IBM Cloud Docs
Chiffrement côté serveur avec clé publique ( IBM Key Protect, SSE-KP)

Chiffrement côté serveur avec clé publique ( IBM Key Protect, SSE-KP)

Vous pouvez utiliser IBM Key Protect pour créer, ajouter et gérer des clés, que vous pouvez ensuite associer à votre instance d' IBM® Cloud Object Storage pour chiffrer des compartiments.

Avant de commencer

Avant de planifier l'utilisation d' Key Protect s avec des buckets d' Cloud Object Storage, vous avez besoin de :

Vous devez également vous assurer qu'une instance de service est créée à l'aide du catalogueIBM Cloud et que les droits appropriés sont accordés. Cette section présente les instructions étape par étape pour vous aider à démarrer.

Approvisionnement d'une instance d' IBM Key Protect

Consultez les pages du produit spécifiques au service pour obtenir les instructions de mise à disposition et de configuration des instances de service appropriées.

À compter du 1er janvier 2025, cinq versions clés par compte ne seront plus gratuites. Chaque version de clé vous est facturée, à partir de la première clé créée.

Une fois que vous disposez d'une instance de Key Protect, vous devez créer une clé racine et noter le CRN (Cloud Resource Name) de cette clé. Le CRN est envoyé dans un en-tête lors de la création du compartiment.

Avant de créer le compartiment à utiliser avec Key Protect, consultez les conseils pertinents sur la disponibilité et la reprise après incident.

Notez que le chiffrement géré pour un compartiment inter-région doit utiliser une clé racine d'une instance Key Protect dans l'emplacement à haute disponibilité le plus proche (us-south, eu-de ou jp-tok).

Création ou ajout d'une clé dans Key Protect

Accédez à votre instance de Key Protect et générez ou saisissez une clé racine.

Octroi d'une autorisation de service

Autoriser l'utilisation d' Key Protect avec IBM COS :

  1. Ouvrez votre tableau de bord IBM Cloud.
  2. Dans la barre de menus, cliquez sur Gérer > Accès (IAM).
  3. Dans la barre de navigation latérale, cliquez sur Autorisations.
  4. Cliquez sur Créer une autorisation.
  5. Dans le menu Service source, sélectionnez Cloud Object Storage.
  6. Dans le menu Instance de service source, sélectionnez l'instance de service que vous souhaitez autoriser.
  7. Dans le menu de service Target, sélectionnez IBM Key Protect.
    Figure 1: Octroi d'une autorisation de service pour Key Protect.
    Octroi d'une autorisation de service
  8. Dans le menu Instance de service cible, sélectionnez l'instance de service à autoriser. Les zones supplémentaires peuvent être laissées vides.
  9. Activez le rôle Lecteur.
  10. Cliquez sur Autoriser.

Créer un compartiment

Lorsque votre clé existe dans Key Protect et que vous avez autorisé l'utilisation du service avec IBM COS, associez la clé à un nouveau bucket :

  1. Accédez à votre instance d'Object Storage.
  2. Cliquez sur Créer un compartiment.
  3. Sélectionnez Compartiment personnalisé.
  4. Entrez un nom de compartiment, sélectionnez la résilience Régional et choisissez un emplacement et une classe de stockage.
  5. Dans Intégrations de service, désactivez l'option Gestion des clés désactivée pour activer la gestion des clés de chiffrement et cliquez sur Utiliser une instance existante.
  6. Sélectionnez l'instance de service et la clé associées, puis cliquez sur Associer une clé.
  7. Vérifiez que les informations sont correctes.
  8. Cliquez sur Créer.

Vous pouvez choisir d'utiliser Key Protect pour gérer le chiffrement d'un compartiment uniquement au moment de sa création. Il n'est pas possible de modifier un bucket existant pour utiliser l' Key Protect.

Si la création du compartiment échoue avec un code d'erreur 400 Bad Request suivi du message indiquant que le CRN de la clé est introuvable (The Key CRN could not be found), vérifiez que le CRN est correct et que la règle d'autorisations de service à service existe bien.

Dans la liste Compartiments, le compartiment comporte un lien Afficher sous Attributs où vous pouvez vérifier qu'une clé Key Protect est activée pour le compartiment.

Notez que la valeur d' Etag s renvoyée pour les objets chiffrés à l'aide de SSE-KP sera le hachage d' MD5 s réel de l'objet original déchiffré.

Il est également possible d'utiliser l'API REST ou les SDK (Go, Java, Node.js ou Python).

Gestion du cycle de vie des clés

Key Protect offre différentes manières de gérer le cycle de vie des clés de chiffrement. Pour plus de détails, voir la documentation Key Protect.

