整合 IBM Cloud 服務與 Hyper Protect Crypto Services
您可以整合 IBM Cloud 服務與 IBM Cloud® Hyper Protect Crypto Services,以建置解決方案供您在雲端中帶來及管理您自己的加密。
在 建立服務實例 並 起始設定服務實例 之後,您需要建立 服務對服務授權,以容許一個服務透過單一帳戶授權或跨帳戶授權來存取另一個服務。 如需如何建立授權的詳細指示,請參閱 在使用者介面中建立授權。 請確定您遵循處理程序,並選取 Hyper Protect Crypto Services 作為目標服務。
請參閱下列整合指示,以將 Hyper Protect Crypto Services 與每一個支援的服務整合。
儲存服務整合
依預設,您儲存在 IBM Cloud 儲存服務中的資料會使用隨機產生的金鑰進行加密。 如果您想要控制加密金鑰並使用您自己的金鑰來加密儲存體,則可以將您在 Hyper Protect Crypto Services 中管理的根金鑰與儲存服務相關聯,並利用 封套加密 對資料新增另一層保護。 因為主要金鑰由使用者所擁有的主要金鑰加密,所以包括 IBM Cloud 管理者在內的其他任何人都無法存取您的資料。
| 服務 | 說明 | 整合指示 |
|---|---|---|
| IBM Cloud Object Storage | IBM Cloud Object Storage 是用於儲存非結構化資料的高可用性、可延續且安全的平台。 物件儲存是儲存 PDF、媒體檔案、資料庫備份、磁碟映像檔甚至大型結構化資料集的最有效方式。 | |
| IBM® Cloud Block Storage for Virtual Private Cloud | Block Storage for VPC 為您可以在 VPC 內佈建的虛擬伺服器實例提供 Hypervisor 裝載的高效能資料儲存空間。 | 使用客戶管理的加密建立區塊儲存空間磁區 |
| IBM Cloud® File Storage for VPC | IBM Cloud® File Storage for VPC 是提供 NFS型檔案儲存體服務的區域檔案儲存體供應項目。 | 使用客戶管理的加密來建立檔案共用 |
資料庫服務整合
依預設,您儲存在 IBM Cloud 資料庫服務中的資料會使用隨機產生的金鑰進行加密。 如果您想要控制加密金鑰並使用自己的金鑰來加密資料庫,則可以將您在 Hyper Protect Crypto Services 中管理的根金鑰與資料庫服務相關聯,並利用 封套加密 對資料新增另一層保護。 因為主要金鑰由使用者所擁有的主要金鑰加密,所以包括 IBM Cloud 管理者在內的其他任何人都無法存取您的資料。
| 服務 | 說明 | 整合指示 |
|---|---|---|
| IBM Cloud Databases for Elasticsearch | IBM Cloud Databases for Elasticsearch 是企業就緒且完全受管理的 Elasticsearch 服務,使用原生整合建置至 IBM Cloud。 | Hyper Protect Crypto Services 整合 |
| IBM Cloud Databases for EnterpriseDB | IBM Cloud Databases for EnterpriseDB 是一個資料庫引擎,可最佳化 PostgreSQL的內建特性。 您可以獲得更大的可調整性、安全性和可靠性,以及可改善資料庫管理者和開發人員生產力的加強功能。 | Hyper Protect Crypto Services 整合 |
| IBM Cloud Databases for etcd | IBM Cloud Databases for etcd 是企業就緒且完全受管理的 etcd 服務,它是使用原生整合至 IBM Cloud來建置。 | Hyper Protect Crypto Services 整合 |
| IBM Cloud Databases for MongoDB | IBM Cloud Databases for MongoDB 是企業就緒且完全受管理的 MongoDB 服務,使用原生整合建置至 IBM Cloud。 | Hyper Protect Crypto Services 整合 |
| IBM Cloud Databases for PostgreSQL | IBM Cloud Databases for PostgreSQL 是企業就緒且完全受管理的 PostgreSQL 服務,以原生整合至 IBM Cloud來建置。 | Hyper Protect Crypto Services 整合 |
