IBM Cloud Docs
常见问题: 供应和操作

常见问题: 供应和操作

阅读以获取有关供应 IBM Cloud® Hyper Protect Crypto Services 实例和相关操作的问题的答案。

是否有使用 Hyper Protect Crypto Services的任何先决条件?

要使用 Hyper Protect Crypto Services,您需要具有现收现付或预订 IBM Cloud 帐户。

如果您没有 IBM Cloud 帐户,请首先通过转至 IBM Cloud 注册来创建帐户。 要检查帐户类型,请转至 IBM Cloud,然后单击 管理 > 帐户 > 帐户设置。 如果您有促销代码,那么还可以 应用促销代码。 有关 IBM Cloud 帐户的更多信息,请参阅 帐户常见问题解答

可通过遵循 供应服务实例 中的指示信息来快速供应服务。 但是,为了执行密钥管理和加密操作,需要首先使用 IBM Cloud TKE CLI 插件或管理实用程序来 初始化服务实例

如何初始化 Hyper Protect Crypto Services 服务实例?

要初始化服务实例,需要创建管理员签名密钥,退出印记方式,然后将主密钥装入到实例。 为满足企业的各种安全需求,IBM 为您提供了以下选项来装入主密钥:

  • 使用 IBM Hyper Protect Crypto Services 管理实用程序 实现最高级别的安全性。 此解决方案使用智能卡来存储签名密钥和主密钥部件。 签名密钥和主密钥部件从不显示在智能卡外部的清除中。

  • 将 IBM Cloud TKE CLI 插件用于不需要采购智能卡读卡器和智能卡的解决方案。 此解决方案支持两种方法来初始化服务实例: 使用恢复加密单元使用密钥部件文件。 使用恢复加密单元时,将在加密单元中自动生成主密钥,并且不需要创建多个主密钥部件。 使用密钥部件文件时,将对文件内容进行解密,并将其临时显示在工作站内存中的清除中。

有关更多信息,请参阅 介绍服务实例初始化方法

我能否使用代理通过 TKE CLI 插件来初始化服务实例?

是 (如果为 HTTPS 端口 443 配置了代理)。 可以使用 TKE CLI 将条目添加到工作站的本地主机名映射,例如,在 /etc/hosts 中。 在此主机映射条目中,将 TKE API 端点 tke.<region>.hs-crypto.cloud.ibm.com 映射到代理。 例如,对于法兰克福的实例,URL 为 tke.eu-de.hs-crypto.cloud.ibm.com

有什么关于如何设置智能卡的建议吗?

建议在单独的 EP11 智能卡上创建每个主密钥部件,并将其分配给不同的人员。 需要创建所有智能卡的备份副本并将其存储在安全的位置。 建议您订购 10 或 12 个智能卡,并通过以下方式对其进行初始化:

  • 创建认证中心 (CA) 智能卡和备份认证中心智能卡。
  • 创建两个 EP11 智能卡和两个备份 EP11 智能卡以存储两个管理员签名密钥。 在两个 EP11 智能卡上分别生成管理员签名密钥,并将其复制到其他两个备份智能卡。
  • 创建两个 EP11 智能卡和两个备份 EP11 智能卡以存储两个主密钥部件,或者创建三个 EP11 智能卡和三个备份 EP11 智能卡以存储三个主密钥部件。 根据装入主密钥时的密钥部件数,在两个或三个智能卡上分别生成 EP11 主密钥部件。 将每个密钥部件值复制到备份 EP11 智能卡。

要计算所需的智能卡数量,可以参考以下公式:

