Hyper Protect Crypto Services 的发行说明
及时获取 IBM Cloud® Hyper Protect Crypto Services 可用的新增功能。
2024 年 7 月 18 日
- 已更新:向位于达拉斯、华盛顿D.C和法兰克福的 VPC 数据中心过渡
-
Hyper Protect Crypto Services将从位于达拉斯(
DAL
)、华盛顿D.C(WDC
)和法兰克福(FRA
)的IBM Cloud传统数据中心过渡到位于这些地点的IBM Cloud虚拟私有云(VPC)数据中心,使您能够利用 VPC 提供的新产品特性和功能。对当前用户的影响:
向 VPC 数据中心的过渡将是一次服务/技术升级,用户体验保持不变。 只需与客户进行最少的互动即可完成过渡。 对客户的影响微乎其微。
IBM 团队可提供支持,以确保您在 VPC 数据中心成功部署实例,请联系您的本地销售代表或发送电子邮件至 zaas.client.acceleration@ibm.com 了解更多信息。
这一过渡的关键日期:
-
对于
DAL
和WDC
中的现有实例,客户迁移时间为 2024 年 8 月 22 日- 2025 年 1 月 31 日。 在整个迁移过程中,支持服务不会中断。 2025年1月31日之后,DAL
和WDC
数据中心的服务将退出运行,不再可用。 在此日期之后,DAL
和WDC
数据中心中仍存在的所有未迁移实例和现有数据将被终止。 -
对于
FRA
中的现有实例,客户迁移时间为 2024 年 8 月 15 日- 2025 年 1 月 31 日。 在整个迁移过程中,支持服务不会中断。 2025年1月31日之后,FRA
数据中心的服务将停止使用。 在此日期之后,FRA
数据中心中仍存在的所有未迁移实例和现有数据将被终止。
-
2024 年 7 月 15 日
- 已更新:法兰克福新的应用程序接口端点
- 如果您在 7 月 15 日之后在法兰克福创建实例,则需要使用新的 API 端点对新实例进行操作。 有关受支持区域和新端点 URL 的更多信息,请参阅 新端点。
2024 年 7 月 2 日
- 已更新:马德里的新 API 端点
- 如果您在 7 月 2 日之后在马德里创建实例,则需要使用新的 API 端点对新实例进行操作。 有关受支持区域和新端点 URL 的更多信息,请参阅 新端点。
2024 年 6 月 19 日
- 已更新: 东京新增 API 端点
- 如果在 6 月 19 日之后在东京创建实例,那么需要使用新的 API 端点对新实例进行操作。 有关受支持区域和新端点 URL 的更多信息,请参阅 新端点。
2024 年 6 月 5 日
- 已更新: 伦敦新增 API 端点
- 如果在 6 月 5 后在伦敦创建实例,那么需要使用新的 API 端点对新实例执行操作。 有关受支持区域和新端点 URL 的更多信息,请参阅 新端点。
2024 年 5 月 29 日
- 已更新: 多伦多新增 API 端点
- 如果在 5 月 29 日之后在多伦多创建实例,那么需要使用新的 API 端点对新实例进行操作。 有关受支持区域和新端点 URL 的更多信息,请参阅 新端点。
2024 年 5 月 15 日
- 已更新: 圣保罗新增 API 端点
- 如果您在 5 月 15 日之后在圣保罗创建实例,那么需要使用新的 API 端点对新实例进行操作。 有关受支持区域和新端点 URL 的更多信息,请参阅 新端点。
8 2024 年 5 月
- 已更新: 达拉斯的新 API 端点
- 如果在 5 月 8 后在达拉斯创建实例,那么需要使用新的 API 端点对新实例执行操作。 有关受支持区域和新端点 URL 的更多信息,请参阅 新端点。
2024 年 4 月 12 日
- 已更新: 华盛顿特区新增 API 端点
- 如果在 4 月 12 日之后在华盛顿特区创建实例,那么需要使用新的 API 端点对新实例进行操作。 有关受支持区域和新端点 URL 的更多信息,请参阅 新端点。
2024 年 2 月 29 日
- 已添加: 新密钥状态
pending destruction
- 将密钥从“已取消激活”状态移至“已销毁”状态后,该密钥将首先在由外部云提供者的销毁策略定义的时间段内暂挂。 当时间段结束时,密钥将移至“已销毁”状态。 对于任何暂挂销毁密钥,将在相应的密钥卡或密钥列表中显示暂挂标志。 有关更多信息,请参阅 监视 Unified Key Orchestrator 中加密密钥的生命周期。
- 已添加: 通过专用端点连接到 Azure Key Vault
- 您可以使用 Unified Key Orchestrator 通过具有 UI 的专用端点或通过 Unified Key Orchestrator API 以编程方式连接到 Azure Key Vault。 通过在 Unified Key Orchestrator 与 Azure Key Vault 之间建立专用连接,不再需要向公用因特网公开您的服务。 有关更多信息,请参阅 通过专用端点连接到 Azure Key Vault。
2024 年 1 月 18 日
2023 年 11 月 9 日
- 添加了: Hyper Protect Crypto Services 添加了对自带 HSM (BYOHSM) 的支持
-
BYOHSM 将本地密钥管理功能扩展至云,并为受监管的工作负载创建可扩展,统一且安全的混合云生态系统。 通过将您自己的 HSM 连接到 Hyper Protect Crypto Services 实例,您可以对密钥进行完全物理控制,以满足数据主权法规。
以下主题可帮助您开始使用 BYOHSM 函数:
