Objetivos

Esta guía de aprendizaje muestra cómo puede mantener un control completo y exclusivo de las claves de cifrado desplegando Key Protect en una ubicación de Satellite y cómo puede gestionar las claves distribuidas con una vista unificada conectando Unified Key Orchestrator a Key Protect en Satellite.

El diagrama siguiente ilustra la arquitectura:

Antes de empezar

Para completar esta guía de aprendizaje, debe cumplir los requisitos previos siguientes:

Actualmente, Key Protect admite ubicaciones de Satellite propiedad del usuario asociadas únicamente con la región IBM Cloud us-east. En esta guía de aprendizaje, para reducir la latencia de red, creamos otros servicios de IBM Cloud necesarios también en la región us-east.

• Consulte Acerca de Key Protect en Satellite para comprender los productos y las restricciones.
• Cree una ubicación de Satellite local en us-east.
• Cree una IBM Cloud Database para PostgreSQL en us-east y despliéguela en la ubicación de Satellite.
• Configure dos HSM locales para trabajar con Key Protect y recopilar la información necesaria para Key Protect en Satellite.
• Cree una instancia de IBM Cloud Activity Tracker en us-east para el registro de actividad. También debe pasar la clave de ingestión a Key Protect durante el despliegue.
• Cree una instancia de Hyper Protect Crypto Services con Unified Key Orchestrator en us-east e inicialice la instancia de servicio.

Flujo de tareas

Para completar esta solución, haremos un recorrido por los pasos siguientes:

1. Despliegue Key Protect en Satellite.
2. Conecte Unified Key Orchestrator a Key Protect en Satellite.
3. Gestione las claves de Key Protect a través de Unified Key Orchestrator.

Vamos a empezar con el despliegue de Key Protect en Satellite.

Despliegue Key Protect en Satellite

Despliegue Key Protect en Satellite siguiendo la instrucción.

Conecte Unified Key Orchestrator a Key Protect en Satellite

Después de desplegar Key Protect en Satellite, ahora puede conectar Unified Key Orchestrator a Key Protect para tener una experiencia de gestión de claves unificada.

1. Inicie sesión en la instancia de Hyper Protect Crypto Services.

2. Pulse Almacenes de claves en la navegación y pulse Añadir almacén de claves.

3. En Caja fuerte, seleccione una caja fuerte para el almacén de claves para el control de acceso y pulse Siguiente.

   Si desea asignar el almacén de claves a una nueva caja fuerte, pulse Crear caja fuerte. Para obtener más instrucciones, consulte Creación de cajas fuertes.

4. En Tipo de almacén de claves, seleccione Key Protect y pulse Siguiente.

5. En Propiedades de almacén de claves, especifique los detalles:

   Tabla 1. Propiedades del almacén de claves

   Propiedad	Descripción
   Nombre del almacén de claves	Un nombre exclusivo y legible por el usuario para una fácil identificación del almacén de claves, con 1-100 caracteres de longitud. El primer carácter debe ser una letra (sensible a mayúsculas y minúsculas) o un dígito (0-9). El resto también puede ser símbolos (.-_) o espacios. Por ejemplo, kp-satellite-tiger
   Descripción	(Opcional) Una descripción ampliada para el almacén de claves, con un máximo de 200 caracteres de longitud. Por ejemplo, KP on satellite for project Tiger DB encryption.
   Punto final de API Key Protect	El punto final de servicio de Key Protect en Satellite con el formato https://<your-satellite-location>.kms.cloud.ibm.com. Para obtener más información, consulte Obtención del punto final Key Protect.
   Punto final de IBM Cloud Identity and Access Management	El punto final de IAM, que es https://iam.cloud.ibm.com.
   ID de instancia de servicio en IBM Cloud	El único identificador que está asignado a su instancia de servicio de Key Protect. Para obtener más información, consulte Recuperación del ID de instancia y el nombre de recurso de nube.
   Clave de API de ID de servicio	Código exclusivo que se pasa a una API para identificar la aplicación que llama. Para obtener más información, consulte Gestión de las claves de API de ID de servicio.

