Utilización de Hyper Protect Crypto Services con Unified Key Orchestrator para gestionar claves en Key Protect en Satellite
IBM Cloud Satellite le proporciona flexibilidad y escalabilidad para llevar sus propias infraestructuras a IBM Cloud. Puede ejecutar servicios de IBM Cloud en cualquier lugar, incluidos los centros de datos locales y otros proveedores de nube. Con IBM Cloud Satellite, puede conectar varios entornos para implementar soluciones de nube distribuida para ayudar a la transformación de nube híbrida de la empresa. Key Protect en Satellite le permite controlar completamente las claves de cifrado utilizando el módulo de seguridad de hardware (HSM) local. Hyper Protect Crypto Services con Unified Key Orchestrator le permite gestionar claves en varios sistemas de gestión de claves, incluido Key Protect en Satellite, desde un único panel.
En este tema, las referencias a Unified Key Orchestrator hacen referencia a Hyper Protect Crypto Services con el servicio Unified Key Orchestrator.
Objetivos
Esta guía de aprendizaje muestra cómo puede mantener un control completo y exclusivo de las claves de cifrado desplegando Key Protect en una ubicación de Satellite y cómo puede gestionar las claves distribuidas con una vista unificada conectando Unified Key Orchestrator a Key Protect en Satellite.
El diagrama siguiente ilustra la arquitectura:
Antes de empezar
Para completar esta guía de aprendizaje, debe cumplir los requisitos previos siguientes:
Actualmente, Key Protect admite ubicaciones de Satellite propiedad del usuario asociadas únicamente con la región IBM Cloud us-east
. En esta guía de aprendizaje, para reducir la latencia de red, creamos otros servicios de IBM Cloud
necesarios también en la región us-east
.
- Consulte Acerca de Key Protect en Satellite para comprender los productos y las restricciones.
- Cree una ubicación de Satellite local en
us-east
. - Cree una IBM Cloud Database para PostgreSQL en
us-east
y despliéguela en la ubicación de Satellite. - Configure dos HSM locales para trabajar con Key Protect y recopilar la información necesaria para Key Protect en Satellite.
- Cree una instancia de IBM Cloud Activity Tracker en
us-east
para el registro de actividad. También debe pasar la clave de ingestión a Key Protect durante el despliegue. - Cree una instancia de Hyper Protect Crypto Services con Unified Key Orchestrator en
us-east
e inicialice la instancia de servicio.
Flujo de tareas
Para completar esta solución, haremos un recorrido por los pasos siguientes:
- Despliegue Key Protect en Satellite.
- Conecte Unified Key Orchestrator a Key Protect en Satellite.
- Gestione las claves de Key Protect a través de Unified Key Orchestrator.
Vamos a empezar con el despliegue de Key Protect en Satellite.
Despliegue Key Protect en Satellite
Despliegue Key Protect en Satellite siguiendo la instrucción.
Conecte Unified Key Orchestrator a Key Protect en Satellite
Después de desplegar Key Protect en Satellite, ahora puede conectar Unified Key Orchestrator a Key Protect para tener una experiencia de gestión de claves unificada.
-
Inicie sesión en la instancia de Hyper Protect Crypto Services.
-
Pulse Almacenes de claves en la navegación y pulse Añadir almacén de claves.
-
En Caja fuerte, seleccione una caja fuerte para el almacén de claves para el control de acceso y pulse Siguiente.
Si desea asignar el almacén de claves a una nueva caja fuerte, pulse Crear caja fuerte. Para obtener más instrucciones, consulte Creación de cajas fuertes.
-
En Tipo de almacén de claves, seleccione Key Protect y pulse Siguiente.
-
En Propiedades de almacén de claves, especifique los detalles:
Tabla 1. Propiedades del almacén de claves Propiedad Descripción Nombre del almacén de claves Un nombre exclusivo y legible por el usuario para una fácil identificación del almacén de claves, con 1-100 caracteres de longitud. El primer carácter debe ser una letra (sensible a mayúsculas y minúsculas) o un dígito (0-9). El resto también puede ser símbolos (.-_) o espacios. Por ejemplo, kp-satellite-tiger
Descripción (Opcional) Una descripción ampliada para el almacén de claves, con un máximo de 200 caracteres de longitud. Por ejemplo, KP on satellite for project Tiger DB encryption.