2023 年 10 月 26 日
- 不推荐: IBM Cloud Hyper Protect Crypto Services (在悉尼)
-
将从
Sydney
中的 IBM Cloud 数据中心不推荐使用 Hyper Protect Crypto Services 和 Hyper Protect Virtual Servers for Classic。 在 2023 年 11 月 30 日之后,无法再在Sydney
中的 IBM Cloud 数据中心内部署 Hyper Protect Services 的新实例,并且位于悉尼的 IBM Cloud 数据中心内的现有 Hyper Protect 服务和支持将于 2024 年 3 月 31 日停用。 -
此声明不会影响在悉尼的 IBM Cloud 数据中心内运行的任何其他服务,也不会影响在支持 Hyper Protect 的任何其他数据中心内运行的任何其他 Hyper Protect 服务 (包括支持)。
-
请查看此弃用的以下详细信息:
- 从 2023 年 11 月 30 日起,无法在
Sydney
中供应 Hyper Protect Crypto Services 或 Hyper Protect Virtual Servers for Classic 的新实例。 - 从 2024 年 3 月 31 日起,将不再支持 Hyper Protect Crypto Services 和 Hyper Protect Virtual Servers for Classic,并且将从
Sydney
中的 IBM Cloud 数据中心停用这些服务。 建议将所有实例和数据迁移到 IBM Cloud VPC 数据中心。 - 仍存在于
Sydney
中的 IBM Cloud 数据中心内的任何 Hyper Protect Services 实例和数据都将在此日期停止并终止。 数据中心基础设施将停用,数据和服务不再可用。 为避免数据丢失的风险,请确保在服务于 2024 年 3 月 31 日停用之前进行任何必需数据的备份或传输。
- 从 2023 年 11 月 30 日起,无法在
-
对于现有客户,建议迁移到 IBM Cloud VPC 数据中心:
- 要继续使用 Hyper Protect Crypto Services,建议迁移到 IBM Cloud VPC 数据中心。 建议在 APAC 中进行迁移的区域为
Tokyo
。 - 对于 Hyper Protect Virtual Servers for Classic 实例,建议迁移到 IBM Cloud VPC 数据中心,并部署最新版本的服务 Hyper Protect Virtual Servers for VPC (Hyper Protect
Virtual Servers for Classic 不适用于 IBM Cloud VPC 数据中心)。 建议在 APAC 中进行迁移的区域为
Tokyo
。 - 要迁移到 IBM Cloud VPC 数据中心,IBM 团队将提供支持。 请与当地销售代表联系,或向 zaas.client.acceleration@ibm.com 发送电子邮件以获取更多信息。
- 要继续使用 Hyper Protect Crypto Services,建议迁移到 IBM Cloud VPC 数据中心。 建议在 APAC 中进行迁移的区域为
-
下表列出了 Hyper Protect Crypto Services 和 Hyper Protect Virtual Servers for Classic 支持的 IBM Cloud VPC 数据中心:
表 1. 受支持的 IBM Cloud VPC 数据中心 数据中心 Hyper Protect Crypto Services Hyper Protect Virtual Servers for Classic 东京 (APAC 中的建议区域) jp-tok
圣保罗 br-sao
伦敦 eu-gb
多伦多 ca-tor
马德里自治区 eu-es
华盛顿 us-east
不适用
2023 年 9 月 22 日
- 已添加: Hyper Protect Crypto Services 扩展至马德里区域
- 现在,您可以在基于 IBM Cloud Virtual Private Cloud (VPC) 的马德里 (
eu-es
) 区域中创建 Hyper Protect Crypto Services 实例。 有关更多信息,请参阅区域和位置。
3 2023 年 8 月
- 已添加: Unified Key Orchestrator 的密钥模板支持
-
现在,您可以创建密钥模板,这些模板指定要创建的受管密钥的属性。 创建密钥模板后,可以创建一组具有密钥模板中定义的相同密钥属性的受管密钥。
以下主题可帮助您开始使用密钥模板:
1 2023 年 6 月
- 已更新: Unified Key Orchestrator 的定价计划
-
已更新 Unified Key Orchestrator的定价套餐。 您可以在 服务目录页面上找到更多详细信息。
有关详细定价样本,请参阅 如何将 Hyper Protect Crypto Services 与 Unified Key Orchestrator 配合使用?。
2023 年 5 月 24 日
2023 年 3 月 24 日
- 已添加: Unified Key Orchestrator 的主密钥轮换
- 现在,您可以随需应变地轮换主密钥,以满足 Hyper Protect Crypto Services 中具有 Unified Key Orchestrator 实例的行业标准和加密最佳实践。 您可以了解在主密钥轮换期间如何保护密钥,并使用 UI 来查看进度。 有关主密钥轮换工作方式的更多信息,请参阅 主密钥轮换简介。
