別のリージョンからのデータのリストア
使用可能なすべてのゾーンに影響する地域災害が発生した場合は、 IBM Cloud 状況 Web ページおよび E メールで通知されます。 この場合、 料金プラン、フェイルオーバー暗号装置を有効にするかどうか、およびリカバリー時間の要件に応じて、さまざまなオプションを使用してデータをリストアすることができます。
フェイルオーバー用暗号装置を使用したデータの復元
標準プランを使用していて、ダラス (us-south
) またはワシントン DC (us-east
) でインスタンスを作成し、フェイルオーバー暗号化ユニットを有効にすると、ダウンタイムとデータ損失を低減するためにデータが自動的にリストアされます。 この場合、別のリージョンでフェイルオーバー用暗号装置を使用するように切り替えて、鍵を管理し、暗号操作を実行します。 フェイルオーバー暗号装置には、操作可能な暗号装置内のすべての暗号鍵およびその他のリソースのバックアップが含まれています。
同時に、IBM が元のリージョンのサービス・インスタンスを修復します。 修復を完了するために新しい運用暗号装置が必要な場合は、IBM から通知されるため、リカバリー用暗号装置またはマスター鍵パーツを使用して、新しい運用暗号装置にマスター鍵をロードする必要があります。 元のサービス・インスタンスが復旧すると、IBM が自動的にトラフィックを元の領域に転送します。
リージョン規模の災害時にフェイルオーバー用暗号装置を使用してデータを復元するには、災害が発生する前に、すべてのフェイルオーバー用暗号装置を運用暗号装置と同様に初期設定および構成してください。 初期設定のアプローチについて詳しくは、サービス・インスタンスの初期設定方法の概要を参照してください。
IBM サポート・チケットを開くことによるデータの復元
フェイルオーバー暗号化ユニットを有効にしない場合や、Unified Key Orchestrator で Hyper Protect Crypto Services を使用している場合は、IBM サポート・チケットを開いてデータをリストアする必要があります。 それにより、IBM は同じインスタンス ID を使用して別のリージョンで新しいサービス・インスタンスをお客様用にプロビジョンし、すべての重要なリソースをバックアップからリストアできます。 その後、 マスター鍵An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. を新しいリージョンの新しいサービス・インスタンスにロードする必要があります。
このプロセスで、マスター鍵を所有するのはお客様だけです。 IBM 管理者もサード・パーティーのユーザーも、バックアップまたはリストアされたサービス・インスタンスのデータや鍵にアクセスすることはできません。
既存のサービス・インスタンスにバックアップをリストアするには、以下の手順を実行します。
-
UI で、UI メニュー・バーから 「ヘルプ」 アイコン
> 「サポート・センター」 をクリックして、サポート・センターに入ります。 **「最近のサポート Case」パネルの「すべて表示」をクリックし、「新規 Case の作成」**をクリックします。 あるいは、 「Case の管理」ページ に直接移動して、 「Case の新規作成」 をクリックすることもできます。
-
表示された**「Case の作成」**ページで、オファリング Hyper Protect Crypto Services を選択してから、以下の値を指定します。
表 1. ケースの作成に必要なフィールドについて説明します。 フィールド名 アクション 件名 Disaster recovery と入力します。 説明 サービス・インスタンス ID およびサービス・インスタンスが存在するリージョンを入力します。 選択されたリソース オプション。 Hyper Protect Crypto Services サービス・インスタンスを選択します。 -
**「この問題に関する更新情報の E メール送信を希望」ボックスにチェック・マークを付け、「確認を続ける」>「Case の作成」**をクリックします。
リストアが正常に完了すると、E メール通知を受け取ります。この通知には、サービス・インスタンスが存在する新しいリージョンの情報が記載されています。 または、**「サポート」**をクリックして、状態を確認することもできます。 IBM サポートについて詳しくは、 サポート・センターを参照してください。
-
チケットを開くと、IBM が同じインスタンス ID を使用して別のリージョンで新しい暗号装置をお客様用にプロビジョンし、すべての重要なリソースをバックアップから復元します。 その後、お客様は、新しいリージョンの新しいサービス・インスタンスにマスター鍵をロードする必要があります。 マスター鍵パーツの保管方法に応じて、IBM Cloud TKE CLI プラグインを使用したサービス・インスタンスの初期設定または スマート・カードおよび管理ユーティリティーを使用したサービス・インスタンスの初期設定の手順に従ってください。
鍵リソースに引き続きアクセスできるように、必ず、同じマスター鍵を新しいリージョンのサービス・インスタンスにロードしてください。
次の作業
- インスタンスのダッシュボードの**「管理」**タブに移動して、ルート鍵と標準鍵を管理します。 プログラムで鍵を管理する方法について詳しくは、 Hyper Protect Crypto Services 鍵管理サービスの API リファレンス資料を確認してください。
- Hyper Protect Crypto Services のクラウド HSM の関数を使用してデータを暗号化する方法について詳しくは、PKCS #11 の API リファレンスおよび GREP11 の API リファレンス資料を参照してください。
- Hyper Protect Crypto Services を他の IBM Cloud サービスのルート鍵プロバイダーとして使用します。 Hyper Protect Crypto Services の統合について詳しくは、サービスの統合を確認してください。