Einführung von Unified Key Orchestrator

Beispiel für einen Anwendungsfall

Im folgenden Beispiel verwendet Ihr Privatkundengeschäft, das als eine Benutzergruppe dargestellt wird, ein Vault mit dem Namen Retail Banking BU. Ein anderer Unternehmensbereich, der als eine andere Benutzergruppe dargestellt wird, verwendet eine eigene Vault, um die verwalteten Schlüssel und Keystores separat zu halten.

Sie verbinden den Vault Retail Banking BU mit drei externen Keystores an verschiedenen Positionen, in diesem Beispiel drei Azure-Schlüsselvaults. Sie können Ihre Vault bei Bedarf auch mit anderen externen Keystoretypen verbinden, wie z. B. AWS Key Management Service, Google Cloud KMS, IBM® Key Protectoder anderen Instanzen von Hyper Protect Crypto Services. Anschließend erstellen Sie verwaltete Schlüssel im Vault Retail Banking BU und verteilen die Schlüssel an diese drei externen Keystores in Azure.

Zu Entwicklungs- und Testzwecken erstellen Sie einige weitere Schlüssel im selben Vault und einen internen KMS-Keystore, an den die Schlüssel verteilt werden.

Sie aktivieren einen Schlüssel in mehreren internen oder externen Keystores in derselben Vault. Wenn Sie Änderungen am Schlüssel vornehmen, z. B. den Schlüsselstatus von "Aktiv" in "Inaktiviert" ändern, wird die Änderung auf alle Keystores angewendet, in denen der Schlüssel aktiviert ist.

Komponenten

Die folgende Liste enthält die Schlüsselkomponenten von Unified Key Orchestrator. Ein Architekturdiagramm mit den wichtigsten Hyper Protect Crypto Services-Komponenten finden Sie unter Servicearchitektur.

• Vaults

  Eine Vault ist ein Repository, das den Zugriff eines Benutzers oder einer Zugriffsgruppe auf verwaltete Schlüssel und Keystores über IAM steuert. Eine Vault hält alle Aktivierungen eines verwalteten Schlüssels synchron. Sie können einen verwalteten Schlüssel oder Keystore nur in einer Vault zuordnen. Wenn Sie eine Verbindung zu einem externen Keystore herstellen, müssen Sie ihn auch zuerst einem Vault zuordnen.

  Sie können basierend auf Ihren Organisations- oder Sicherheitsanforderungen unterschiedliche Vaults erstellen. Sie können beispielsweise einen Vault für jeden Unternehmensbereich erstellen. Auf diese Weise legen Sie Zugriffssteuerungsrichtlinien auf Vaultebene fest, und Schlüsseladministratoren jedes Unternehmensbereichs haben nur Zugriff auf die Schlüssel und Keystores, die dem Vault ihres Unternehmensbereichs zugeordnet sind.

  Weitere Informationen zum Erstellen und Verwalten des Zugriffs auf Vaults finden Sie unter Vaults erstellen und Zugriff auf Vaults erteilen.

• Schlüsselvorlagen

  Eine Schlüsselschablone gibt die Eigenschaften der zu erstellenden verwalteten Schlüssel an, z. B. die Namenskonvention, den Schlüsselalgorithmus und die Schlüssellänge. Nachdem Sie die Schlüsselvorlage erstellt haben, können Sie eine Gruppe verwalteter Schlüssel mit denselben Schlüsseleigenschaften erstellen, die in der Schlüsselvorlage definiert sind.

  Weitere Informationen zum Erstellen von Schlüsselvorlagen finden Sie unter Schlüsselvorlagen erstellen.

• Verwaltete Schlüssel

  Ein verwalteter Schlüssel ist ein Schlüssel, der in einem Vault erstellt und zugewiesen wird. Sie können den Lebenszyklus eines verwalteten Schlüssels verwalten und in mehreren Keystores in derselben Vault aktivieren. Sie können einen verwalteten Schlüssel nur für die Verschlüsselung und Entschlüsselung verwenden, wenn er in mindestens einem Schlüsselspeicher aktiviert ist. Die Aktivierung eines verwalteten Schlüssels in mehreren Keystores in derselben Vault ermöglicht die Schlüsselredundanz. Um einen verwalteten Schlüssel für die Verschlüsselung und Entschlüsselung zu verwenden, aktivieren Sie ihn zuerst in einem oder mehreren Keystores innerhalb derselben Vault.

