登录到 IBM Cloud 帐户。

单击 创建资源 以查看 IBM Cloud上可用的服务列表。

在 类别下，选择 安全性。

从显示的服务列表中，单击 Hyper Protect Crypto Services 磁贴。

在服务页面上，选择 标准 定价套餐。

使用所需的详细信息填写表单。

• 在 区域下，选择要在其中创建 Hyper Protect Crypto Services 资源的 区域。

  目前，除马德里 (eu-es) 以外的其他受支持区域在缺省情况下已启用恢复加密单元，这意味着在任何受支持区域中供应服务实例时，缺省情况下已启用用于备份位于灾难恢复区域中的恢复加密单元中主密钥的选项。 有关更多信息，请参阅 引入服务实例初始化方式。

• 在 服务名称下，输入服务实例的名称。

• 在 选择资源组下，选择要在其中组织和管理服务实例的资源组。 可以选择名为 Default 的初始资源组，也可以选择您创建的其他组。 有关更多信息，请参阅创建和管理资源组。

• (可选) 在 标记下，添加标记以组织资源。 如果标记与计费相关，请考虑将标记写为 key: value 对以帮助进行分组，例如 costctr:124。 有关标记的更多信息，请参阅使用标记。

• 在 访问管理标记 (可选) 下，向资源添加标记以帮助以 project:analysis 格式组织访问控制关系。 有关更多信息，请参阅 使用标记控制对资源的访问。

• 在 加密单元数下，选择满足性能需求的 加密单元数A single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography.。 至少要启用两个加密单元以实现高可用性。 这些加密单元分布在所选区域中的不同受支持可用性区域之间。

• 在 跨区域故障转移加密单元数下，选择是否启用在发生区域灾难时用于自动复原的故障转移加密单元。

  如果启用故障转移加密单元，请将故障转移加密单元数设置为等于或小于操作加密单元数。 但是，要满足高可用性，需要至少指定两个故障转移加密单元。 每个故障转移加密单元 也收费。 现在，在达拉斯 (us-south) 和华盛顿特区 (us-east) 中提供了故障转移加密单元，因此，如果在其他区域 (例如法兰克福 (eu-de)) 中创建实例，那么将自动禁用此选项。

  供应服务实例后，仍可以 启用或添加故障转移加密单元。

• 故障转移区域 显示故障转移加密单元所在的区域。

  可用的故障转移区域现在是达拉斯 (us-south) 和华盛顿 (us-east)。如果在两个区域中的任何一个区域中创建实例，那么会自动将故障转移区域设置为另一个区域。

• 在 允许的网络下，选择对服务实例的网络访问权:

  • 公用和专用: 使用 UI，CLI 或 API 通过公用和专用网络来管理实例。 这是缺省选项。
  • 仅限专用: 仅使用 CLI 或 API 通过专用网络访问服务实例。 UI 不可用于仅专用网络访问。

  专用实例仅通过专用端点接受 API 请求。 仅当使用 虚拟路由和转发(VRF)和服务端点 启用 IBM Cloud 帐户以及所有关联资源时，才能访问专用端点。 如果服务器或机器位于 IBM Cloud 网络外部，那么无法通过 CLI 或 API 访问专用实例。

供应服务实例后，仍可以 更新网络访问策略。

• 在 HSM 连接下，选择是使用 IBM提供的云 HSM 还是您自己的本地 HSM。

  • 标准云 HSM: 使用 IBM Cloud 为密钥生成和管理提供的 FIPS 140-2 级别 4 认证的 HSM。 通过在供应后 初始化服务实例 来获取 HSM 的完全所有权。

  • 自带 HSM: 使用您自己的内部部署 HSM 来保留对加密密钥的物理控制，以满足数据主权法规。 您需要先准备并设置本地 HSM，然后才能启用此功能。 有关更多信息，请参阅 自带 HSM 简介 和 设置 BYOHSM。

    选择该选项后，将显示 HSM 连接器标识 字段。 您需要提供从 IBM获取的 HSM 连接器标识。 有关更多信息，请参阅 联系 IBM 以获取所需信息。

单击创建以在您登录到的帐户、区域和资源组中供应 Hyper Protect Crypto Services 实例。

下载并安装 IBM Cloud CLI。

通过 IBM Cloud CLI 使用以下命令登录到 IBM Cloud：

ibmcloud login

如果登录失败，请运行 ibmcloud login --sso 命令重试。 使用联合标识登录时需要 --sso 参数。 如果使用此选项，请转至 CLI 输出中列出的链接以生成一次性密码。

