KMS-Provider (Key Management Service) einrichten

Virtual Private Cloud Klassische Infrastruktur Satellite

Sie können geheime Kubernetes-Schlüssel und alle in Ihren geheimen Schlüsseln gespeicherten Berechtigungsnachweise schützen, indem Sie einen KMS-Provider (Key Management Service) aktivieren, wie z. B. IBM® Key Protect for IBM Cloud® oder Hyper Protect Crypto Services.

Löschen Sie keine Rootschlüssel in Ihrer KMS-Instanz, auch wenn Sie zu einem neuen Schlüssel wechseln. Wenn Sie einen Rootschlüssel löschen, den ein Cluster verwendet, wird der Cluster unbrauchbar, verliert alle Daten und kann nicht wiederhergestellt werden. In ähnlicher Weise schlagen beim Inaktivieren eines Rootschlüssels Operationen fehl, die auf das Lesen geheimer Schlüssel angewiesen sind. Anders als beim Löschen eines Rootschlüssels können Sie jedoch einen inaktivierten Schlüssel erneut aktivieren, um den Cluster wieder verwendbar zu machen.

Bevor Sie einen KMS-Provider (Key Management Service) in Ihrem Cluster aktivieren können, müssen Sie zuerst eine KMS-Instanz und einen Rootschlüssel erstellen.

1. Erstellen Sie eine Instanz des KMS-Providers, den Sie verwenden wollen.

   • Key Protect.
   • Hyper Protect Crypto Services.

2. Erstellen Sie einen Rootschlüssel in Ihrer KMS-Instanz.

   • Key Protect-Rootschlüssel.
   • Hyper Protect Crypto Services-Rootschlüssel. Der Rootschlüssel wird standardmäßig ohne Ablaufdatum erstellt.

   Key Protect: Muss ein Ablaufdatum festgelegt werden, um die internen Sicherheitsrichtlinien zu erfüllen? Erstellen Sie den Rootschlüssel mit der API und schließen Sie den Parameter expirationDate ein. Wichtig: Vor dem Ablaufen des Rootschlüssels müssen Sie diese Schritte wiederholen, um den Cluster so zu aktualisieren, dass ein neuer Rootschlüssel verwendet wird. Wenn ein Rootschlüssel abläuft, können die geheimen Clusterschlüssel nicht entschlüsselt werden und Ihr Cluster wird unbrauchbar. Abhängig von der Clusterversion vergeht etwa eine Stunde zwischen dem Ablaufzeitpunkt des Rootschlüssels und dem Zeitpunkt, wenn der Cluster nicht mehr in der Lage ist, geheime Schlüssel zu entschlüsseln, oder wenn der Master aktualisiert wird.

3. Stellen Sie sicher, dass Sie über die erforderlichen Serviceberechtigungsrichtlinien in IBM Cloud IAM verfügen. Navigieren Sie in der Konsole zur Seite Serviceautorisierungen und suchen Sie nach einer Autorisierung mit dem Quellenservice, der als Kubernetes-Service angegeben ist, dem Zielservice, der als KMS-Provider angegeben ist (z. B. Key Protect), und dem Zielkonto, das als Konto angegeben ist, in dem sich der Cluster befindet. Wenn die Serviceberechtigung nicht angezeigt wird, führen Sie die folgenden Schritte aus, um sie zu erstellen:

   • Erforderliche Servicezugriffsrichtlinie für Kubernetes Service und KMS-Provider
     1. Legen Sie das Quellenkonto für Dieses Konto fest, wenn sich der Cluster, für den Sie Zugriff auf KMS erteilen möchten, im aktuellen Konto befindet. Wenn sich der Cluster unter einem anderen Konto befindet, wählen Sie Anderes Konto und geben Sie die Konto-ID an.
     2. Legen Sie Kubernetes Service als den Quellenservice fest.
     3. Legen Sie als Zielservice Ihren KMS-Provider (z. B. Key Protect) fest.
     4. Geben Sie für den Servicezugriff mindestens die Rolle Leseberechtigter an.
     5. Aktivieren Sie die Möglichkeit zum Delegieren der Autorisierung durch Quellenservices und abhängige Services.

4. Stellen Sie sicher, dass Sie in der IBM CloudIdentitäts- und Zugriffsverwaltung (IAM) über die richtigen Berechtigungen verfügen, um KMS in Ihrem Cluster zu aktivieren.

   • Stellen Sie sicher, dass Sie über die Administrator IBM Cloud IAM-Plattformzugriffsrolle für den Cluster verfügen.
   • Stellen Sie sicher, dass der API-Schlüsseleigner des API-Schlüssels, der für die Region und die Ressourcengruppe festgelegt ist, in der Ihr Cluster enthalten ist, über die korrekten Berechtigungen für den KMS-Anbieter verfügt.
     • Um beispielsweise eine Instanz und einen Rootschlüssel zu erstellen, benötigen Sie mindestens die Editor-Plattform- und die Writer-Servicezugriffsrollen für Ihren KMS-Provider.
     • Wenn Sie planen, eine vorhandene KMS-Instanz und einen Rootschlüssel zu verwenden, benötigen Sie mindestens die Viewer-Plattform- und Reader-Servicezugriffsrollen für Ihren KMS-Provider.

5. Optional Führen Sie die folgenden zusätzlichen Schritte aus, wenn Sie die Plattenverschlüsselung für Workerknoten für einen VPC-Cluster einrichten möchten.

6. Erstellen Sie einen Cluster und aktivieren Sie die Verschlüsselung geheimer Schlüssel.