表 1. 用于计算智能卡数量的公式
假设 公式
-每个智能卡的备份数量: x
-管理员数量 (1 到 8): y
-主密钥部分的数量 (2 或 3): z
-将管理员签名密钥与主密钥部分分开存储 		1 (CA 卡) + x (CA 卡备份) + y (管理员签名密钥 EP11 卡) + y * x (管理员签名密钥 EP11 卡备份) + z (主密钥部分 EP11 卡) + z * x (主密钥部分 EP11 卡备份) = (1+x) * (1+y+z)
-每个智能卡的备份数 :x
-管理员数 (1 到 8):y
-主密钥部件数 (2 或 3):z
-将管理员签名密钥和主密钥部件存储在同一 EP11 智能卡
上-主密钥部件数等于管理员数 (y = z)		 1 (CA 卡) + x (CA 卡备份) + z (管理员签名密钥和主密钥部分 EP11 卡) + z * x (管理员签名密钥和主密钥部分 EP11 卡备份) = (1+x) * (1+z)

可以使用智能卡实用程序创建备份认证中心智能卡。 从菜单中选择 CA 智能卡 > 备份 CA 智能卡,然后遵循提示。

可以将 EP11 智能卡的内容复制到使用“可信密钥输入”应用程序在同一智能卡区域中创建的另一个 EP11 智能卡。 在 智能卡 选项卡上,单击 复制智能卡,然后遵循提示进行操作。

为了提高安全性,您可以在更多 EP11 智能卡上生成管理员签名密钥,并将加密单元中的签名阈值设置为大于 1 的值。 您最多可以在加密单元中安装 8 个管理员,并指定某些管理命令最多需要 8 个签名。

要了解有关如何采购和设置智能卡和其他管理实用程序组件的详细信息,请参阅 设置智能卡和管理实用程序

如何采购智能卡和智能卡读卡器?

要采购智能卡和智能卡读卡器,请遵循 订购智能卡和智能卡读卡器 中的过程。

我将在服务实例中设置多少加密单元?

您需要设置至少两个加密单元以实现高可用性。Hyper Protect Crypto Services 将加密单元的上限设置为 3。

我能否将 Hyper Protect Crypto Services 与其他 IBM Cloud 服务一起使用?

是。Hyper Protect Crypto Services 可以与许多 IBM Cloud 服务 (例如 IBM Cloud Object Storage,IBM Cloud for VMware Solutions,IBM Cloud Kubernetes Service和 Red Hat OpenShift on IBM Cloud) 集成。 有关服务的完整列表以及有关集成的指示信息,请参阅 集成服务

我的应用程序如何连接到 Hyper Protect Crypto Services 服务实例?

Hyper Protect Crypto Services 提供了供用户访问的标准 API。 应用程序可以通过直接通过公用因特网使用 API 来连接到 Hyper Protect Crypto Services 服务实例。 如果需要更安全的隔离连接,那么还可以使用 专用端点。 您可以通过 IBM Cloud 专用网络通过 IBM Cloud 服务端点连接服务实例。

我能否在本地生成主密钥并将主密钥部件存储在智能卡中?

不支持在本地生成主密钥。

可以从本地 HSM 导入根密钥吗?

不支持从本地 HSM 导入根密钥。

我能否仅将 Hyper Protect Crypto Services 用于加密操作,而将其他 IBM Cloud 服务 (例如 Key Protect ) 用于密钥管理?

是。Hyper Protect Crypto Services 可以与 Key Protect 一起用于密钥管理。 通过这种方式,Hyper Protect Crypto Services 仅负责加密操作,而 Key Protect 提供由多租户 FIPS 140-2 级别 3 认证的基于云的 HSM 保护的密钥管理服务。

能否将 Hyper Protect Crypto Services 用于在其他云服务提供者 (例如 AWS,Azure和 GCP) 中托管的应用程序?

是。Hyper Protect Crypto Services 与 Unified Key Orchestrator 提供多云密钥管理功能。 请参阅 简介 Unified Key Orchestrator 以获取详细信息。

如何知道我采用的 IBM Cloud 服务是否可以与 Hyper Protect Crypto Services 集成以进行密钥加密?

您可以在 将 IBM Cloud 服务与 Hyper Protect Crypto Services集成 中找到可与 Hyper Protect Crypto Services 集成的 IBM Cloud 服务的列表。

您还可以在主题中包含的 集成指示信息 链接中找到有关如何执行服务级别的 arthorization 的详细指示信息。