IBM Cloud Docs
将 IBM Cloud 服务与 Hyper Protect Crypto Services 集成

将 IBM Cloud 服务与 Hyper Protect Crypto Services 集成

您可以将 IBM Cloud 服务与 IBM Cloud® Hyper Protect Crypto Services 集成,以构建解决方案,供您在云中引入和管理自己的加密。

创建服务实例初始化服务实例 之后,需要建立 服务到服务授权,以允许一个服务通过单帐户授权或跨帐户授权来访问另一个服务。 有关如何建立授权的详细指示信息,请参阅 在 UI 中创建授权。 确保遵循此过程并选择 Hyper Protect Crypto Services 作为目标服务。

请参阅以下集成指示信息,以将 Hyper Protect Crypto Services 与每个受支持的服务集成。

存储服务集成

缺省情况下,将使用随机生成的密钥对存储在 IBM Cloud 存储服务中的数据进行加密。 如果要控制加密密钥并使用您自己的密钥对存储器进行加密,那么可以将您在 Hyper Protect Crypto Services 中管理的根密钥与存储服务相关联,并利用 包络加密 向数据添加另一层保护。 由于根密钥由用户拥有的主密钥加密,因此包括 IBM Cloud 管理员在内的其他人都无法访问您的数据。

表 1. 受支持的存储服务
服务 描述 集成指令
IBM Cloud Object Storage IBM Cloud Object Storage 是一个高度可用,持久且安全的平台,用于存储非结构化数据。 对象存储是存储 PDF,介质文件,数据库备份,磁盘映像甚至大型结构化数据集的最有效方法。
IBM® Cloud Block Storage for Virtual Private Cloud Block Storage for VPC 为您可以在 VPC 中供应的虚拟服务器实例提供系统管理程序安装的高性能数据存储器。 使用客户管理的加密创建块存储卷
IBM Cloud® File Storage for VPC IBM Cloud® File Storage for VPC 是提供基于 NFS的文件存储服务的分区文件存储产品。 使用客户管理的加密创建文件共享

数据库服务集成

缺省情况下,存储在 IBM Cloud 数据库服务中的数据将使用随机生成的密钥进行加密。 如果要控制加密密钥并使用您自己的密钥对数据库进行加密,那么可以将您在 Hyper Protect Crypto Services 中管理的根密钥与数据库服务相关联,并利用 包络加密 对数据添加另一层保护。 由于根密钥由用户拥有的主密钥加密,因此包括 IBM Cloud 管理员在内的其他人都无法访问您的数据。

表 2. 受支持的数据库服务
服务 描述 集成指令
IBM Cloud Databases for Elasticsearch IBM Cloud Databases for Elasticsearch 是通过本机集成构建到 IBM Cloud中的企业就绪且完全受管的 Elasticsearch 服务。 Hyper Protect Crypto Services 集成
IBM Cloud Databases for EnterpriseDB IBM Cloud Databases for EnterpriseDB 是用于优化 PostgreSQL的内置功能的数据库引擎。 您可以获得更大的可伸缩性,安全性和可靠性以及增强功能,从而提高数据库管理员和开发人员的工作效率。 Hyper Protect Crypto Services 集成
IBM Cloud Databases for etcd IBM Cloud Databases for etcd 是通过本机集成构建到 IBM Cloud中的企业就绪且完全受管的 etcd 服务。 Hyper Protect Crypto Services 集成
IBM Cloud Databases for MongoDB IBM Cloud Databases for MongoDB 是企业就绪且完全受管的 MongoDB 服务,通过本机集成构建到 IBM Cloud中。 Hyper Protect Crypto Services 集成
IBM Cloud Databases for PostgreSQL IBM Cloud Databases for PostgreSQL 是通过本机集成构建到 IBM Cloud中的企业就绪且完全受管的 PostgreSQL 服务。 Hyper Protect Crypto Services 集成
IBM Cloud Databases for Redis IBM Cloud Databases for Redis 是为现代应用程序堆栈设计的开放式源代码内存中键值存储库。 通过 Databases for Redis,您可以使用计数器,队列,列表和 HyperLog日志来简单处理复杂数据问题。 Hyper Protect Crypto Services 集成
IBM Cloud Messages for RabbitMQ IBM Cloud Messages for RabbitMQ 是企业就绪且完全受管的 RabbitMQ 服务,具有与 IBM Cloud的本机集成。 它支持将多个消息传递协议作为代理。 Hyper Protect Crypto Services 集成
IBM Db2 on Cloud IBM Db2 on Cloud 是在云中为您供应的 SQL 数据库。 您可以像使用任何数据库软件一样使用 Db2 on Cloud,但无需硬件设置或软件安装和维护的时间和费用。 Hyper Protect Crypto Services 集成

