VPC の仮想プライベート・エンドポイントを使用した Hyper Protect Crypto Services へのプライベート接続
IBM Cloud® Virtual Private Endpoint (VPE) for Virtual Private Cloud (VPC) を使用すると、Hyper Protect Crypto Services に、お客様の VPC のネットワークから、選択した IP アドレス (VPC のサブネットから割り振られるアドレス) を使用して接続することができます。
VPE とは、サービスまたはサービス・インスタンスの単位 (サービスのオペレーション・モデルによって異なります) で作成されたエンドポイント・ゲートウェイにバインドされる仮想 IP インターフェースのことです。 エンドポイント・ゲートウェイは仮想化された機能であり、水平方向にスケーリングします。冗長性と高可用性を備え、VPC のすべてのアベイラビリティー・ゾーンにまたがるように構成されます。 エンドポイント・ゲートウェイは、プライベート・バックボーンの VPC および IBM Cloud® サービス内の仮想サーバー・インスタンスから通信できるようにします。 VPE for VPC を使用すると、クラウド内のすべてのプライベート・アドレッシングをお客様が管理できるようになります。 詳しくは、仮想プライベート・エンドポイント・ゲートウェイについてを参照してください。
仮想プライベート・エンドポイントを使用して Hyper Protect Crypto Services に接続する場合は、Hyper Protect Crypto Services API、CLI、または Terraform を使用する必要があります。 Hyper Protect Crypto Services UI には、VPC からパブリック・ネットワーク経由でアクセスする必要があります。
開始前に
仮想プライベート・エンドポイントを Hyper Protect Crypto Services のターゲットにする前に、以下のタスクを実行する必要があります。
- Virtual Private Cloud をプロビジョンしたことを確認します。
- 仮想プライベート・エンドポイントの計画を立てます。
- 仮想プライベート エンドポイントに正しいアクセス制御が設定されていることを確認します。
- 仮想プライベート・エンドポイントの設定で生じる制限事項を理解しておいてください。
- 仮想プライベート・エンドポイントについての詳細を表示する方法を理解しておいてください。
Hyper Protect Crypto Services 用の VPE のセットアップ
CLIまたはAPIを使用してVPEゲートウェイを作成する場合は、クラウド リソース名(CRN) 接続したい地域のHyper Protect Crypto Services 。 以下の表で、VPE ゲートウェイを作成するために使用可能なリージョンと CRN を確認してください。
| Hyper Protect Crypto Services 機能 | サポートされるエンドポイント | CRN |
|---|---|---|
| キー管理サービス | |
crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:
|
|
crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:api.private.jp-tok.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:api.private.eu-es.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:api.private.jbr-sao.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:api.private.ca-tor.hs-crypto.appdomain.cloud | |
| Enterprise PKCS #11 (EP11) | |
crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:
|
|
crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:ep11.vpc.private.eu-gb.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:ep11.vpc.private.jp-tok.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:ep11.vpc.private.eu-es.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:ep11.vpc.private.jbr-sao.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:ep11.vpc.private.ca-tor.hs-crypto.appdomain.cloud | |
| Trusted Key Entry (TKE) | |
crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:tke.private.au-syd.hs-crypto.cloud.ibm.com |
|
crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:tke.private.eu-de.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:tke.private.us-east.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:tke.private.us-south.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:tke.vpc.private.eu-gb.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:tke.vpc.private.jp-tok.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:tke.vpc.private.eu-es.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:tke.vpc.private.jbr-sao.hs-crypto.cloud.ibm.com | |
|
crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:tke.vpc.private.ca-tor.hs-crypto.cloud.ibm.com | |
| Key Management Interoperability Protocol (KMIP) アダプター | |
crn:v1:bluemix:public:hs-crypto:au-syd:::endpoint:
|
|
crn:v1:bluemix:public:hs-crypto:eu-de:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-east:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:us-south:::endpoint:
|
|
|