- 已添加: EP11 密钥库的主密钥轮换
- 现在,当服务实例启用了 EP11 密钥库时,您可以轮换主密钥。 先前,此功能不可用。
1 2023 年 2 月
- 已添加: Hyper Protect Crypto Services 密钥管理功能
-
Hyper Protect Crypto Services 密钥管理服务 API 已更新为 V
22.11
。 新增以下功能- 带排序的列表键包含 lastRotateDate 排序。
- 具有高级筛选功能的列表键,包括 lastRotateDate 筛选功能。
- 使用策略覆盖创建密钥,使具有“管理者”角色的用户能够在单个调用中使用策略创建密钥,从而覆盖实例级别的策略。
- 禁用密钥轮换策略 以允许临时暂停自动密钥轮换策略。
- 已添加: Activity Tracker 事件名称
-
在 有关事件的历史信息 中查找最新事件名称和映射。
2022 年 12 月 19 日
2022 年 11 月 21 日
- 新增: 针对 Red Hat Enterprise Linux 9.0 和 Ubuntu 22.04.1 LTS 的管理实用程序支持
-
要使用智能卡来管理主密钥,现在可以在 Red Hat Enterprise Linux 9.0 和 Ubuntu 22.04.1 LTS 上安装智能卡读卡器驱动程序 Identiv SPR332 V2 (除了已支持的 Red Hat Enterprise Linux 8.0 操作系统之外)。 有关更多详细步骤,请参阅 安装智能卡读卡器驱动程序。
You can also find the latest Management Utilities installation files in Github.
2022 年 10 月 31 日
2022 年 10 月 20 日
- 已添加: EP11 活动跟踪程序事件
- Hyper Protect Crypto Services Standard Plan 和 Hyper Protect Crypto Services with Unified Key Orchestrator 现在支持 Enterprise PKCS #11 (EP11) 事件跟踪。 您可以使用 IBM Cloud Activity Tracker 监控 EP11 活动并分析成功事件。 更多信息,请参阅 审计 Hyper Protect Crypto Services 的事件 - 标准计划 和 审计 Hyper Protect Crypto Services 与 Unified Key Orchestrator 的事件。
2022 年 6 月 24 日
- 添加了 :Go SDK 和 Terraform 支持 Unified Key Orchestrator
-
现在,您可以使用启用了 Go 软件开发包 (SDK) 的 Unified Key Orchestrator API 来管理密钥。 有关 Go 中的更多代码示例,请参阅 Unified Key Orchestrator API 参考。
通过对 Unified Key Orchestrator的 Terraform 支持,现在可以使用 Terraform 自动执行操作,例如管理保险库文件,密钥库,密钥模板和密钥。 有关更多信息,请参阅 设置 Terraform for Hyper Protect Crypto Services with Unified Key Orchestrator。
2022 年 6 月 8 日
- 新增: 后量子密码术支持
- 通过 GREP11 API 和 PKCS #11 API,现在可以执行 后量子加密 操作,以保护数据免受来自量子计算机的攻击。 目前,我们支持 Dilithium 算法。 有关更多信息,请参阅 GREP11中的后量子密码术支持 和 PKCS 中的后量子密码术支持 #11。
2022 年 6 月 3 日
- 已添加: Hyper Protect Crypto Services Unified Key Orchestrator CLI 插件
- 通过对 Hyper Protect Crypto Services 的命令行界面 (CLI) 支持 Unified Key Orchestrator 套餐,您现在可以使用 CLI 命令来管理保险库文件,密钥库和密钥。 有关这些命令的更多信息,请参阅 Unified Key Orchestrator CLI 插件参考。
2022 年 4 月 1 日
- 已更新: Hyper Protect Crypto Services 标准套餐的定价模型
-
Hyper Protect Crypto Services 标准套餐的定价模型现在已从按月计费更改为按小时计费,每个加密单元每小时收费 $2.13 美元。
前五个密钥库 (包括 KMS 密钥环和 EP11 密钥库) 是免费的。 每个额外的密钥环或 EP11 密钥库将以每月 225 美元的分层定价收费。 对于创建或连接不到一个月的密钥库,将根据该月内的实际天数按比例分摊成本。
- 更新: 订购智能卡和智能卡读卡器的过程
-
要订购智能卡和智能卡读卡器,您现在可以通过电子邮件将 IBM 发送至
zcat@ibm.com@ibm.com
并提供必要的信息。 有关详细步骤,请参阅 设置智能卡和管理实用程序。
2022 年 3 月 25 日
- 已添加: Hyper Protect Crypto Services 扩展至多伦多区域
