Obiettivi

Questa esercitazione mostra come puoi mantenere il controllo completo ed esclusivo delle chiavi di crittografia distribuendo Key Protect in un'ubicazione Satellite e come puoi gestire le tue chiavi distribuite con una vista unificata collegando Unified Key Orchestrator a Key Protect su Satellite.

Il seguente diagramma illustra l'architettura:

Prima di iniziare

Per completare questa esercitazione, devi soddisfare i seguenti prerequisiti:

Attualmente, Key Protect supporta solo ubicazioni Satellite di proprietà dell'utente associate alla regione IBM Cloud us-east. In questa esercitazione, per ridurre la latenza di rete, creiamo altri servizi IBM Cloud necessari anche nella regione us-east.

• Leggere Informazioni su Key Protect su Satellite per comprendere i prodotti e le limitazioni.
• Creare un'ubicazione Satellite in loco in us-east.
• Crea un'istanza IBM Cloud Database for PostgreSQL in us-east e distribuiscila nell'ubicazione Satellite.
• Configura due HSM in loco per utilizzare Key Protect e raccogliere le informazioni necessarie per Key Protect su Satellite.
• Crea un'istanza IBM Cloud Activity Tracker in us-east per la registrazione dell'attività. Devi anche passare la chiave di inserimento a Key Protect durante la distribuzione.
• Crea un'istanza Hyper Protect Crypto Services con Unified Key Orchestrator in us-east e inizializza l'istanza del servizio.

Flusso di fasi

Per completare questa soluzione, procedere come segue:

1. Distribuisci Key Protect su Satellite.
2. Connect Unified Key Orchestrator to Key Protect on Satellite.
3. Gestisci le chiavi Key Protect attraverso Unified Key Orchestrator.

Iniziamo con la distribuzione di Key Protect su Satellite.

Distribuire Key Protect su Satellite

Distribuisci Key Protect su Satellite seguendo le istruzioni.

Connetti Unified Key Orchestrator a Key Protect su Satellite

Dopo aver distribuito Key Protect su Satellite, puoi ora collegare Unified Key Orchestrator a Key Protect per avere un'esperienza di gestione delle chiavi unificata.

1. Accedi all'istanza Hyper Protect Crypto Services.

2. Fare clic su Keystore dalla navigazione e fare clic su Aggiungi keystore.

3. In Vault, selezionare un vault per il keystore per il controllo accessi e fare clic su Avanti.

   Se si desidera assegnare il keystore a un nuovo vault, fare clic su Crea vault. Per ulteriori istruzioni, vedi Creazione di vault.

4. In Tipo di keystore, selezionare Key Protect e fare clic su Avanti.

5. In Proprietà del keystore, specificare i dettagli:

   Tabella 1. Proprietà keystore

   Proprietà	Descrizione
   Nome keystore	Un nome univoco e leggibile per una facile identificazione del keystore, con una lunghezza compresa tra 1 e 100 caratteri. Il primo carattere deve essere una lettera (sensibile al maiuscolo / minuscolo) o una cifra (0-9). Gli altri caratteri possono essere anche simboli (.-_) o spazi. Ad esempio, kp-satellite-tiger
   Descrizione	(Facoltativo) Una descrizione estesa per il keystore, con un massimo di 200 caratteri. Ad esempio, KP on satellite for project Tiger DB encryption.
   Endpoint API Key Protect	L'endpoint del tuo servizio Key Protect su Satellite nel formato https://<your-satellite-location>.kms.cloud.ibm.com. Per ulteriori informazioni, vedi Ottenimento dell'endpoint Key Protect.
   Endpoint IBM Cloud Identity and Access Management	L'endpoint di IAM, che è https://iam.cloud.ibm.com.
   ID istanza del servizio su IBM Cloud	L'identificativo univoco che viene assegnato alla tua istanza del servizio Key Protect. Per ulteriori informazioni, vedi Richiamo del tuo ID istanza e nome risorsa cloud.
   Chiave API dell'ID servizio	Un codice univoco passato a un'API per identificare l'applicazione chiamante. Per ulteriori informazioni, vedi Gestione delle chiavi API di un ID servizio.

