IBM Cloud Docs
リカバリー用暗号装置を使用したサービス・

リカバリー用暗号装置を使用したサービス・

インスタンスの初期設定

Hyper Protect Crypto Services インスタンスを使用するには、まず、マスター鍵をロードしてサービス・インスタンスを初期設定する必要があります。 このトピックでは、IBM Cloud TKE CLI プラグインを介してリカバリー用暗号装置を使用することによってサービス・インスタンスを初期設定する手順について説明します。

サービス・インスタンスの初期設定方法の概要および関連する基本概念については、サービス・インスタンスの初期設定およびサービス・インスタンスの初期設定方法の概要を参照してください。

現在、 eu-es 地域のサービス・インスタンスは、リカバリー暗号装置をサポートしていません。 サポートされている他の地域でサービス・インスタンスがプロビジョンされると、デフォルトでは、災害復旧地域に配置されているリカバリー暗号装置でマスター鍵をバックアップするオプションが有効になります。 サポートされるリージョンについて詳しくは、地域とロケーションを参照してください。

スマート・カードを使用してサービス・インスタンスを初期化する場合は、リカバリー暗号化ユニットは適用されないため、無視できます。 マスター・キーのバックアップは、その場合のスマート・カードのバックアップに依存します。

Terraform を使用して、リカバリー暗号化ユニットでインスタンスの初期化を自動化できます。 詳細については、Hyper Protect Crypto Services 向け Terraform のセットアップを参照してください。

Hyper Protect Crypto Services インスタンスの初期化に使用される資産を保護するのは、お客様の責任です。 ベスト・プラクティスについては、 FAQ を参照してください。

サービス・インスタンスの初期化

リカバリー用暗号装置を使用してサービス・インスタンスを初期設定するには、以下の手順を実行します。

  1. 前提条件手順を実行します。

  2. 以下のコマンドを実行します。

    ibmcloud tke auto-init

    サービス・インスタンスを初期設定するには、以下の手順に従います。 プロンプトに従って手順を実行します。

    1. 初期設定するインスタンスを選択します。

      現在のリソース・グループに複数のサービス・インスタンスがある場合、このコマンドは、使用可能なすべてのインスタンスを、各インスタンスに関連付けられた番号とともにリストします。 INSTANCE NUM を入力して初期設定するインスタンスを選択し、Enter キーを押して続行します。

      以下の出力は、表示される内容の例です。

      More than one service instance is assigned to the current resource group.

INSTANCE NUM   INSTANCE ID
1              0a08af7e-02d0-4122-9146-4179b15f9bfb
2              0f130264-12f5-45bf-9bac-975cdb605804
3              bc712c1b-8ff5-4ea0-9cf4-fd74233ceaaf

Enter the INSTANCE NUM of the service instance you want to initialize.
> 3

      サービス・インスタンスを選択すると、サービス・インスタンスのすべての暗号化ユニット (フェイルオーバー暗号化ユニットを含む) が選択されます。これらの暗号化ユニットは、ゼロ化状態 (_インプリント・モード_とも呼ばれる) である必要があります。 そうしないと、エラーが報告され、コマンドは終了します。これが発生した場合、ibmcloud tke cryptounit-compare コマンドを使用すると、暗号装置がどのように構成されているかを確認できます。 現行マスター鍵レジスターが設定されていない場合は、ibmcloud tke cryptounit-zeroize コマンドを使用して暗号装置をゼロ化し、ibmcloud tke auto-init コマンドを再実行できます。

      サービス・インスタンスのキー・ストレージにデータが含まれている場合は、暗号化ユニットをゼロ化しないでください。そうしないと、キー・ストレージのすべてのデータが失われ、サービス・インスタンスのキーにもデータにもアクセスできなくなります。