- 现在,您可以在基础结构基于 IBM Cloud Virtual Private Cloud (VPC) 的多伦多 (
ca-tor
) 区域中创建 Hyper Protect Crypto Services 实例。 有关更多信息,请参阅区域和位置。
2022 年 3 月 22 日
- 一般可用性: 使用 Unified Key Orchestrator 在多云环境中管理和编排密钥
-
Unified Key Orchestrator 是用于多云和混合云密钥编排的公共云控制平面。 作为 IBM Cloud® Hyper Protect Crypto Services 的一部分,它根据 NIST 建议提供密钥生命周期管理,并将密钥安全传输到服务实例的内部密钥存储或外部密钥存储。
通过Unified Key Orchestrator,您可以将服务实例连接到IBM Cloud和第三方云提供商的密钥存储库,使用统一的系统备份和管理密钥,并在多个云之间协调密钥。
以下主题可帮助您开始使用 Unified Key Orchestrator:
2022 年 2 月 28 日
- 有限可用性: 使用 Unified Key Orchestrator 在多云环境中管理和编排密钥
-
Unified Key Orchestrator 是用于多云和混合云密钥编排的公共云控制平面。 作为 IBM Cloud® Hyper Protect Crypto Services 的一部分,它根据 NIST 建议提供密钥生命周期管理,并将密钥安全传输到服务实例的内部密钥存储或外部密钥存储。
通过Unified Key Orchestrator,您可以将服务实例连接到IBM Cloud和第三方云提供商的密钥存储库,使用统一的系统备份和管理密钥,并在多个云之间协调密钥。
以下主题可帮助您开始使用 Unified Key Orchestrator:
2022 年 2 月 23 日
2022 年 2 月 15 日
- 已添加: Hyper Protect Crypto Services 扩展到圣保罗区域
- 现在,您可以在基础结构基于 IBM Cloud Virtual Private Cloud (VPC) 的圣保罗 (
br-sao
) 区域中创建 Hyper Protect Crypto Services 实例。 有关更多信息,请参阅区域和位置。
2022 年 1 月 21 日
- 已更新: Hyper Protect Crypto Services 密钥管理功能
- Hyper Protect Crypto Services 密钥管理服务 API 已更新为 V
2.82
。 新增以下功能- 清除已删除的密钥: 缺省情况下,删除 90 天后将自动清除已删除的密钥。 现在,您可以手动清除密钥,以便在 90 天之前从实例中永久除去密钥。 删除密钥后,将有长达 4 个小时的等待周期,然后才能执行该操作。 在清除密钥之前,请确保为您分配了 KMS 密钥清除 角色。 有关更多信息,请参阅 手动清除密钥。
- 更新密钥的密钥环: 创建密钥后,可以将密钥移动到其他密钥环。 有关更多信息,请参阅 将密钥传输到其他密钥环。
2021 年 7 月 30 日
- 添加: 对执行加密操作的互斥控制
- 要确保对执行加密操作的独占控制,您可以使用 Hyper Protect Crypto Services 证书管理器 CLI 为 EP11 (GREP11 或 PKCS #11 API) 连接启用第二层认证。 通过启用此功能,可以在 Identity and Access Management (IAM) 令牌的基础上对 EP11 应用程序启用额外的访问控制层。 建立相互 TLS 连接以确保只有具有有效客户机证书的 EP11 应用程序才能执行 EP11 操作。 有关更多信息,请参阅 为 EP11 连接启用第二层认证
- 新增:Hyper Protect Crypto Services 扩展到东京区域
- 现在,您可以在基础结构基于 IBM Cloud Virtual Private Cloud (VPC) 的东京 (
jp-tok
) 区域中创建 Hyper Protect Crypto Services 实例。 有关更多信息,请参阅区域和位置。 - 已添加: 正在使用 Terraform 初始化 Hyper Protect Crypto Services 实例
- 通过与 Terraform 的集成,现在您可以使用 Terraform 初始化服务实例,然后使用 Terraform 自动执行操作。 有关更多信息,请参阅 为 Hyper Protect Crypto Services设置 Terraform 和 Terraform 文档- Hyper Protect Crypto Services。
- 已添加: 正在使用签名服务来管理用于实例初始化的签名密钥
- 如果您正在使用 Terraform 或密钥部件文件来初始化服务实例,那么现在可以选择使用第三方签名服务来创建,存储和管理 Terraform 或可信密钥条目 (TKE) CLI 插件所使用的管理员签名密钥。 有关更多信息,请参阅 使用签名服务来管理用于实例初始化的签名密钥。
2021 年 6 月 30 日
- 已添加: 已认证的 PKCS #11 密钥库
- 现在可以对 PKCS #11 数据库支持的密钥库进行加密和认证。 对于每个服务实例,最多支持五个已认证的 PKCS #11 密钥库。 您可以启用
sessionauth
参数以将生成的密钥加密到密钥库中,或者在使用该密钥之前对其进行解密。 有关更多信息,请参阅 设置 PKCS #11 配置文件。 - 已添加: 使用故障转移加密单元启用跨区域恢复
