Hyper Protect Crypto Services の統合

IBM Cloud® は、専用鍵管理サービスを Hyper Protect Crypto Services から IBM® Key Protect Dedicated に移行する。 サービスの継続的な可用性を確保するため、2027年3月20日のHPCSサービス終了(EOL)前に、既存の Hyper Protect Crypto Services (HPCS)ルート鍵を IBM® Key Protect Dedicated(シングルテナント)に移行する。 その日を過ぎると、残っているインスタンスはすべて終了する。 サービスの継続的な可用性とサポートを確保するため、EOLの日までに、既存のすべてのHPCSルートキーを IBM Key Protect Dedicated(シングルテナント)に移行する必要があります。 ルート・キーの移行方法をご覧 ください。

Cloud Databases に保存するデータは、デフォルトでランダムに生成されるキーを使用して暗号化されます。 暗号鍵を制御する必要がある場合は、Hyper Protect Crypto Services で Bring Your Own Key (BYOK) を使用し、独自の鍵の 1 つを使用してデータベースを暗号化できます。 Hyper Protect Crypto Services for IBM Cloud® Databasesのバックアップは、現在、大半のリージョンではサポートされておらず、ディザスタリカバリへの影響を慎重に考慮せずに使用することは推奨されていないことに注意してください。

開始するには、Hyper Protect Crypto Services が IBM Cloud アカウントにプロビジョンされている必要があります。

Hyper Protect Crypto Services での鍵の作成または追加

Hyper Protect Crypto Services のインスタンスに移動して、鍵を生成または入力します。

サービス許可の付与

Hyper Protect Crypto Services デプロイメントで使用できるように Cloud Databases を許可します。

  1. IBM Cloud のダッシュボードを開きます。
  2. メニュー・バーから、「管理」 > **「アクセス (IAM)」**をクリックします。
  3. サイド・ナビゲーションで、**「許可」**をクリックします。
  4. 「作成」 をクリックします。
  5. **「ソース・サービス」メニューで、デプロイメントのサービスを選択します。 例えば、「Databases for PostgreSQL」または「Messages for RabbitMQ」**を選択します
  6. **「ソース・サービス・インスタンス」メニューで、「すべてのインスタンス」**を選択します。
  7. **「ターゲット・サービス」メニューで「HPCS」**を選択します。
  8. ターゲット・サービスのリソース・グループとしてデフォルト値**Account**を選択または保持します。
  9. ターゲット・サービスの**「インスタンス ID」**メニューで、許可を付与するサービス・インスタンスを選択します。
  10. リーダー の役割を有効にします。
  11. 「許可」 をクリックします。

鍵を使用してデプロイメントをプロビジョンする前にサービス許可が存在していない場合は、プロビジョンが失敗します。

HPCS 鍵の使用

鍵を使用する許可を Cloud Databases デプロイメントに付与した後、デプロイメントをプロビジョンするときに鍵の名前または CRN を指定します。 このデプロイメントは暗号鍵を使用してデータを暗号化します。

カタログページからプロビジョニングする場合は、ドロップダウンメニューからHPCSインスタンスとキーを選択します。

CLIでは、パラメータのJSONオブジェクトの disk_encryption_key_crn パラメータを使用する。

ibmcloud resource service-instance-create <INSTANCE_NAME> <SERVICE-NAME> standard us-south \
-p \ '{
  "disk_encryption_key_crn": "crn:v1:<...>:key:<id>"
}'

API で、要求の本文内で disk-encryption-key パラメーターを使用します。

curl -X POST \
  https://resource-controller.cloud.ibm.com/v2/resource_instances \
  -H 'Authorization: Bearer <>' \
  -H 'Content-Type: application/json' \
    -d '{
    "name": "my-instance",
    "target": "blue-us-south",
    "resource_group": "5g9f447903254bb58972a2f3f5a4c711",
    "resource_plan_id": "databases-for-x-standard",
    "disk_encryption_key_crn": "crn:v1:<...>:key:<id>"
  }'

CLI または API を使用して配置をプロビジョニングする場合、HPCS キーは ID だけでなく完全な CRN で識別する必要があります。 HPCS CRN は、 crn:v1:<...>:key:<id>.

バックアップ暗号化にHPCSキーを使用する

この機能は、eu-esおよびbr-saoの地域でのみサポートされています。 単一地域のHPCSでバックアップを暗号化すると、その地域でHPCSの可用性が失われた場合、バックアップにアクセスできなくなります。 バックアップの取得とバックアップからの復元は、HPCSが利用できない期間失敗します。 したがって、HPCSによるバックアップの暗号化は推奨されません。 バックアップの暗号化 IBM® Key Protect に使用します。

バックアップをHPCSで暗号化した場合は、ディスクもHPCSで暗号化してください。

鍵を使用する許可を Cloud Databases デプロイメントに付与した後、デプロイメントをプロビジョンするときに鍵の名前または CRN を指定します。 このデプロイメントは暗号鍵を使用してデータを暗号化します。

