常见问题: Hyper Protect Crypto Services 与 Unified Key Orchestrator
阅读以获取有关 IBM Cloud® Hyper Protect Crypto Services with Unified Key Orchestrator的问题的答案。
可以在具有 Unified Key Orchestrator 实例的 Hyper Protect Crypto Services 中存储多少密钥?
Unified Key Orchestrator Hyper Protect Crypto Services 实例最多可容纳 20,000 个 KMS 密钥和 20,000 个 EP11 密钥。
关键管理,关键编排和关键治理有什么区别?
密钥编排将密钥管理和密钥监管功能引入到企业内的运营中:
- 密钥管理 是人员,流程和技术,用于定义加密密钥在企业中的存在和操作方式,包括密钥生命周期阶段以及角色和职责定义。
- 关键监管 是由企业的安全和风险管理实践定义的业务控制。 密钥监管可确保通过风险缓解策略和控制 (包括适用的法规和合规性要求) 来识别,评估和解决加密密钥风险。
- 密钥编排 是在企业内整个生命周期内启动和管理加密密钥的活动和方法,包括自动化以及集成到报告和监视中。
有关密钥管理的更多信息,请参阅 NIST SP 800-57 Part 2 Rev 1 "Key Management 的建议: Part 2-Key Management 组织的最佳实践"。
Hyper Protect Crypto Services 与 Unified Key Orchestrator 是否同时提供密钥管理,监管和编排?
是。Unified Key Orchestrator 提供了一种简化的密钥管理,监管和编排方法: 一个用于在混合多云环境中定义,操作和监督加密密钥的场所。
Unified Key Orchestrator 是否是单独的产品?
编号 从技术角度来看,Unified Key Orchestrator 是 Hyper Protect Crypto Services的功能部件。 您需要供应和部署 Hyper Protect Crypto Services 实例以实现并使用 Unified Key Orchestrator。
Hyper Protect Crypto Services 与 Unified Key Orchestrator 与 Hyper Protect Crypto Services 标准套餐有何不同?
Hyper Protect Crypto Services with Unified Key Orchestrator 扩展了标准套餐。IBM Cloud 是唯一在混合多云环境 (包括 IBM Cloud,IBM Satellite,其他云服务提供者和本地环境) 中提供本机云加密密钥编排和生命周期管理的云服务提供者。 下表列出了 Hyper Protect Crypto Services 与 Unified Key Orchestrator 和 Hyper Protect Crypto Services 标准套餐之间的关键差异:
| 功能 | Hyper Protect Crypto Services 标准套餐 | Hyper Protect Crypto Services 与 Unified Key Orchestrator |
|---|---|---|
| 多云密钥生命周期管理 | 不支持。 | 支持。 |
| 保险库 | 无。 | 无限制的保险库文件。 |
| 密钥类型 | EP11 密钥,根密钥和标准密钥。 有关更多信息,请参阅 使用 UI 管理 EP11 密钥,创建根密钥 和 创建标准密钥。 | Unified Key Orchestrator 受管密钥。 有关更多信息,请参阅 创建受管密钥。 |
| 内部密钥库 | 无限制的内部密钥库和第一个 5 密钥库是免费的。 有关更多信息,请参阅 定价样本。 | 无限制的内部密钥库和第一个 5 密钥库是免费的。 有关更多信息,请参阅 定价样本。 |
| 外部密钥库 | 不支持。 | 无限制的外部密钥库。 有关更多信息,请参阅 定价样本。 |
| 主密钥轮换 | 支持。 有关更多信息,请参阅 主密钥轮换-标准套餐。 | 支持。 有关更多信息,请参阅 主密钥轮换-Unified Key Orchestrator 计划。 |
| EP11 支持 | UI 和 API 支持。 有关更多信息,请参阅 基于 gRPC 的 EP11 简介-标准套餐。 | 仅支持 API。 |
| 查看关联的资源 | 支持。 有关更多信息,请参阅 查看根密钥与已加密的 IBM Cloud 资源之间的关联。 | 不支持。 |
| 双重授权策略 | 支持。 有关更多信息,请参阅 管理服务实例的双重授权。 | 不支持。 |
| KMS 密钥类型 (策略) | 密钥是对称 256 位密钥,受 AES-CBC 算法支持。 | 不支持。 |
| 密钥创建和导入访问策略 | 支持。 有关更多信息,请参阅 管理密钥创建和导入访问策略。 | 通过 IAM 支持受管密钥。 |
| 导出键 | 支持。 | 不支持。 |
什么类型的 HSM 用于具有 Unified Key Orchestrator的 Hyper Protect Crypto Services ?
Hyper Protect Crypto Services with Unified Key Orchestrator 基于 FIPS 140-2 级别 4 认证的 HSM 构建为 Hyper Protect Crypto Services 标准套餐。
Hyper Protect Crypto Services 支持哪些云供应商或提供者将 Unified Key Orchestrator 作为已连接的外部密钥库?
以下列表包含一些云提供者:
- 另一个 Hyper Protect Crypto Services 实例的密钥库
- IBM® Key Protect for IBM Cloud® 的密钥库
- Satellite 上 IBM® Key Protect for IBM Cloud® 的密钥库
- Microsoft Azure 密钥保险库文件
- AWS 密钥管理服务
- Google Cloud 密钥管理服务
Unified Key Orchestrator 与 EKMF Web 有何不同?
IBM® Enterprise Key Management Foundation-Web Edition (EKMF Web) 和 Unified Key Orchestrator 共享相同的代码库。
EKMF Web 是用于 IBM Z14 或 Z15 环境的本地产品,运行 z/OS V2.3 或 z/OS V2.4 和 IBM Db2。Hyper Protect Crypto Services with Unified Key Orchestrator 是 IBM Cloud中的云本机服务,在混合多云环境中提供密钥管理和编排功能。
Hyper Protect Crypto Services 中提供了 Unified Key Orchestrator 哪些多专区区域?
Hyper Protect Crypto Services with Unified Key Orchestrator 在 Hyper Protect Crypto Services 可用的所有区域中可用。 请参阅 区域和位置,以获取 Hyper Protect Crypto Services的可用区域列表。
即使 Hyper Protect Crypto Services 在服务所在的 IBM Cloud 区域中不可用,我仍可以将 Hyper Protect Crypto Services 与 Unified Key Orchestrator 一起用于密钥管理吗?
需要。 您可以在所需数据驻留区域中选择数据中心,并在 Hyper Protect Crypto Services 可用的任何区域中使用 Unified Key Orchestrator。 请注意,在 Hyper Protect Crypto Services 实例可用的区域中管理加密密钥。
可以为具有 Unified Key Orchestrator的 Hyper Protect Crypto Services 实例创建多少密钥库?
内部 KMS 密钥库限制为 50,但没有外部密钥库限制。 有关如何对密钥库收费的更多信息,请参阅 定价样本。