- 故障转移加密单元在另一个区域中备份可操作的加密单元和密钥库。 发生区域灾难时,可以改为使用故障转移加密单元来减少停机时间和数据丢失。 故障转移加密单元 收取额外费用,现在此选项仅在
us-south
和us-east
区域中可用。 有关更多信息,请参阅 启用或添加故障转移加密单元 和 跨区域灾难恢复。 - 新增:Hyper Protect Crypto Services 扩展到伦敦区域
- 现在,您可以在基础结构基于 IBM Cloud Virtual Private Cloud (VPC) 的伦敦 (
eu-gb
) 区域中创建 Hyper Protect Crypto Services 实例。 有关更多信息,请参阅区域和位置。
2021 年 4 月 30 日
- 添加: 使用智能卡和管理实用程序来轮换主密钥
-
除了 使用密钥部件文件 和 使用恢复加密单元 来轮换主密钥外,现在还可以在使用智能卡和管理实用程序时轮换主密钥。
有关详细指示信息,请参阅 使用智能卡和管理实用程序旋转主密钥。 有关主密钥轮换工作方式的更多信息,请参阅 使用密钥部件文件轮换主密钥。
- 已更新: 复原密钥 API 和 UI
-
现在,您可以复原在 30 天内删除的密钥,而无需提供任何密钥资料。 可以复原所有根密钥和标准密钥,无论是由 Hyper Protect Crypto Services 生成还是由您导入。 有关更多信息,请参阅 复原密钥。
2021 年 3 月 31 日
- 已添加: 使用密钥环对密钥进行分组
-
现在,您可以通过创建密钥环对 Hyper Protect Crypto Services 实例中的密钥进行分组。 在这种情况下,您可以在密钥环级别管理密钥和控制访问权。 有关如何使用密钥环,请参阅 管理密钥环。
- 已添加: 正在使用恢复加密单元来初始化服务实例
-
除了使用智能卡和 Hyper Protect Crypto Services 管理实用程序以及使用关键部件文件,您现在还可以使用达拉斯 (
us-south
) 和华盛顿 (us-east
) 区域中的恢复加密单元来初始化服务实例。在达拉斯或华盛顿区域中供应服务实例时,将自动分配两个恢复单元,而不会产生额外成本。 将在恢复加密单元中自动生成随机主密钥值,并将其复制到服务实例的其他加密单元。 主键值从不显示在 HSM 外部的清除中。
有关服务实例初始化方法之间的差异的更多信息,请参阅 服务实例初始化方法简介。
有关详细指示信息,请参阅 使用恢复加密单元初始化服务实例。
要轮换主密钥,请参阅 使用恢复加密单元轮换主密钥。
- 添加: 使用 UI 管理 EP11 密钥库和密钥
-
除了使用 PKCS #11 API 来管理企业 PKCS #11 (EP11) 密钥库和密钥外,现在还可以使用 UI 来查看,创建和删除 EP11 密钥库和密钥。 有关更多信息,请参阅 使用 UI 管理 EP11 密钥库 和 使用 UI 管理 EP11 密钥。
- 已添加: 管理密钥的密钥别名
-
密钥别名是可用于标识密钥的唯一人类可读名称。 现在,您最多可以为密钥创建 5 个别名,以便于识别。 有关如何使用密钥别名,请参阅 管理密钥别名。
- 已添加: 正在同步与根密钥关联的受保护资源
-
当根密钥的状态发生更改时,将向与根密钥关联的受保护资源通知密钥生命周期事件,并鼓励其作出相应响应。 在资源未响应密钥生命周期通知的情况下,您现在可以手动启动对这些关联云服务的重新通知。 有关更多信息,请参阅 同步关联资源。
- 已添加: 正在将虚拟专用端点用于 VPC
-
现在,您可以为 IBM Cloud 虚拟私有云 (VPC) 实例创建虚拟专用端点 (VPE),以访问 VPC 网络中的 Hyper Protect Crypto Services。 有关更多信息,请参阅 将虚拟专用端点用于 VPC。
- 已更新: 用于生成签名密钥的密码术算法
-
用于生成签名密钥的密码术算法从 Rivest-Shamir-Adleman 2048 (RSA 2048) 更新为 P521 椭圆曲线 (P521 EC)。 P521 EC 密钥的加密强度相当于 RSA 15360,这意味着与先前的签名密钥相比,更新后的签名密钥可以提供更高级别的安全性。 先前的 RSA 2048 签名密钥仍然有效并且可以使用。
2021 年 2 月 28 日
- 已添加: 使用 PKCS #11 API 进行密钥验证
-
为确保使用 PKCS #11 API 存储在 Hyper Protect Crypto Services 实例中的密钥未发生篡改,现在提供了密钥验证机制,供您检查存储在 Hyper Protect Crypto Services中的密钥对象。 有关如何验证密钥对象的指示信息,请参阅 验证密钥是否受加密单元保护。
有关如何检索 AES,DES2和 DES3 密钥的校验和值以及验证密钥校验和的示例,请参阅 代码样本。
- 新增: 支持 Schnorr 算法
-
Hyper Protect Crypto Services 现在支持 Schnorr 算法,该算法可用作生成数字签名的签名方案。 它被提出作为比特币系统中加密签名的椭圆曲线数字签名算法 (ECDSA) 的替代算法。 在可以使用 Schnorr 算法之前,请确保遵循 启用 Schnorr 算法 中的指示信息来启用此功能。
2021 年 1 月 31 日
- 已添加: 支持单租户 KMIP 适配器
- Hyper Protect Crypto Services 现在提供单租户 KMIP 适配器来管理 vSphere 或 vSAN 环境中的密钥分发。 有关更多信息,请参阅 在 Hyper Protect Crypto Services 中配置 KMIP 以进行密钥管理和分发。