crn:v1:bluemix:public:hs-crypto:eu-gb:::endpoint:kmip.private.eu-gb.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:jp-tok:::endpoint:kmip.private.jp-tok.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:eu-es:::endpoint:kmip.private.eu-es.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:br-sao:::endpoint:kmip.private.jbr-sao.hs-crypto.appdomain.cloud | |
|
crn:v1:bluemix:public:hs-crypto:ca-tor:::endpoint:kmip.private.ca-tor.hs-crypto.appdomain.cloud |
エンドポイント・ゲートウェイの構成
仮想プライベート・エンドポイント・ゲートウェイを構成するには、以下の手順を実行します。
-
すべての VPC ユーザーが (デフォルトで) 使用できる IBM Cloud インフラストラクチャー・サービスを含め、使用可能なサービスを一覧表示します。
-
VPC からプライベートに使用できるようにする Hyper Protect Crypto Services インスタンス用にエンドポイント・ゲートウェイを作成します。
VPEゲートウェイを作成する場合は、インターフェース、次の手順を実行します。
-
メニュー・アイコン
を選択し、「ネットワーク」セクションで**「VPC インフラストラクチャー」>「仮想プライベート・エンドポイント・ゲートウェイ」をクリックしてから、「作成」**をクリックします。 **「VPC 用の新規仮想プライベート・エンドポイント・ゲートウェイ」**ページが表示されます。 -
**「クラウド・サービス」**セクションで、Hyper Protect Crypto Services インスタンスを有効にします。
- **「クラウド・サービス・オファリング」の下で「Hyper Protect Crypto Services」**を選択します。
- **「クラウド・サービス Region」**の下で、プロビジョンした Hyper Protect Crypto Services インスタンスに対応するリージョンが事前入力されていることを確認します。
- VPC インスタンスで接続するときに使用するプライベート・エンドポイントを選択します。 EP11 プライベート・エンドポイントに接続する場合は、必ず使用可能なすべてのゾーンのすべての EP11 プライベート・エンドポイントを選択してください。
-
-
エンドポイント・ゲートウェイに予約済み IP アドレスをバインドします。
-
Hyper Protect Crypto Services インスタンスに関連付けられた作成済み VPE ゲートウェイを表示します。 詳細については、エンドポイント・ゲートウェイの詳細の表示を参照してください。
これで、VPC の仮想サーバー・インスタンスが、エンドポイント・ゲートウェイ経由で Hyper Protect Crypto Services インスタンスにプライベートにアクセスできるようになりました。
Hyper Protect Crypto Services の VPE の使用
Hyper Protect Crypto Services インスタンスのエンドポイント・ゲートウェイを作成してから、以下の手順に従ってプライベート・エンドポイントを使用します。
VPE の CLI の使用
-
TKE CLI プラグイン の VPE の使用
-
以下のコマンドを使用して、TKE CLI プラグインを最新バージョンに更新します。
ibmcloud plugin update tke -
TKE CLI プラグインを使用してサービス・インスタンスを初期化するには、TKE プライベート・エンドポイントをターゲットとするように TKE_PRIVATE_ADDR 環境変数を設定します。
export TKE_PRIVATE_ADDR=https://tke.private.<region>.hs-crypto.cloud.ibm.com
-
-
Key Protect CLI プラグイン の VPE の使用
-
以下のコマンドを使用して、Key Protect CLI プラグインを最新バージョンに更新します。
ibmcloud plugin update key-protect -r "IBM Cloud" -
Key Protect CLI プラグインを使用してキー管理操作を実行するには、キー管理サービスのプライベート・エンドポイントをターゲットにするように KP_PRIVATE_ADDR 環境変数を設定します。
export KP_PRIVATE_ADDR=https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud
-
VPE の API の使用
-
キー管理サービス API の VPE の使用
キー管理サービス API を使用してキー管理操作を実行するには、API 要求 URL のキー管理サービスのプライベート・エンドポイントを使用して、サービスにアクセスします。 以下に例を示します。
curl GET \ https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud/api/v2/keys \ -H 'authorization: Bearer <IAM_token>' \ -H 'bluemix-instance: <instance_ID>' \ -H 'accept: application/vnd.ibm.kms.key+json' -
PKCS #11 API の VPE の使用
PKCS #11 API を使用して暗号操作を実行するには、
addressフィールドを構成ファイルの EP11 プライベート・エンドポイントに設定します。 詳しくは、PKCS #11 構成ファイルをセットアップするを参照してください。 -
GREP11 API の VPE の使用
GREP11 API を使用して暗号操作を実行するには、コードにある EP11 プライベート・エンドポイントを使用してサーバー・アドレスを指定します。 詳しくは、GREP11 API 要求の生成を参照してください。
VPE の Terraform の使用
Terraform で VPE を使用するには、リソース・ブロックで service_endpoints パラメーターを private-only に設定します。 詳細については、Hyper Protect Crypto Services 向け Terraform のセットアップを参照してください。
-
プライベート・エンドポイントを使用してサービス・インスタンスを初期化する予定がある場合は、TKE プライベート・エンドポイントをターゲットとするように
IBMCLOUD_HPCS_TKE_ENDPOINT環境変数を設定します。 以下に例を示します。export IBMCLOUD_HPCS_TKE_ENDPOINT=https://tke.private.<region>.hs-crypto.cloud.ibm.com -
プライベート・エンドポイントを使用してキー管理サービスのキーを管理する予定がある場合は、キー管理サービスのプライベート・エンドポイントをターゲットにするように
IBMCLOUD_KP_API_ENDPOINT環境変数を設定します。 以下に例を示します。export IBMCLOUD_KP_API_ENDPOINT=https://<instance_ID>.api.private.<region>.hs-crypto.appdomain.cloud