Punto final de API Key Protect El punto final de servicio de Key Protect en Satellite con el formato https://<your-satellite-location>.kms.cloud.ibm.com
. Para obtener más información, consulte Obtención del punto final Key Protect.Punto final de IBM Cloud Identity and Access Management El punto final de IAM, que es https://iam.cloud.ibm.com
.ID de instancia de servicio en IBM Cloud El único identificador que está asignado a su instancia de servicio de Key Protect. Para obtener más información, consulte Recuperación del ID de instancia y el nombre de recurso de nube. Clave de API de ID de servicio Código exclusivo que se pasa a una API para identificar la aplicación que llama. Para obtener más información, consulte Gestión de las claves de API de ID de servicio. -
Opcionalmente, pulse Probar conexión para probar la conexión con el almacén de claves externo que ha configurado. Cuando termine, pulse Siguiente para continuar.
Probar conexión es un paso opcional. Puede seguir estos pasos aunque la prueba falle. Para ajustar los valores de conexión en el caso de una anomalía de conexión, compruebe y ajuste las propiedades de conexión.
-
En Resumen, vea el resumen de la instancia de Key Protect y el coste total estimado.
-
Después de confirmar los detalles del almacén de claves, pulse Conectar al almacén de claves para conectarse al almacén de claves.
Gestionar claves de Key Protect a través de Unified Key Orchestrator
Ahora puede utilizar Unified Key Orchestrator para crear y activar claves para que las utilice Key Protect en Satellite. Con la característica Conservar su propia clave (KYOK), estas claves están protegidas por la clave maestra dentro del límite de HSM FIPS 140-2 Nivel 4 e IBM no puede acceder a sus claves con garantía técnica.
-
Inicie sesión en la instancia de Hyper Protect Crypto Services.
-
Pulse Teclas gestionadas en la navegación y pulse Crear clave.
-
En Caja fuerte, seleccione una caja fuerte para la clave para el control de acceso y pulse Siguiente.
Si desea asignar la clave a una nueva caja fuerte, pulse Crear caja fuerte. Para obtener más instrucciones, consulte Creación de cajas fuertes.
-
En General, seleccione IBM Key Protect y pulse Siguiente.
-
En Propiedades de clave, especifique los detalles siguientes de la clave. Pulse Siguiente para continuar cuando haya terminado.
Tabla 2. Propiedades de clave Propiedad Descripción Nombre de clave Nombre descriptivo exclusivo para identificar con facilidad su clave. Para las claves Key Protect, debe tener entre 2 y 50 caracteres de longitud. Los caracteres pueden ser letras (sensibles a mayúsculas y minúsculas), dígitos (0-9) o espacios. Por ejemplo, kp satellite tiger key
.Descripción (Opcional) Una descripción ampliada para la clave, con un máximo de 200 caracteres de longitud. Por ejemplo, KP on satellite keys for project Tiger DB encryption
Algoritmo El algoritmo de cifrado para cifrar datos para la clave. Por ejemplo, AES
.Longitud El número de bits que representa la fortaleza de cifrado de la clave. Por ejemplo, 256
.Estado Las claves preactivas no se activarán en los almacenes de claves hasta que las active manualmente. Las claves activas se activan automáticamente en los almacenes de claves. Seleccione Active
para la instalación en Key Protect en Satellite.For más información sobre los estados de clave, consulte Supervisión del ciclo de vida de las claves de cifrado en Unified Key Orchestrator.Fecha de activación Planifique una fecha para activar la clave preactiva. Es sólo para fines de planificación. Para esta guía de aprendizaje, no es necesario especificar esta propiedad ya que el estado Active
se ha seleccionado anteriormente. La clave se activará inmediatamente después de su creación.Fecha de caducidad Planifique una fecha para desactivar la clave. Es sólo para fines de planificación. Etiquetas de clave (Opcional) Añada pares de nombres y valores para identificar la clave. Por ejemplo, project: tiger
. -
En Almacenes de claves, seleccione el almacén de claves Key Protect en Satellite que ha creado en el paso anterior.
-
En Resumen, visualice el resumen de la clave y, a continuación, pulse Crear clave para confirmar.
Próximos pasos
Ahora la instancia de Key Protect se está ejecutando en una ubicación local de Satellite donde las claves de cifrado están protegidas por los HSM locales. Tiene el control exclusivo de las claves y puede orquestar estas claves en varias nubes con Unified Key Orchestrator.
- Obtenga más información sobre Unified Key Orchestrator, consulte Visión general- Hyper Protect Crypto Services con Unified Key Orchestrator.
- Obtenga más información sobre la API de Unified Key Orchestrator ; consulte Referencia de API deUnified Key Orchestrator.