2020 年 12 月 31 日
- 已添加: 管理密钥创建和导入访问策略
-
设置 Hyper Protect Crypto Services 实例后,可以启用和更新密钥创建和导入访问策略,以控制根密钥和标准密钥的操作许可权。 有关更多信息,请参阅 管理密钥创建和导入访问策略。
- 添加: 使用仅专用网络供应和管理服务实例
-
为了提高安全性,现在可以将服务实例的网络访问权限制为仅专用网络。 您可以 在供应服务实例时选择允许的网络 或 在设置实例后更新网络访问策略。
在 更新网络访问策略 之前,需要先初始化服务实例。 请参阅 使用 IBM Cloud TKE CLI 插件初始化服务实例 或 使用智能卡和管理实用程序初始化服务实例 以获取指示信息。
- 已添加: GREP11 API 中的
ReencryptSingle
函数 -
GREP11 API 现在支持
ReencryptSingle
功能,该功能使您能够使用原始密钥对数据进行解密,然后在云 HSM 内的单个调用中使用其他密钥对原始数据进行加密。 此单一调用是一个可行的选项,在此选项中,需要使用不同的密钥对大量数据进行重新加密,而无需对需要重新加密的每个数据项执行DecryptSingle
和EncryptSingle
函数的组合。 有关更多信息,请参阅 GREP11 API 参考-ReencryptSingle
函数。 - 添加: 支持通过虚拟专用端点访问服务实例
-
现在,您可以通过虚拟专用端点 (VPE) 网关将 IBM Cloud Virtual Private Cloud (VPC) 实例连接到 Hyper Protect Crypto Services 实例,以便您可以通过专用网络使用 Hyper Protect Crypto Services 来管理密钥。 有关更多信息,请参阅 使用 VPC 的虚拟专用端点以专用方式连接到 Hyper Protect Crypto Services。
- 新增: 支持 SLIP10 机制和 Edwards-曲线算法
-
Hyper Protect Crypto Services 现在支持 SLIP10 机制,用于分层确定性电子钱包以派生专用密钥对和公用密钥对。 它现在还支持用于数字签名的 Edwards-曲线 (ED) 25519 算法。 在可以使用 ED 算法之前,请确保遵循 启用 Edwards-曲线数字签名算法 中的指示信息来启用此功能。
- 已添加: 正在使用 Terraform 来管理 Hyper Protect Crypto Services 实例和资源
-
Terraform 是一种开放式源代码软件,用于配置和自动执行云资源供应和管理。 现在,您可以供应和初始化 Hyper Protect Crypto Services 实例,以及使用 Terraform CLI 和 IBM Cloud 提供程序插件来管理根密钥和标准密钥。 有关更多信息,请参阅 使用 Terraform 管理密钥管理服务资源 和 Hyper Protect Crypto Services 的样本 Terraform 模板。
- 已更新: 密钥管理服务 API
-
Hyper Protect Crypto Services 密钥管理服务 API 将使用以下更改进行更新:
-
已更新: 以下关键操作的 API 方法现在将传输到各个请求路径。 通用路径格式 (复原密钥的操作除外) 为
/api/v2/keys/<key_ID>/actions/<action>
,其中key_ID
是密钥的 UUID,action
是要执行的操作名称。- 打包密钥。
- 解包密钥。
- 重新包装密钥。
- 旋转密钥。
- 授权删除具有双重授权策略的密钥。
- 除去具有双重授权策略的密钥的授权。
- 对密钥启用操作。
- 对密钥禁用操作。
- 复原密钥。
-
已更新: 现在可以使用以下两种方法来管理允许的网络策略以及密钥创建和导入访问策略:
-
不推荐: 对密钥调用操作。
此方法最初用于对密钥执行操作,例如回绕,解包和旋转。 现在,它将替换为每个操作的单独请求路径。
有关 API 更新的更多信息,请参阅 Hyper Protect Crypto Services 密钥管理服务 API 参考。
-
2020 年 11 月 30 日
- 新增: 支持 BIP32 机制
- Hyper Protect Crypto Services 现在支持针对分层确定性钱包的比特币改进建议 0032 (BIP32) 标准,以定义如何派生数字电子钱包的专用密钥和公用密钥。 要启用 BIP 32,请遵循 启用 BIP32 确定性电子钱包 中的指示信息。
- 已添加: TKE 活动跟踪程序事件
- Hyper Protect Crypto Services 现在支持可信密钥条目 (TKE) 事件审计。 现在,您可以使用 IBM Cloud Activity Tracker 来监视 TKE 活动并分析失败的操作。 有关更多信息,请参阅 审计 Hyper Protect Crypto Services 的事件。
2020 年 9 月 30 日
- 已添加: 主密钥轮换
-
现在,您可以根据需要使用 IBM Cloud® Trusted Key Entry CLI 插件来轮换主密钥,以满足行业标准和加密最佳实践。 有关其工作方式的更多信息,请参阅 主密钥轮换简介。
有关详细指示信息,请参阅 旋转主密钥。
- 新增: 支持使用标准 PKCS #11 API 执行加密操作
-