计算服务集成

使用 Hyper Protect Crypto Services 将您自己的密钥用于计算服务。

表 3. 受支持的计算服务
服务 描述 集成指令
IBM Cloud 映像模板 您可以使用 IBM Cloud 映像模板来捕获虚拟服务器的映像,以快速复制其配置,并在订单过程中进行最少的更改。 通过端到端 (E2E) 加密功能,您可以自带加密的支持 cloud-init 的操作系统映像。 使用端到端加密来供应加密实例
IBM Cloud Virtual Servers for Virtual Private Cloud(VPC) Virtual Servers for VPC 是基础架构即服务 (IaaS) 产品,使您能够访问 IBM Cloud VPC的所有优点,包括网络隔离,安全性和灵活性。 通过与 Hyper Protect Crypto Services集成,您可以在创建虚拟服务器实例时创建加密块存储卷,并使用自己的根密钥来保护用于加密静态数据的数据加密密钥。 使用客户管理的加密卷创建虚拟服务器实例
IBM Cloud 上 VMware® 的密钥管理互操作性协议(KMIP) KMIP for VMware® 与 VMware 本机 vSphere 加密和 vSAN 加密一起工作,以提供简化的存储加密管理。 通过与 Hyper Protect Crypto Services集成,可以使用 Hyper Protect Crypto Services 来管理 VMware® 解决方案在 IBM Cloud上使用的加密密钥。
Entrust DataControl for IBM Cloud-以前称为 HyTrust CloudControl Entrust DataControl 服务与 Hyper Protect Crypto Services 集成,通过强大的加密和可扩展的密钥管理来保护数据。 该服务在操作系统级别和数据级别提供加密,以保护工作负载在其整个生命周期中的安全。
Power Virtual Server Power Virtual Server 是 Power Systems 产品。 您可以使用 Power Virtual Server 与 Hyper Protect Crypto Services 集成,以安全地存储和保护 AIX 和 Linux的加密密钥信息。 将 Power Virtual Server 与 Hyper Protect Crypto Services集成

容器服务集成

通过与 Hyper Protect Crypto Services集成,您可以使用自己在 Hyper Protect Crypto Services中管理的根密钥对 Kubernetes 主节点的 Kubernetes 私钥和 etcd 组件进行加密。

表 4. 受支持的容器服务
服务 描述 集成指令
IBM Cloud Kubernetes Service IBM Cloud Kubernetes Service 是一个受管产品,用于创建计算主机的 Kubernetes 集群,以在 IBM Cloud上部署和管理容器化应用程序。 使用 KMS 提供程序对 Kubernetes 主节点的本地磁盘和私钥进行加密
Red Hat OpenShift on IBM Cloud Red Hat OpenShift on IBM Cloud 是一个受管产品,用于创建您自己的 Red Hat OpenShift on IBM Cloud 计算主机集群,以在 IBM Cloud上部署和管理容器化应用程序。 除了使用 Hyper Protect Crypto Services 来保护 Kubernetes 私钥外,还可以部署 Hyper Protect Crypto Services 路由器,该路由器使用 GREP11 OpenSSL Engine 来访问存储在 Hyper Protect Crypto Services 实例中的专用密钥以加密路由。

