IBM Cloud Docs
Unified Key Orchestrator 简介

Unified Key Orchestrator 简介

通过 Hyper Protect Crypto Services 和 Unified Key Orchestrator,您不仅可以管理内部密钥库,还可以跨多个云提供者 (包括 Microsoft Azure,Amazon Web Services (AWS) 和 Google Cloud Platform) 管理密钥。 所有这些位置中的所有密钥都由您自己的主密钥保护,主密钥存储在 FIPS 140-2 级别 4 认证的硬件安全模块 (HSM) 中,以实现最高安全性。 您可以从单个控制点管理密钥的生命周期,而系统会使分发的密钥保持同步。

使用 Hyper Protect Crypto Services 和 Unified Key Orchestrator,可以组织保险库中的所有内容。 保险库 是安全存储库,用于捆绑受管密钥以及要将受管密钥分发到的密钥库。 您可以使用保险库文件来授予对不同 Identity and Access Management (IAM) 用户组的访问权。

观看以下视频以了解 Hyper Protect Crypto Services 与 Unified Key Orchestrator 如何在多云环境中管理密钥:

用例示例

在以下示例中,反映为一个用户组的零售银行业务单元使用名为 Retail Banking BU 的保险库文件。 另一个业务单位 (反映为另一个用户组) 使用其自己的保险库文件来使其受管密钥和密钥库保持独立。

您将保险库文件 Retail Banking BU 连接到不同位置的三个外部密钥库,在此示例中为三个 Azure 密钥保险库文件。 如果需要,还可以将保险库文件连接到其他外部密钥库类型,例如 AWS 密钥管理服务,Google Cloud KMS,IBM® Key Protect或其他 Hyper Protect Crypto Services 实例。 然后,在保险库文件 Retail Banking BU 中创建受管密钥,并将这些密钥分发到 Azure中的这三个外部密钥库。

出于开发和测试目的,您可以在同一保险库文件和要将密钥分发到的内部 KMS 密钥库中再创建几个密钥。

在同一保险库文件中的多个内部或外部密钥库中激活密钥。 当您对密钥进行更改 (例如,将密钥状态从 "活动" 更改为 "已取消激活") 时,该更改将应用于在其中激活密钥的所有密钥库。

Unified Key Orchestrator 用例示例
图 1。 Unified Key Orchestrator 用例示例

组件

以下列表包含 Unified Key Orchestrator的关键组件。 有关包含关键 Hyper Protect Crypto Services 组件的体系结构图,请参阅 服务体系结构

  • 保险库

    保险库文件是通过 IAM 控制用户或访问组对受管密钥和密钥库的访问权的存储库。 保险库使受管密钥的所有激活保持同步。 只能在一个保险库文件中分配受管密钥或密钥库。 连接到外部密钥库时,还需要先将其分配给保险库文件。

    您可以根据组织或安全需求创建不同的保险库文件。 例如,您可以为每个业务单位创建保险库文件。 通过这种方式,您可以在保险库文件级别设置访问控制策略,并且每个业务单位的密钥管理员只能访问分配给其业务单位的保险库文件的密钥和密钥库。

    有关创建和管理对保险库的访问权的更多信息,请参阅 创建保险库授予对保险库的访问权

  • 密钥模板

    密钥模板指定要创建的受管密钥的属性,例如命名约定,密钥算法和密钥长度。 创建密钥模板后,可以创建一组具有密钥模板中定义的相同密钥属性的受管密钥。

    有关创建密钥模板的更多信息,请参阅 创建密钥模板

  • 受管密钥

    受管密钥是在保险库文件中创建并分配给保险库文件的密钥。 您可以管理受管密钥的生命周期,并在同一保险库文件中的多个密钥库中激活该密钥。 仅当在至少一个密钥库中激活受管密钥时,才能将其用于加密和解密。 在同一保险库文件中的多个密钥库中激活受管密钥可实现密钥冗余。 要将受管密钥用于加密和解密,请先在同一保险库文件中的一个或多个密钥库中激活该密钥。

    有关创建受管密钥的更多信息,请参阅 创建和激活受管密钥

  • 密钥库

    需要将密钥库分配给保险库文件。 您需要仅在一个保险库文件中创建内部密钥库,或者在将服务实例连接到该保险库文件时将外部密钥库分配给该保险库文件。

    您需要先激活密钥库中的密钥,然后才能使用该密钥对数据进行加密或解密。

    • 内部密钥库

      内部密钥库是在 Hyper Protect Crypto Services 实例中创建的密钥库。

      有关创建内部密钥库的更多信息,请参阅 创建内部密钥库

      • IBM Cloud KMS

        Hyper Protect Crypto Services 中的密钥管理服务组件为 IBM Cloud 服务提供“保留自己的密钥”(KYOK) 功能,以确保您仅有权访问授权密钥库。

        您最多可以创建五个免费内部密钥库来管理密钥。 如果需要更多密钥库用于跨区域密钥分发或指定的访问许可权,那么将向您收费。 有关定价的更多信息,请参阅 常见问题解答: 定价

    • 外部密钥库

      外部密钥库是不在服务实例中的密钥库。 您可以连接到服务实例外部的密钥库,例如另一个 Hyper Protect Crypto Services 或 Key Protect 实例 (可能位于另一个区域中)。 或者,您可以从其他云提供者 (例如 Key Vault,AWS Key Management Service (KMS) 和 Google Cloud KMS) 连接到外部密钥库。

      无论类型如何,您都可以免费连接到一个外部密钥库。 将向您收取额外的外部密钥库费用。 有关定价的更多信息,请参阅 常见问题解答: 定价

      有关连接到密钥库的更多信息,请参阅 连接到外部密钥库

      • Hyper Protect Crypto Services

        您可以将 Hyper Protect Crypto Services 实例连接到另一个 Hyper Protect Crypto Services 实例的密钥库,并使用当前服务实例管理另一个服务实例的 KMS 密钥和 EP11 密钥。

      • Key Protect

        Key Protect 是一种服务加密解决方案,允许使用包络加密技术 (利用 FIPS 140-$tag5 级别 3 认证的基于云的硬件安全模块) 来保护数据并将其存储在 IBM Cloud® 中。

      • Azure 密钥保险库

        Microsoft Azure Key Vault 是一项云服务,供您创建和管理密钥和其他敏感信息。

      • AWS KMS

        AWS KMS 是一项受管服务,供您在各种 AWS 服务中创建和管理密钥。

      • Google Cloud KMS

        Google Cloud KMS 是集中式云服务,供您创建和管理密钥。 您可以使用 Google Cloud KMS 中的密钥或通过与其他 Google Cloud 服务 (例如 Cloud HSM) 集成来执行加密操作。

下一步