选择要在其中创建 Hyper Protect Crypto Services 服务实例的区域和资源组。 可以使用以下命令来设置目标区域和资源组。

ibmcloud target -r <region_name> -g <resource_group_name>

根据下表替换样本命令中的变量。

运行以下命令来创建 Hyper Protect Crypto Services 实例：

ibmcloud resource service-instance-create <instance_name> hs-crypto standard <region_name> [-p '{"units": <number_of_operational_crypto_units>, "allowed_network": "<network_access>", "failover_units": <number_of_failover_crypto_units>}']

根据下表替换示例命令中的变量。

专用实例仅通过专用端点接受 API 请求。 仅当使用 虚拟路由和转发(VRF)和服务端点 启用 IBM Cloud 帐户以及所有关联资源时，才能访问专用端点。 如果服务器或机器位于 IBM Cloud 网络外部，那么无法通过 CLI 或 API 访问专用实例。

验证是否已成功创建服务实例。 运行以下命令以获取您创建的所有服务实例。 检查 Hyper Protect Crypto Services 服务实例是否在列表中。

ibmcloud resource service-instances

登录到 IBM Cloud 帐户。

单击 创建资源 以查看 IBM Cloud上可用的服务列表。

在 类别下，选择 安全性。

从显示的服务列表中，单击 Hyper Protect Crypto Services 磁贴。

在服务页面上，选择 使用 Unified Key Orchestrator 定价套餐。

使用所需的详细信息填写表单。

• 在 区域下，选择要在其中创建 Hyper Protect Crypto Services 资源的 区域。

  目前，eu-es 区域中的服务实例不支持恢复加密单元。 在其他受支持区域中供应服务实例时，缺省情况下，将启用用于在灾难恢复区域中的恢复加密单元中备份主密钥的选项。 有关详细信息，请参阅 介绍服务实例初始化方式。

• 在 服务名称下，输入服务实例的名称。

• 在 选择资源组下，选择要在其中组织和管理服务实例的资源组。 可以选择名为 Default 的初始资源组，也可以选择您创建的其他组。 有关更多信息，请参阅创建和管理资源组。

• 在 标记 (可选) 下，添加标记以组织资源。 如果标记与计费相关，请考虑将标记作为 key: value 对进行写入，以帮助对相关标记 (例如 costctr:124) 进行分组。 有关标记的更多信息，请参阅使用标记。

• 在 访问管理标记 (可选) 下，向资源添加标记以帮助以 project:analysis 格式组织访问控制关系。 有关更多信息，请参阅 使用标记控制对资源的访问。

• 在 加密单元数下，选择满足性能需求的 加密单元数A single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography.。 至少要启用两个加密单元以实现高可用性。 这些加密单元分布在所选区域中的不同受支持可用性区域之间。

• 在 跨区域故障转移加密单元数下，选择是否启用在发生区域灾难时用于自动复原的故障转移加密单元。

  如果启用故障转移加密单元，请将故障转移加密单元数设置为等于或小于操作加密单元数。 但是，要满足高可用性，需要至少指定两个故障转移加密单元。 每个故障转移加密单元 也收费。 现在，在达拉斯 (us-south) 和华盛顿特区 (us-east) 中提供了故障转移加密单元，因此，如果在其他区域 (例如法兰克福 (eu-de)) 中创建实例，那么将自动禁用此选项。

  供应服务实例后，仍可以 启用或添加故障转移加密单元。

• 故障转移区域 显示故障转移加密单元所在的区域。

  可用的故障转移区域现在是达拉斯 (us-south) 和华盛顿 (us-east)。如果在两个区域中的任何一个区域中创建实例，那么会自动将故障转移区域设置为另一个区域。

单击创建以在您登录到的帐户、区域和资源组中供应 Hyper Protect Crypto Services 实例。

下载并安装 IBM Cloud CLI。

通过 IBM Cloud CLI 使用以下命令登录到 IBM Cloud：

ibmcloud login

如果登录失败，请运行 ibmcloud login --sso 命令重试。 使用联合标识登录时需要 --sso 参数。 如果使用此选项，请转至 CLI 输出中列出的链接以生成一次性密码。

选择要在其中创建 Hyper Protect Crypto Services 服务实例的区域和资源组。 可以使用以下命令来设置目标区域和资源组。

ibmcloud target -r <region_name> -g <resource_group_name>

根据下表替换样本命令中的变量。

运行以下命令来创建 Hyper Protect Crypto Services 实例：

ibmcloud resource service-instance-create <instance_name> hs-crypto hpcs-hourly-uko <region_name> [-p '{"units": <number_of_operational_crypto_units>']

根据下表替换示例命令中的变量。

验证是否已成功创建服务实例。 运行以下命令以获取您创建的所有服务实例。 检查 Hyper Protect Crypto Services 服务实例是否在列表中。

ibmcloud resource service-instances