    2. 2 つの最低必要署名数 (最低必要署名数と取り消しの最低必要署名数) の値を設定します。

      プロンプトが出されたら、まず、最低必要署名数を入力し、次に、取り消しの最低必要署名数を入力します。 数値は、1 から 8 の間でなければなりません。 2 つのしきい値は、異なっていても構いません。 最低必要署名数を 1 より大きい値に設定することが、機密性の高い操作にクォーラム認証を適用する方法です。

      以下の出力は、表示される内容の例です。

      ENTER SIGNATURE THRESHOLD VALUES

Enter the number of signatures to be required on commands sent to the service instance.  This must be a number between 1 and 8.  To enforce dual control, this must be at least 2:
> 1

Enter the number of signatures to be required on commands to remove an administrator.  This must be a number between 1 and 8.  To enforce dual control, this must be at least 2:
> 1

    3. 暗号装置の管理者を追加します。

      プロンプトが出されたら、暗号装置に追加する管理者の数を入力します。 この数値は、前のステップで設定した最低必要署名数の値以上にする必要があります。

      このコマンドは、ワークステーションで使用可能な既存の署名キー・ファイルをリストします。 既存の署名鍵ファイルを選択するか、新規署名鍵を生成することにより、管理者を作成できます。 新規署名鍵ファイルは、ローカル・ワークステーションの CLOUDTKEFILES 環境変数で指定したディレクトリーにも保存されます。

      以下の出力は、表示される内容の例です。

      ENTER NUMBER OF ADMINISTRATORS TO INSTALL

To initialize and maintain your crypto units, administrators  must be installed. Each administrator has an associated signature key. Signature keys are stored in files protected by a password. To use the signature key, you must supply the password.

To enforce dual control, each signature key file needs to be assigned to a different user and only that user needs to know the password.

You can install up to eight administrators in a crypto unit.  To set a signature threshold value of 1 and a revocation signature threshold of 1, you must install at least 1 administrator.

Enter the number of administrators you want to install:
> 1

SELECT EXISTING SIGNATURE KEY FILES TO USE

The following signature key files were found on this workstation:

KEYNUM   DESCRIPTION   SUBJECT KEY IDENTIFIER
1        admin1        665527ed7e97c2a083dab035f40c65...
2        admin2        741a60c0a875cd91195b71f6db3cb5...

Enter the KEYNUM of any existing signature key files you want to use to create administrators. If you don't want to use existing signature key files, press enter without entering any KEYNUM values.

If you want to use a combination of existing and new signature keys, enter the KEYNUM values of the existing signature key files you want to use.  You will be prompted to enter information for any new signature key files after that.

Enter the KEYNUM of the existing signature key files you want to use to create administrators:
> 1
Enter the password for the signature key identified by:
admin1 (665527ed7e97c2a083dab035f40c65...)
>

      署名鍵ファイルはパスワードによって保護されます。 新規署名鍵ファイルの作成時に入力したパスワードを覚えている必要があり、それらのファイルをワークステーションから削除しないようにする必要があります。 そうでない場合、マスター鍵のローテートなど、署名が必要な管理アクションを将来実行できなくなります。

    4. 暗号装置にマスター鍵をロードします。

      ランダムなマスター鍵値がリカバリー用暗号装置で生成されて、サービス・インスタンスの他のすべての暗号装置に転送されます。

      以下の出力は、表示される内容の例です。

      You asked to install one administrator and selected one existing signature key to use.  No new signature key files will be created.

Installing 1 of 1 administrators....
Setting signature thresholds....
Generating a random master key value....
Transferring the master key value to 1 of 3 crypto units....
Transferring the master key value to 2 of 3 crypto units....
Transferring the master key value to 3 of 3 crypto units....

OK
The selected service instance has been initialized.
To see what administrators are installed and what signature threshold and master key register values are set, use the 'ibmcloud tke cryptounit-compare' command.

  3. (オプション) 暗号装置の状況を確認するために以下のコマンドを使用して、すべての現行マスター鍵レジスターが VALID 状態であることを確認します。

    ibmcloud tke cryptounit-compare

    マスター鍵の完全なロード・プロセスについては、マスター鍵についてを参照してください。

次の作業