IBM Cloud Docs
Configuración de KMIP para la gestión y distribución de claves en el plan estándar Hyper Protect Crypto Services

Configuración de KMIP para la gestión y distribución de claves en el plan estándar Hyper Protect Crypto Services

Key Management Interoperability Protocol (KMIP) es un protocolo de comunicación para el almacenamiento y mantenimiento de objetos de claves, certificados y secretos. El estándar está controlado por la organización OASIS (Organization for the Advancement of Structured Information Standards). Hyper Protect Crypto Services proporciona un adaptador KMIP dedicado de un solo arrendatario para las instancias del servidor VMware vCenter puedan utilizar Hyper Protect Crypto Services como servicio de gestión de claves (KMS) para el cifrado VMware vSphere y el cifrado vSAN.

Esta guía de aprendizaje se basa únicamente en la configuración de la instancia del plan estándar.

El diagrama siguiente ilustra el flujo de trabajo general del funcionamiento del adaptador KMIP que se proporciona en la instancia de Hyper Protect Crypto Services con un entorno de cliente de VMWare.

Flujo de trabajo KMIP con entorno de cliente VMWare
Figura 1. Flujo de trabajo de KMIP con entorno de cliente de VMWare

El flujo de trabajo global consta de los pasos siguientes:

  1. Cree una instancia del plan estándar de Hyper Protect Crypto Services y su clave raíz.
  2. Configure VMWare Solution Service KMIP for VMWare con la instancia de servicio de Hyper Protect Crypto Services. El servicio KMIP para VMware gestiona el ciclo de vida del adaptador KMIP y los certificados de cliente KMIP.
  3. Conecte el servidor VMware vCenter a KMIP y habilite el cifrado de vSphere o el cifrado de vSAN.

Objetivos

Esta guía de aprendizaje muestra cómo puede configurar KMIP con la solución VMWare en IBM Cloud.

Antes de empezar

Para completar esta guía de aprendizaje, debe cumplir los requisitos previos siguientes:

Flujo de tareas

Para completar esta solución, recorreremos los pasos siguientes:

  1. Asigne la autorización de servicio a servicio en IAM.
  2. Configure KMIP for VMWare con la instancia de Hyper Protect Crypto Services.
  3. Configure una conexión de confianza entre el servidor vCenter y el adaptador KMIP.

Comencemos con el proceso de autorización del servicio.

Asignar la autorización de servicio a servicio en IAM

  1. Pulse Gestionar> Acceso (IAM) en el menú después de iniciar sesión en IBM Cloud.

  2. Seleccione Autorizaciones en el panel de navegación de la izquierda.

  3. Pulse el botón Crear.

  4. En la página Asignar una autorización de servicio, rellene la información siguiente:

    • En la lista desplegable Servicio de origen, seleccione Soluciones VMWare y, a continuación, seleccione el ID de la instancia de servicio de KMIP for VMWare.
    • En la lista desplegable Servicio de destino, seleccione ** servicios de Hyper Protect Crypto Services** y, a continuación, seleccione el ID de instancia de Hyper Protect Crypto Services.
    • En el panel Acceso a la plataforma, seleccione la opción Visor.
    • En el panel Acceso a servicios, seleccione la opción Gestor de VMWare KMIP.

  5. Pulse el botón Autorizar para completar la autorización de servicio a servicio.

Configurar KMIP for VMWare con la instancia de Hyper Protect Crypto Services

  1. En la interfaz de usuario de IBM Cloud for VMware Solutions, pulse Recursos en el panel de navegación izquierdo.

  2. Desplácese hacia abajo hasta la tabla Instancias de KMIP for VMware, pulse la instancia con la que desea configurar la instancia de Hyper Protect Crypto Services. El estado de la instancia de KMIP para VMware es Inactivo porque todavía no se ha configurado.

  3. Seleccione Iniciación en el panel de navegación de la izquierda de la página siguiente.

  4. Seleccione la opción Inicializar la instancia de servicio y Hyper Protect como tipo de gestión de claves.

    • Seleccione el ID de la instancia de Hyper Protect Crypto Services que almacena la clave raíz y la clave de cifrado de claves. Puede pulsar el botón Recuperar para obtener una lista de instancias de Hyper Protect Crypto Services bajo su cuenta de IBM Cloud.

      Sólo deben listarse los ID de las instancias de Hyper Protect Crypto Services que contengan al menos una clave raíz. Asegúrese de crear una clave raíz primero, pero no asocie la clave raíz con ningún conjunto de claves creado para que se asocie automáticamente con el conjunto de claves predeterminado.

    • Seleccione la clave raíz para envolver la clave de cifrado de claves para la clave de cifrado de datos. Puede pulsar el botón Recuperar para obtener una lista de claves raíz almacenadas en la instancia de Hyper Protect Crypto Services seleccionada.

      Asegúrese de no suprimir la clave raíz que seleccione para el encapsulado de claves. De lo contrario, no se puede acceder a las claves de cifrado de datos almacenadas para las soluciones VMWare por el adaptador KMIP.

  5. Pulse Configurar para completar la configuración. Opcionalmente, puede añadir certificados de cliente si tiene un entorno de VMWare o vCenter existente que desea reutilizar.

  6. Pulse Renovar y asegúrese de que el estado de la instancia de KMIP for VMware sea Instalado.

  7. Identifique la información de los puntos finales del servidor KMIP para el paso siguiente. Por ejemplo, <instance_ID>.kmip.private.us-south.hs-crypto.appdomain.cloud.

Configure una conexión de confianza entre vCenter Server y el adaptador KMIP

  1. En la interfaz de usuario del cliente de vSphere, realice los pasos siguientes:

    a. Añada el KMS a vCenter Server utilizando la dirección del servidor KMIP y la información del puerto del paso anterior durante la configuración.

    b. Configure el método de confianza adecuado entre la instancia de KMS y su vCenter Server y descargue el certificado generado.

  2. En la página Instancia de KMIP for VMware, añada el certificado del vCenter Server.

  3. Verifique que el estado de la conexión de KMS para el servidor vCenter sea Conectado.

  4. Opcional: Cree una máquina virtual cifrada para comprobar que se utiliza la clave de cifrado del KMS.

En esta guía de aprendizaje, ha aprendido a configurar VMWare con KMIP en Hyper Protect Crypto Services.

Qué hacer a continuación

El siguiente vídeo de demostración es para que comprenda mejor el proceso.