采集服务集成

您可以将 Hyper Protect Crypto Services 与以下采集服务集成。

表 5. 受支持的采集服务。
服务 描述 集成指令
IBM Cloud Monitoring IBM Cloud Monitoring 是一个云本机和容器智能管理系统。 您可以使用它来获取对 Hyper Protect Crypto Services 实例的性能和运行状况的操作可视性。 入门教程
IBM Cloud Schematics IBM Cloud Schematics 提供强大的工具来自动执行云基础架构供应和管理过程,云资源的配置和操作以及应用程序工作负载的部署。 所有数据,用户输入以及在自动化代码执行期间在运行时生成的数据都存储在 IBM Cloud Object Storage中。 缺省情况下,将使用 Schematics中的加密密钥对此数据进行加密。 如果需要控制加密密钥,可以与 Hyper Protect Crypto Services 实例集成以使用您自己的根密钥。 为 Schematics启用客户管理的密钥
Event Streams Event Streams 服务是使用 Apache Kafka构建的高吞吐量消息总线。 您可以将其用于事件采集到 IBM Cloud 以及服务和应用程序之间的事件流分发。 缺省情况下,将使用随机生成的密钥对 Event Streams 中的消息有效内容数据进行静态加密。 如果需要控制加密密钥,可以与 Hyper Protect Crypto Services 实例集成以使用您自己的根密钥。 为 Event Streams启用客户管理的密钥

安全服务集成

您可以将 Hyper Protect Crypto Services 与以下与安全性相关的服务集成。 缺省情况下,存储在这些服务中的数据将使用 IBM管理的密钥进行静态加密。 您可以通过启用与 Hyper Protect Crypto Services 的集成以使用自己的根密钥,向静态数据添加更高级别的加密控制。

表 6. 受支持的安全服务。
服务 描述 集成指令
App ID App ID 存储并加密用户概要文件属性。 作为多租户服务,每个租户都具有指定的加密密钥,并且每个租户中的用户数据只使用该租户的密钥进行加密。 使用 Hyper Protect Crypto Services为 App ID 启用客户管理的密钥
Secrets Manager 通过 Secrets Manager,您可以在单租户专用实例中集中管理私钥。 保护 Secrets Manager
Security and Compliance Center 通过 Security and Compliance Center,您可以管理云资源配置,并集中管理与组织和监管准则的合规性。 当您使用 Security and Compliance Center时,服务会在与其交互时生成数据。 保护 Security and Compliance Center

开发者工具服务集成

您可以将 Hyper Protect Crypto Services 与以下开发者工具服务集成。

表 7. 受支持的开发者工具服务。
服务 描述 集成指令
IBM Cloud® Continuous Delivery Continuous Delivery 服务提供了一组支持 DevOps 最佳实践的工具。 您可以使用该服务来管理工具链,操作交付管道,深入了解代码质量和漏洞,集成第三方工具等。

了解集成

在将受支持的服务与 Hyper Protect Crypto Services 相集成时,针对此服务启用包络加密。 通过此集成,您可以使用存储在 Hyper Protect Crypto Services 中的根密钥来打包用于对静态数据进行加密的数据加密密钥。

例如,您可以创建根密钥,在 Hyper Protect Crypto Services 中管理密钥,并使用根密钥来保护跨不同云服务存储的数据。

下图说明了将 Hyper Protect Crypto Services 与两个服务集成的场景。

此图显示 Hyper Protect Crypto Services 集成的上下文视图。
图 1 集成。 集成 Hyper Protect Crypto Services

在后台,Hyper Protect Crypto Services 密钥管理服务 API 会驱动包络加密过程。

下表列出用于添加或除去针对资源的包络加密的 API 方法。

表 8. 描述 Hyper Protect Crypto Services 密钥管理服务 API 方法
方法 描述
POST /keys/{root_key_ID}?action=wrap 打包(加密)数据加密密钥。
POST /keys/{root_key_ID}?action=unwrap 解包(解密)数据加密密钥。

要了解有关在 Hyper Protect Crypto Services中以编程方式管理密钥的更多信息,请查看 Hyper Protect Crypto Services 密钥管理服务 API 参考文档

下一步

通过在 Hyper Protect Crypto Services 中创建根密钥,向云资源添加高级加密。 将资源添加到受支持的云数据服务,然后选择要用于高级加密的根密钥。

  • 要了解有关使用 Hyper Protect Crypto Services 服务创建根密钥的更多信息,请参阅创建根密钥
  • 要了解有关将自己的根密钥引入到 Hyper Protect Crypto Services 服务的更多信息,请参阅导入根密钥