IBM Cloud Docs
Hyper Protect Crypto Services 標準プランでの鍵の管理および配布のための KMIP の構成

Hyper Protect Crypto Services 標準プランでの鍵の管理および配布のための KMIP の構成

Key Management Interoperability Protocol (KMIP) は、鍵、証明書、および機密オブジェクトの保管と保守のための通信プロトコルです。 この標準は、構造化情報標準推進機構 (OASIS) によって管理されています。Hyper Protect Crypto Services は、VMware vCenter サーバー・インスタンスが Hyper Protect Crypto Services を VMware vSphere 暗号化および vSAN 暗号化の鍵管理サービス (KMS) として使用できるように、専用のシングルテナント KMIP アダプターを提供します。

このチュートリアルは、標準プラン・インスタンスのセットアップのみに基づいています。

以下の図は、Hyper Protect Crypto Services インスタンスで提供される KMIP アダプターを VMWare のお客様環境で使用するための全体的なワークフローを示しています。

VMWare カスタマー環境を使用する KMIP ワークフロー
図 1. VMWare のお客様環境での KMIP ワークフロー

全体的なワークフローには、以下の手順が含まれます。

  1. Hyper Protect Crypto Services 標準プラン・インスタンスとルート鍵を作成します。
  2. Hyper Protect Crypto Services サービス・インスタンスを指定して、VMWare Solution Service の KMIP for VMWare を構成します。 KMIP for VMware サービスは、KMIP アダプターおよび KMIP クライアント証明書のライフサイクルを管理します。
  3. VMware vCenter サーバーを KMIP に接続して、vSphere 暗号化または vSAN 暗号化を有効にします。

目標

このチュートリアルでは、IBM Cloud の VMWare ソリューションに KMIP を構成する方法について説明します。

開始前に

このチュートリアルを実行するには、以下の前提条件を満たしていなければなりません。

タスク・フロー

このソリューションを完成させるには、以下の手順を実行します。

  1. IAM でサービス間の許可を付与します
  2. Hyper Protect Crypto Services インスタンスを指定して KMIP for VMWare を構成します。
  3. vCenter Server と KMIP アダプターの間にトラステッド接続を構成します。

まずは、サービスの許可プロセスから始めましょう。

IAM でサービス間の許可を付与する

  1. IBM Cloud にログインしたら、メニューの**「管理」>「アクセス (IAM)」**をクリックします。

  2. 左側のナビゲーション・ペインで**「許可」**を選択します。

  3. 「作成」 ボタンをクリックします。

  4. **「サービス許可の付与」**ページで、以下の情報を入力します。

    • **「ソース・サービス」ドロップダウン・リストで、「VMware Solutions」**を選択してから、KMIP for VMWare サービス・インスタンスの ID を選択します。
    • **「ターゲット・サービス」ドロップダウン・リストで、「Hyper Protect Crypto Services」**を選択してから、Hyper Protect Crypto Services インスタンスの ID を選択します。
    • **「プラットフォーム・アクセス」ペインで、「ビューアー」**オプションを選択します。
    • **「サービス・アクセス」ペインで、「VMWare KMIP の管理者 (VMWare KMIP Manager)」**オプションを選択します。

  5. **「許可」**ボタンをクリックして、サービス間の許可を実行します。

Hyper Protect Crypto Services インスタンスを指定して KMIP for VMWare を構成する

  1. IBM Cloud for VMware Solutions UI で、左側のナビゲーション・ペインから 「リソース」 をクリックします。

  2. 「KMIP for VMware インスタンス」 テーブルまでスクロールダウンし、 Hyper Protect Crypto Services インスタンスを構成するインスタンスをクリックします。 まだ構成していないので、KMIP for VMware インスタンスの状況は*「非アクティブ」*になっています。

  3. 次のページで、左側のナビゲーション・ペインから**「開始 (Getting started)」**を選択します。

  4. **「サービス・インスタンスの初期設定 (Initialize service instance)」オプションを選択し、鍵管理タイプとして「Hyper Protect」**を選択します。

    • ルート鍵および鍵暗号鍵を保管する Hyper Protect Crypto Services インスタンスの ID を選択します。 **「取得」**ボタンをクリックすると、IBM Cloud アカウントにある Hyper Protect Crypto Services インスタンスのリストを取得できます。

      少なくとも 1 つのルート・キーを含む Hyper Protect Crypto Services インスタンスの ID のみがリストされます。 最初に必ず ルート鍵を作成 してください。ただし、ルート鍵がデフォルトの鍵リングに自動的に関連付けられるように、作成された鍵リングにルート鍵を関連付けることはしないでください。

    • データ暗号鍵の鍵暗号鍵をラップするためのルート鍵を選択します。 **「取得」**ボタンをクリックすると、選択した Hyper Protect Crypto Services インスタンスに保管されているルート鍵のリストを取得できます。

      鍵ラッピング用に選択したルート鍵を削除しないようにしてください。 そうしないと、KMIP アダプターによって VMWare ソリューション用に保管されたデータ暗号鍵にアクセスできません。

  5. **「構成」**をクリックして構成を完了します。 再利用したい既存の VMWare 環境または vCenter 環境がある場合は、オプションでクライアント証明書を追加できます。

  6. **「最新表示」*をクリックして、KMIP for VMware インスタンスの状況が「インストール済み」*になっていることを確認します。

  7. 次の手順で使用するために KMIP サーバーのエンドポイントの情報を確認します。 例えば、<instance_ID>.kmip.private.us-south.hs-crypto.appdomain.cloud です。

vCenter Server と KMIP アダプターの間にトラステッド接続を構成する

  1. vSphere クライアント UI で、以下の手順を実行します。

    a. 前の手順で構成時に確認した KMIP サーバーのアドレスとポートの情報を使用して、KMS を vCenter Server に追加します。

    b. KMS インスタンスと vCenter Server の間に適切なトラスト・メソッドを構成し、生成された証明書をダウンロードします。

  2. **「KMIP for VMware インスタンス (KMIP for VMware instance)」**ページで、vCenter Server からの証明書を追加します。

  3. vCenter サーバーで KMS の接続状況が**「接続済み」**になっていることを確認します。

  4. オプション: KMS からの暗号鍵が使用されていることを確認するために、暗号化された仮想マシンを作成します。

このチュートリアルでは、Hyper Protect Crypto Services で KMIP を使用して VMWare を構成する方法について学習しました。

次の作業

このプロセスについて詳しく理解できるように、以下のデモ動画が用意されています。