位置、租户和可用性

您可以在其中一个受支持的 IBM Cloud 区域 中创建 Hyper Protect Crypto Services 资源，这些资源表示处理和处理 Hyper Protect Crypto Services 请求的地理区域。 每个 IBM Cloud 区域都包含多个可用性专区，可满足该区域的本地访问、低等待时间和安全性需求。

在您使用 IBM Cloud 规划静态加密策略时，请记住，如果在距离您最近的区域中供应 Hyper Protect Crypto Services，那么与 Hyper Protect Crypto Services API 交互时连接很可能会速度更快、更可靠。 如果依赖于 Hyper Protect Crypto Services 资源的用户、应用程序或服务在地理上比较集中，请选择一个特定区域。 远离该区域的用户和服务可能会迂到更高的延迟。

您的加密密钥仅限于您在其中创建这些密钥的区域。Hyper Protect Crypto Services 不会将加密密钥复制或导出到其他区域。

区域内数据冗余和故障转移

服务实例中的多个 加密单元A single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. 将自动同步并在多个可用性区域之间进行负载均衡。 如果无法访问包含供应的服务实例的一个可用区域，那么 Hyper Protect Crypto Services 将自动进行区域内数据故障转移。 该服务遵循 IBM Cloud 关于灾难事件规划和恢复的需求。 有关更多信息，请参阅灾难恢复。

跨区域灾难恢复

IBM 还会对密钥资源执行跨区域备份。 您的数据每天会自动备份在另一个受支持的区域中。 根据创建实例的位置以及恢复时间的要求，可以使用以下选项在发生区域灾难时复原数据:

• 如果在达拉斯 (us-south) 或华盛顿 (us-east) 创建实例并启用故障转移加密单元，那么故障转移加密单元将备份另一个区域中的可操作加密单元和密钥库。 发生区域灾难时，将使用故障转移加密单元自动复原数据，以减少停机时间和数据丢失。 有关如何使用故障转移加密单元复原数据的更多信息，请参阅 使用故障转移加密单元复原数据。
• 如果未启用故障转移加密单元，那么可以使用缺省每日备份来复原数据。 在这种情况下，您需要开具支持凭单，以便 IBM 可以在另一个受支持区域中创建新的服务实例，以从备份复原数据。 然后，您需要再次手动将主密钥装入到新实例，以使其正常工作。 在此过程中，您是唯一拥有主密钥的人员。 IBM 管理员或任何第三方用户无法访问备份或复原的服务实例中的数据或密钥。 有关恢复过程的更多信息，请参阅 通过开具 IBM 支持凭单来恢复数据。