カタログからプロビジョニングする場合は、ドロップダウンメニューからHPCSインスタンスとキーを選択します。

CLIでは、パラメータのJSONオブジェクトの backup_encryption_key_crn パラメータを使用する。

ibmcloud resource service-instance-create <INSTANCE_NAME> <SERVICE-NAME> standard eu-es \
-p \ '{
  "backup_encryption_key_crn": "crn:v1:<...>:key:<id>"
}'

API で、要求の本文内で backup-encryption-key パラメーターを使用します。

curl -X POST \
  https://resource-controller.cloud.ibm.com/v2/resource_instances \
  -H 'Authorization: Bearer <>' \
  -H 'Content-Type: application/json' \
    -d '{
    "name": "my-instance",
    "target": "blue-us-south",
    "resource_group": "5g9f447903254bb58972a2f3f5a4c711",
    "resource_plan_id": "databases-for-x-standard",
    "parameters": {
      "backup_encryption_key_crn": "crn:v1:<...>:key:<id>"
    }
  }'

CLI または API を使用して配置をプロビジョニングする場合、HPCS キーは ID だけでなく完全な CRN で識別する必要があります。 HPCS CRN は、 crn:v1:<...>:key:<id>.

鍵のローテーション

HPCS には手動と自動の鍵のローテーションがあり、鍵のローテーションは Cloud Databases デプロイメントでサポートされています。 鍵をローテートすると、プロセスは KMS 状態の同期中_タスクを開始し、デプロイメントは新しい鍵で再暗号化されます。 タスクがデプロイメントの「概要」「タスク」_パネルに表示され、関連する HPCS イベントと Cloud Databases イベントが Activity Tracker に送信されます。

デプロイメントの削除

HPCS 鍵で保護されているデプロイメントを削除しても、ソフト削除期間 (最大 9 日間) 中は、デプロイメントがその鍵に対して登録されたままになります。 ソフト削除期間に鍵を削除する必要がある場合は、鍵を強制的に削除する必要があります。 ソフト削除期間が経過すると、その鍵は強制しなくても削除できます。 鍵とデプロイメントの間の関連付けを確認することで、鍵を削除できるかどうかを判別できます。

暗号の廃棄

暗号の廃棄は破壊アクションです。 鍵が削除されると、データはリカバリー不能になります。

Hyper Protect Crypto Services では、IBM Cloud® デプロイメントなどの Cloud Databases サービスで使用されている鍵の強制削除を開始できます。 このアクションは暗号の廃棄と呼ばれます。 デプロイメントで使用中の鍵を削除すると、データが含まれているディスクがロックされ、そのデプロイメントが無効化されます。 UI や、UI、CLI、API のセキュリティー設定などの一部のメタデータには引き続きアクセスできますが、データベースやそこに含まれているデータにはアクセスできません。 キー削除は hs-crypto.secrets.delete として Activity Tracker Event Routing に送られる

Hyper Protect Crypto Services (HPCS) から Key Protect 専用 (KP-ST) への移行

Hyper Protect Crypto Services (HPCS) から Key Protect Dedicated (KP-ST) への移行中、以下のことが発生する:

  • 各KMSインスタンスは、それぞれ固有のルート・キーを保持する。 移行には、新しい Key Protect 専用ルート・キーでサービスを再関連化することが含まれる。
  • 既存のデータ暗号化キー(DEK)は安全に再ラッピングされる。
  • 移行期間中も、 Hyper Protect Crypto Services to Serviceおよび Key Protect to Serviceの両アクセスポリシーは維持されなければならない。
  • 暗号化されたデータが再度暗号化されたり、移動されたりすることはない。
  • サービスの可用性は維持される。

前提条件

移行を開始する前に、以下を確認してください:

  • Key Protect 専用(シングルテナント)インスタンス。
  • Key Protect 専用(KP-ST)インスタンスで作成されたルート・キー。
  • 鍵およびサービスアクセスポリシーを管理するための権限。

マイグレーション手順

  1. 使用中の既存の Hyper Protect Crypto Services ルート・キーを特定する。 キーは Hyper Protect Crypto Services インスタンスに存在し、サービスがすでにそのキーにアクセスしていなければならない。
  2. Key Protect 専用ルートキーを作成または選択する。 鍵は、適切な Key Protect 専用(シングルテナント)インスタンスにあり、サービスにアクセス可能でなければならない。
  3. 2つのキーをリンクする移行インテントを作成する。 移行インテントは、現在の Hyper Protect Crypto Services キー(ソース)を新しい Key Protect 専用キー(ターゲット)にマッピングする。 Key Protect への移行の詳細については、 Hyper Protect Crypto Services(HPCS)から Key Protect Dedicated への移行を 参照してください。
  4. Event Streams、データを再暗号化または移動することなく、該当する場合はDEKを安全に再関連付けし、再ラップします。
  5. 移行完了を確認する。 サービスは Key Protect シングルテナントのルート鍵を参照しなければならない。 Key Protect シングルテナントのルートキーが表示され、アクティブになり、 Hyper Protect Crypto Services 関連付けが削除される必要がある。