が終わると、インスタンスとデータは削除されます。

  3. オプション: 再利用インスタンスを永久に削除します。

    ibmcloud resource reclamation-delete <reclamationId>

    インスタンスを永久に削除した場合は、データを復元できません。

削除されたインスタンスの復元

インスタンスを永久に削除していない場合は、再利用期間内にそれを復元できます。

  1. 再利用 ID を取得します。

    ibmcloud resource reclamations --resource-instance-id <tenantID>

  2. 復元して再利用します。

    ibmcloud resource reclamation-restore <reclamationID>