Rotation des clés

Le renouvellement des clés est une partie importante du processus d'atténuation du risque d'atteinte à la protection des données. Modifier la clé régulièrement permet de réduire le risque de perte de données si la clé est perdue ou compromise. La fréquence de rotation des clés varie selon l'organisation et dépend d'un certain nombre de variables, telles que l'environnement, la quantité de données chiffrées, la classification des données et la conformité à la législation en vigueur. Le National Institute of Standards and Technology(NIST ) fournit des définitions des longueurs de clés appropriées et des directives sur la durée d'utilisation des clés.

Pour plus d'informations, consultez la documentation relative aux clés tournantes dans Key Protect.

Désactivation et réactivation des clés

En tant qu'administrateur, vous pouvez être amené à désactiver une clé racine de manière temporaire si vous suspectez un risque lié à la sécurité, une compromission ou une violation de vos données. Lorsque vous désactivez une clé racine, vous interrompez ses opérations de chiffrement et de déchiffrement. Après avoir confirmé qu'un risque de sécurité n'est plus actif, vous pouvez rétablir l'accès à vos données en activant la clé racine désactivée.

Si une clé est désactivée, puis réactivée rapidement, les demandes adressées à ce compartiment peuvent être rejetées pendant une heure au maximum avant que les informations de clé en cache ne soient actualisées.

Suppression de clés et effacement cryptographique

Il n'est pas possible de supprimer une clé racine associée à un compartiment pour lequel une règle de conservation est en place. Le compartiment doit d'abord être vidé et détruit pour que la clé racine puisse être supprimée. Pour plus d'informations, voir la Key Protect.

L'effacement cryptographique (ou crypto-broyage) est une méthode permettant de rendre les données chiffrées illisibles en supprimant les clés de chiffrement plutôt que les données elles-mêmes. Lorsqu'une clé racine est supprimée dans Key Protect, elle affecte tous les objets des compartiments créés à l'aide de cette clé racine, ce qui a pour effet de "déchiqueter" les données et d'empêcher toute autre lecture ou écriture dans les compartiments. Ce processus n'est pas instantané, mais se produit dans un délai d'environ 90 secondes après la suppression de la clé.

Bien que les objets d'un compartiment crypto-shredded ne puissent pas être lus et que les nouveaux objets ne puissent pas être écrits, les objets existants continueront à consommer de l'espace de stockage jusqu'à ce qu'ils soient supprimés par un utilisateur.

Restauration d'une clé supprimée

En tant qu'administrateur, vous devrez peut-être restaurer une clé racine que vous avez importée dans Key Protect afin de pouvoir accéder aux données que la clé protégeait auparavant. Lorsque vous restaurez une clé, vous la faites passer de l'état Clé détruite à l'état Clé active et vous restaurez l'accès à toutes les données qui étaient auparavant chiffrées avec cette clé. Cela doit se produire dans les 30 jours suivant la suppression d'une clé.

Activity Tracking

Lorsque des clés racine Key Protect sont supprimées, alternées, suspendues, activées ou restaurées, un événement de gestion Activity Tracker (cloud-object-storage.bucket-key-state.update) est généré en plus des événements consignés par Key Protect.

En cas d'échec côté serveur dans une action de cycle de vie sur une clé, cet échec n'est pas consigné par COS. Si Key Protect ne reçoit pas de succès de la part de COS pour le traitement des événements dans les quatre heures suivant l'envoi de l'événement, Key Protect consigne un échec.

Les actions cloud-object-storage.bucket-key-state.update sont déclenchées par les événements qui se produisent dans Key Protectet nécessitent que le compartiment soit enregistré auprès du service Key Protect. Cet enregistrement se produit automatiquement lorsqu'un compartiment est créé avec une clé racine Key Protect.

Les compartiments créés avant le 26th2020 ne sont pas enregistrés auprès du service Key Protect et ne recevront pas de notifications d'événements de cycle de vie de clé de chiffrement pour le moment. Ces compartiments peuvent être identifiés en exécutant une opération de liste de compartiments et en examinant les dates de création des compartiments. Pour vous assurer que ces compartiments possèdent l'état de clé le plus récent de Key Protect, il est recommandé d' effectuer certaines opérations de données, telles que PUT, GET ou HEAD sur un objet dans chaque compartiment affecté. Il est recommandé d'effectuer une opération sur un objet deux fois, à au moins une heure d'intervalle, afin de s'assurer que l'état de la clé est correctement synchronisé avec l'état Key Protect.

Pour plus d'informations sur les événements Activity Tracker pour le stockage d'objets, voir la rubrique de référence.