6. Opcionalmente, pulse Probar conexión para probar la conexión con el almacén de claves externo que ha configurado. Cuando termine, pulse Siguiente para continuar.

   Probar conexión es un paso opcional. Puede seguir estos pasos aunque la prueba falle. Para ajustar los valores de conexión en el caso de una anomalía de conexión, compruebe y ajuste las propiedades de conexión.

7. En Resumen, vea el resumen de la instancia de Key Protect y el coste total estimado.

8. Después de confirmar los detalles del almacén de claves, pulse Conectar al almacén de claves para conectarse al almacén de claves.

Gestionar claves de Key Protect a través de Unified Key Orchestrator

Ahora puede utilizar Unified Key Orchestrator para crear y activar claves para que las utilice Key Protect en Satellite. Con la característica Conservar su propia clave (KYOK), estas claves están protegidas por la clave maestra dentro del límite de HSM FIPS 140-2 Nivel 4 e IBM no puede acceder a sus claves con garantía técnica.

1. Inicie sesión en la instancia de Hyper Protect Crypto Services.

2. Pulse Teclas gestionadas en la navegación y pulse Crear clave.

3. En Caja fuerte, seleccione una caja fuerte para la clave para el control de acceso y pulse Siguiente.

   Si desea asignar la clave a una nueva caja fuerte, pulse Crear caja fuerte. Para obtener más instrucciones, consulte Creación de cajas fuertes.

4. En General, seleccione IBM Key Protect y pulse Siguiente.

5. En Propiedades de clave, especifique los detalles siguientes de la clave. Pulse Siguiente para continuar cuando haya terminado.

   Tabla 2. Propiedades de clave

   Propiedad	Descripción
   Nombre de clave	Nombre descriptivo exclusivo para identificar con facilidad su clave. Para las claves Key Protect, debe tener entre 2 y 50 caracteres de longitud. Los caracteres pueden ser letras (sensibles a mayúsculas y minúsculas), dígitos (0-9) o espacios. Por ejemplo, kp satellite tiger key.
   Descripción	(Opcional) Una descripción ampliada para la clave, con un máximo de 200 caracteres de longitud. Por ejemplo, KP on satellite keys for project Tiger DB encryption
   Algoritmo	El algoritmo de cifrado para cifrar datos para la clave. Por ejemplo, AES.
   Longitud	El número de bits que representa la fortaleza de cifrado de la clave. Por ejemplo, 256.
   Estado	Las claves preactivas no se activarán en los almacenes de claves hasta que las active manualmente. Las claves activas se activan automáticamente en los almacenes de claves. Seleccione Active para la instalación en Key Protect en Satellite.For más información sobre los estados de clave, consulte Supervisión del ciclo de vida de las claves de cifrado en Unified Key Orchestrator.
   Fecha de activación	Planifique una fecha para activar la clave preactiva. Es sólo para fines de planificación. Para esta guía de aprendizaje, no es necesario especificar esta propiedad ya que el estado Active se ha seleccionado anteriormente. La clave se activará inmediatamente después de su creación.
   Fecha de caducidad	Planifique una fecha para desactivar la clave. Es sólo para fines de planificación.
   Etiquetas de clave	(Opcional) Añada pares de nombres y valores para identificar la clave. Por ejemplo, project: tiger.

6. En Almacenes de claves, seleccione el almacén de claves Key Protect en Satellite que ha creado en el paso anterior.

7. En Resumen, visualice el resumen de la clave y, a continuación, pulse Crear clave para confirmar.

Próximos pasos

Ahora la instancia de Key Protect se está ejecutando en una ubicación local de Satellite donde las claves de cifrado están protegidas por los HSM locales. Tiene el control exclusivo de las claves y puede orquestar estas claves en varias nubes con Unified Key Orchestrator.

• Obtenga más información sobre Unified Key Orchestrator, consulte Visión general- Hyper Protect Crypto Services con Unified Key Orchestrator.
• Obtenga más información sobre la API de Unified Key Orchestrator ; consulte Referencia de API deUnified Key Orchestrator.