Hyper Protect Crypto Services 现在支持使用标准公用密钥密码术标准 (PKCS) #11 API 执行加密操作。
借助 PKCS #11 API 的支持,您无需更改使用 PKCS #11 标准的现有应用程序,即可使其在 Hyper Protect Crypto Services 云 HSM 环境中运行。 PKCS #11 库接受来自应用程序的 PKCS #11 API 请求,并远程访问云 HSM 以执行相应的加密功能。
有关 PKCS #11 API 用例的更多信息,请参阅 使用 Hyper Protect Crypto Services 作为 PKCS #11 HSM。
要了解有关 PKCS #11 API 的更多信息,请参阅 PKCS 简介 #11 和 PKCS #11 API 参考。
2020 年 8 月 31 日
- 新增: 支持导入令牌以安全地上载加密密钥
-
如果您具有 写入者 或 管理者 访问许可权,那么现在可以创建导入令牌,以对您上载到 Hyper Protect Crypto Services的加密密钥启用添加的安全性。
要了解有关用于导入密钥的选项的更多信息,请查看 创建导入令牌。 有关指导式教程,请参阅 教程: 创建和导入加密密钥。
2020 年 7 月 31 日
- 已添加: Hyper Protect Crypto Services 使密钥管理功能与 Key Protect
-
基于符合 FIPS 140-2 级别 4 的 HSM 构建的 Hyper Protect Crypto Services现在支持与 Key Protect相同的密钥管理功能级别。 新增的功能如下:
- 基于策略的密钥轮换。
- 查看根密钥版本。
- 禁用和启用根密钥。
- Hyper Protect Crypto Services 实例 和 密钥 的双重授权策略。
- 查看有关加密密钥的详细信息。
- 查看根密钥与 IBM Cloud 资源之间的关联。
- 复原已删除的密钥。
- 新增:Hyper Protect Crypto Services 扩展到华盛顿区域
-
现在,您可以在华盛顿特区(美东)区域创建 Hyper Protect Crypto Services 资源。 有关更多信息,请参阅区域和位置。
2020 年 6 月 30 日
- 已添加:支持法定人数验证
-
IBM Cloud Trusted Key Entry (TKE) 命令行界面 (CLI) 插件和 Hyper Protect Crypto Services 管理实用程序现在都支持 定额认证。
定额认证是由设置数量的加密单元管理员核准操作的方法。 某些敏感操作需要足够数量的加密单元管理员来输入其凭证。 将 签名阈值 设置为大于 1 的值将启用定额认证。
有关如何使用 TKE CLI 初始化服务实例并启用定额认证的更多信息,请参阅 使用 IBM Cloud TKE CLI 插件初始化服务实例。
有关如何使用管理实用程序初始化服务实例并启用定额认证的更多信息,请参阅 设置智能卡和管理实用程序 以及 使用智能卡和管理实用程序初始化服务实例。
2020 年 4 月 30 日
- 已添加:Hyper Protect Crypto Services 添加了对 EP11 私有端点的支持
-
现在,您可以通过企业 PKCS #11 服务的专用端点,通过 Hyper Protect Crypto Services 专用网络连接到 IBM Cloud。
要开始使用,请为您的基础架构帐户启用 虚拟路由和转发(VRF)以及服务端点。 有关更多信息,请参阅使用专用端点。
- 已添加: Hyper Protect Crypto Services 添加对管理实用程序的支持
-
Hyper Protect Crypto Services 现在支持从智能卡装入主密钥部件和签名密钥以进行服务实例初始化。 它确保主密钥部件和签名密钥的最高保护级别。
管理实用程序是两个使用智能卡来配置服务实例的应用程序。 智能卡实用程序设置和管理所使用的智能卡。 “可信密钥条目”(TKE) 应用程序使用这些智能卡来配置服务实例。 要使用管理实用程序,您需要订购 IBM支持的智能卡和智能卡读卡器。
有关更多信息,请参阅 了解管理实用程序 和 使用智能卡和管理实用程序初始化服务实例。
- 已更新: IBM Cloud 服务集成
-
Hyper Protect Crypto Services 现在可以与更多 IBM Cloud 服务集成:
- Hyper Protect DBaaS for MongoDB
- Hyper Protect DBaaS for PostgreSQL
- HyTrust DataControl
- IBM Cloud Kubernetes Service
- Red Hat OpenShift on IBM Cloud
有关更多信息,请参阅集成服务。
2019 年 8 月 31 日
- 新增:Hyper Protect Crypto Services 添加了对专用端点的支持
-
现在,您可以将服务的专用端点设定为目标,通过 Hyper Protect Crypto Services 专用网络连接到 IBM Cloud。
要开始使用,请为您的基础架构帐户启用 虚拟路由和转发(VRF)以及服务端点。 有关更多信息,请参阅 使用服务端点以专用方式连接到 Hyper Protect Crypto Services。
- 新增:Hyper Protect Crypto Services Cloud HSM 现在支持通过 gRPC 执行的 EP11 加密操作
-