6. Facoltativamente, fare clic su Verifica connessione per verificare la connessione al keystore esterno configurato. Al termine, fare clic su Avanti per continuare.

   Verifica connessione è un passo facoltativo. È possibile completare i passi successivi anche se il test non riesce. Per modificare le impostazioni di connessione in caso di errore di connessione, controllare e modificare le proprietà di connessione.

7. In Riepilogo, visualizza il riepilogo della tua istanza Key Protect e il costo stimato totale.

8. Dopo aver confermato i dettagli del keystore, fare clic su Connetti al keystore per connettersi al keystore.

Gestisci chiavi Key Protect tramite Unified Key Orchestrator

Ora è possibile utilizzare Unified Key Orchestrator per creare e attivare le chiavi per Key Protect su Satellite da utilizzare. Con la funzione KYOK (Keep Your Own Key), queste chiavi vengono protette dalla chiave principale all'interno del limite HSM FIPS 140-2 Level 4 e IBM non è in grado di accedere alle tue chiavi con sicurezza tecnica.

1. Accedi all'istanza Hyper Protect Crypto Services.

2. Fai clic su Chiavi gestite dalla navigazione e fai clic su Crea chiave.

3. In Vault, selezionare un vault per la chiave per il controllo accessi e fare clic su Avanti.

   Se si desidera assegnare la chiave a un nuovo vault, fare clic su Crea vault. Per ulteriori istruzioni, vedi Creazione di vault.

4. In Generale, seleziona IBM Key Protect e fai clic su Successivo.

5. In Proprietà chiave, specificare i seguenti dettagli della chiave. Fare clic su Avanti per continuare.

   Tabella 2. Proprietà chiave

   Proprietà	Descrizione
   Nome chiave	Un nome leggibile dall'utente e univoco per una facile identificazione della tua chiave. Per chiavi Key Protect, deve avere una lunghezza compresa tra 2 e 50 caratteri. I caratteri possono essere lettere (sensibili al maiuscolo / minuscolo), cifre (0-9) o spazi. Ad esempio, kp satellite tiger key.
   Descrizione	(Facoltativo) Una descrizione estesa per la chiave, con un massimo di 200 caratteri. Ad esempio, KP on satellite keys for project Tiger DB encryption
   Algoritmo	L'algoritmo di codifica per codificare i dati per la chiave. Ad esempio, AES.
   Lunghezza	Il numero di bit che rappresenta la potenza di crittografia della chiave. Ad esempio, 256.
   Stato	Le chiavi pre - attive non devono essere attivate nei keystore fino a quando non vengono attivate manualmente. Le chiavi attive vengono attivate automaticamente nei keystore. Seleziona Active per l'installazione in Key Protect su Satellite.For ulteriori informazioni sugli stati delle chiavi, vedi Monitoring the lifecycle of encryption keys in Unified Key Orchestrator.
   Data di attivazione	Pianificare una data per attivare la chiave pre - attiva. È solo a scopo di pianificazione. Per questa esercitazione, non è necessario specificare questa proprietà poiché lo stato Active è precedentemente selezionato. La chiave verrà attivata immediatamente dopo la creazione.
   Data di scadenza	Pianificare una data per disattivare la chiave. È solo a scopo di pianificazione.
   Tag chiave	(Facoltativo) Aggiungi coppie di nomi e valori per identificare la chiave. Ad esempio, project: tiger.

6. In Keystore, selezionare il keystore Key Protect su Satellite creato nel passo precedente.

7. In Riepilogo, visualizza il riepilogo della tua chiave e fai quindi clic su Crea chiave per confermare.

Passi successivi

Ora la tua istanza Key Protect è in esecuzione in un'ubicazione Satellite in loco in cui le chiavi di crittografia sono protette dai tuoi HSM locali. Hai il controllo esclusivo delle tue chiavi e puoi orchestrare queste chiavi su più cloud con Unified Key Orchestrator.

• Ulteriori informazioni su Unified Key Orchestrator, vedi Panoramica - Hyper Protect Crypto Services con Unified Key Orchestrator.
• Ulteriori informazioni sull'API Unified Key Orchestrator, vedi Guida di riferimento APIUnified Key Orchestrator.