  Weitere Informationen zum Erstellen verwalteter Schlüssel finden Sie unter Verwaltete Schlüssel erstellen und aktivieren.

• Schlüsselspeicher

  Ein Keystore muss einer Vault zugewiesen werden. Sie müssen einen internen Keystore nur in einem einzigen Vault erstellen oder einem Vault einen externen Keystore zuordnen, wenn Sie eine Verbindung zu Ihrer Serviceinstanz herstellen.

  Sie müssen einen Schlüssel in einem Keystore aktivieren, bevor Sie Daten mithilfe des Schlüssels verschlüsseln oder entschlüsseln können.

  • Interne Keystores

    Ein interner Keystore ist ein Keystore, der in Ihrer Hyper Protect Crypto Services-Instanz erstellt wird.

    Weitere Informationen zum Erstellen interner Keystores finden Sie unter Interne Keystores erstellen.

    • IBM Cloud KMS

      Die Komponente „Key Management Service“ in Hyper Protect Crypto Services stellt das Feature KYOK (Keep Your Own Key) für IBM Cloud-Services bereit, um sicherzustellen, dass Sie nur auf die berechtigten Keystores zugreifen können.

      Sie können bis zu fünf freie interne Keystores erstellen, um Ihre Schlüssel zu verwalten. Wenn Sie weitere Keystores für die regionsübergreifende Schlüsselverteilung oder angegebene Zugriffsberechtigungen benötigen, fallen Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter Häufig gestellte Fragen: Preise.

  • Externe Keystores

    Externe Keystores sind Keystores, die sich nicht in Ihrer Serviceinstanz befinden. Sie können eine Verbindung zu Keystores herstellen, die sich außerhalb Ihrer Serviceinstanz befinden, z. B. zu einer anderen Hyper Protect Crypto Services- oder Key Protect-Instanz, die sich möglicherweise in einer anderen Region befinden. Sie können auch Verbindungen zu externen Keystores von anderen Cloud-Providern wie Key Vault, AWS Key Management Service (KMS) und Google Cloud KMS herstellen.

    Sie können unabhängig vom Typ ohne Anfangskosten eine Verbindung zu einem externen Keystore herstellen. Zusätzliche externe Keystores werden Ihnen in Rechnung gestellt. Weitere Informationen zur Preisgestaltung finden Sie unter Häufig gestellte Fragen: Preise.

    Weitere Informationen zum Herstellen einer Verbindung zu Keystores finden Sie unter Verbindung zu externen Keystores herstellen.

    • Hyper Protect Crypto Services

      Sie können Ihre Hyper Protect Crypto Services-Instanz mit den Keystores einer anderen Hyper Protect Crypto Services-Instanz verbinden und KMS-Schlüssel sowie EP11-Schlüssel einer anderen Serviceinstanz mithilfe der aktuellen Serviceinstanz verwalten.

    • Key Protect

      Key Protect ist eine Service-Verschlüsselungslösung, die es ermöglicht, Daten in IBM Cloud® zu sichern und zu speichern, indem die Envelope-Verschlüsselungsverfahren verwendet werden, die nach FIPS 140-2 Level 3 zertifizierte cloudbasierte Hardwaresicherheitsmodule nutzen.

    • Azure Key Vault

      Microsoft Azure Key Vault ist ein Cloud-Service, mit dem Sie Verschlüsselungsschlüssel und andere sensible Informationen erstellen und verwalten können.

    • AWS KMS

      AWS KMS ist ein verwalteter Service zum Erstellen und Verwalten von Verschlüsselungsschlüsseln für ein breites Spektrum von AWS-Services.

    • Google Cloud KMS

      Google Cloud KMS ist ein zentraler Cloud-Service zum Erstellen und Verwalten von Verschlüsselungsschlüsseln. Sie können Verschlüsselungsoperationen mithilfe von Schlüsseln in Google Cloud KMS oder durch Integration mit anderen Google Cloud-Services wie Cloud HSMausführen.

Nächste Schritte

• Anweisungen zum Erstellen eines verwalteten Schlüssels finden Sie in Verwaltete Schlüssel erstellen.

• Anweisungen zum Hinzufügen eines Keystores finden Sie unter Interne Keystores erstellen oder Verbindung zu externen Keystores herstellen.

• Informationen zum Erteilen von Zugriff auf Vaults finden Sie unter Zugriff auf Vaults erteilen.

• Weitere Informationen zur API Unified Key Orchestrator finden Sie in der Unified Key Orchestrator-API-Referenz.