托管的 Cloud Hardware Security Module (HSM) 支持企业公钥加密标准 (PKCS) #11,因此您的应用程序可以通过企业 PKCS #11 (EP11) API 集成数字签名和验证等加密操作。 EP11 库提供了与行业标准 PKCS #11 API 相似的接口。
Hyper Protect Crypto Services 通过 gRPC API 调用(也称为 GREP11)提供了一套企业 PKCS #11 (EP11),所有加密功能都在云上的 HSM 中执行。 GREP11 是云程序的无状态接口。
有关 GREP11 API 的更多信息,请参阅 通过 gRPC 和 GREP11 API 参考简介 EP11。
- 新增:Hyper Protect Crypto Services 扩展到法兰克福区域
-
现在,您可以在法兰克福区域中创建 Hyper Protect Crypto Services 资源。 有关更多信息,请参阅区域和位置。
- 新增:IBM Cloud 服务集成
-
Hyper Protect Crypto Services 现在可以与以下 IBM Cloud 服务集成:
- IBM Cloud Object Storage
- IBM Cloud Block Storage for Classic for Virtual Private Cloud
- IBM Cloud Virtual Servers for Virtual Private Cloud
- IBM Cloud 上 VMware® 的密钥管理互操作性协议 (KMIP)
有关更多信息,请参阅集成服务。
2019 年 6 月 30 日
- 新增:Hyper Protect Crypto Services 扩展到悉尼区域
- 现在,您可以在悉尼区域中创建 Hyper Protect Crypto Services 资源。 有关更多信息,请参阅区域和位置。
2019 年 3 月 31 日
- Hyper Protect Crypto Services 已一般可用
-
从 2019 年 3 月 29 日起,将无法配置新的 Hyper Protect Crypto Services Beta 实例。 现有实例将支持至测试版支持结束日期(2019 年 4 月 30 日)。
有关 Hyper Protect Crypto Services 产品的更多信息,请参阅 IBM Cloud Hyper Protect Crypto Services 主页。
- 高可用性和灾难恢复
-
IBM Cloud Hyper Protect Crypto Services 现在支持选定区域中的三个可用性专区,它是一种高可用性服务,其中带有自动功能,可帮助使您的应用程序保持安全和正常运作。
您可以在支持的 IBM Cloud 区域 中创建 Hyper Protect Crypto Services 资源,这些区域代表处理您的 Hyper Protect Crypto Services 请求的地理区域。 每个 IBM Cloud 区域都包含多个可用性专区,可满足该区域的本地访问、低等待时间和安全性需求。
有关更多信息,请参阅高可用性和灾难恢复。
- 可伸缩性
-
服务实例可横向扩展到包含最多 6 个加密单元,以满足您的性能需求。 在生产环境中,建议至少选择两个加密单元,以实现高可用性。 通过选择三个或更多加密单元,可让这些加密单元分布在选定区域的三个可用性专区中。
请阅读供应服务以获取更多信息。
2019 年 2 月 28 日
- Hyper Protect Crypto Services Beta 已可用
-
Hyper Protect Crypto Services Beta 版本已发布。 现在,您可以通过 Catalog > Security 直接访问 Hyper Protect Crypto Services 服务。
从 2019 年 2 月 5 日起,将无法配置新的 Hyper Protect Crypto Services 实验实例。 现有实例将支持至实验支持结束日期(2019 年 3 月 5 日)。
2018 年 12 月 31 日
- 新增:集成 Key Protect API
-
Key Protect API 现在与 Hyper Protect Crypto Services 集成以生成并保护密钥。 您可以通过 Key Protect 直接调用 Hyper Protect Crypto Services API。
有关更多信息,请参阅 设置密钥管理服务 API 和 Hyper Protect Crypto Services 密钥管理服务 API 参考。
- 新增: 支持使用“保留自己的密钥”进行 HSM 管理
-
Hyper Protect Crypto Services现在支持自己保存密钥 (KYOK),这样您就可以通过自己保存、控制和管理的加密密钥对数据进行更多控制和授权。 您可以使用 IBM Cloud® 命令行界面 (CLI) 来初始化并管理服务实例。
有关更多信息,请参阅初始化服务实例以保护密钥存储器。
- 不推荐: 通过 Advanced Cryptography Service Provider 访问 Hyper Protect Crypto Services 的功能
-
在当前阶段,不推荐通过 Advanced Cryptography Service Provider (ACSP) 客户机访问 Hyper Protect Crypto Services。 如果您要使用先前的服务实例,那么仍可以使用 ACSP 来探索 Hyper Protect Crypto Services。