| IBM Cloud Databases for Redis | IBM Cloud Databases for Redis 是專為現代應用程式堆疊設計的開放程式碼記憶體內金鑰值儲存庫。 使用 Databases for Redis,您可以使用計數器、佇列、清單及 HyperLog日誌來簡單處理複雜的資料問題。 | Hyper Protect Crypto Services 整合 |
| IBM Cloud Messages for RabbitMQ | IBM Cloud Messages for RabbitMQ 是企業就緒且完全受管理的 RabbitMQ 服務,具有原生整合至 IBM Cloud。 它支援多個傳訊通訊協定作為分配管理系統。 | Hyper Protect Crypto Services 整合 |
| IBM Db2 on Cloud | IBM Db2 on Cloud 是在雲端中為您所佈建的 SQL Database。 您可以使用 Db2 on Cloud,就像使用任何資料庫軟體一樣,但沒有硬體設定或軟體安裝及維護的時間和費用。 | Hyper Protect Crypto Services 整合 |
運算服務整合
使用 Hyper Protect Crypto Services 來提供您自己的金鑰以計算服務。
| 服務 | 說明 | 整合指示 |
|---|---|---|
| IBM Cloud 映像檔範本 | 您可以使用 IBM Cloud 映像檔範本來擷取虛擬伺服器的映像檔,以在訂單處理程序中進行最少變更的情況下快速抄寫其配置。 使用端對端 (E2E) 加密特性,您可以自帶已加密且已啟用 cloud-init 功能的作業系統映像檔。 | 使用端對端加密來佈建已加密實例 |
| IBM Cloud Virtual Servers for Virtual Private Cloud(VPC) | Virtual Servers for VPC 是一種「基礎架構即服務 (IaaS)」供應項目,可讓您存取 IBM Cloud VPC的所有優點,包括網路隔離、安全及彈性。 透過與 Hyper Protect Crypto Services整合,您可以在建立虛擬伺服器實例並使用自己的根金鑰來保護資料加密金鑰以加密靜態資料時建立已加密區塊儲存空間磁區。 | 使用客戶管理的加密磁區來建立虛擬伺服器實例 |
| Key Management Interoperability Protocol(KMIP)for VMware® on IBM Cloud | KMIP for VMware® 與 VMware 原生 vSphere 加密及 vSAN 加密一起運作,以提供簡化的儲存空間加密管理。 透過與 Hyper Protect Crypto Services整合,您可以使用 Hyper Protect Crypto Services 來管理 IBM Cloud上 VMware® 解決方案使用的加密金鑰。 | |
| Entrust DataControl for IBM Cloud-先前稱為 HyTrust CloudControl | Entrust DataControl 服務與 Hyper Protect Crypto Services 整合,以利用高度加密及可調式金鑰管理來保護您的資料。 服務提供作業系統層次及資料層次的加密,以在整個工作負載生命週期中保護工作負載的安全。 | |
| Power Virtual Server | Power Virtual Server 是 Power Systems 供應項目。 您可以使用 Power Virtual Server 來與 Hyper Protect Crypto Services 整合,以安全地儲存並保護 AIX 和 Linux的加密金鑰資訊。 | 整合 Power Virtual Server 與 Hyper Protect Crypto Services |
儲存器服務整合
透過與 Hyper Protect Crypto Services整合,您可以使用自己在 Hyper Protect Crypto Services中管理的根金鑰來加密 Kubernetes 主節點的 Kubernetes 密碼及 etcd 元件。
| 服務 | 說明 | 整合指示 |
|---|---|---|
| IBM Cloud Kubernetes Service | IBM Cloud Kubernetes Service 是一個受管理供應項目,其建置是為了建立計算主機的 Kubernetes 叢集,以在 IBM Cloud上部署及管理容器化應用程式。 | 使用 KMS 提供者來加密 Kubernetes 主節點的本端磁碟及密碼 |
| Red Hat OpenShift on IBM Cloud | Red Hat OpenShift on IBM Cloud 是受管理供應項目,用於建立您自己的 Red Hat OpenShift on IBM Cloud 計算主機叢集,以在 IBM Cloud上部署及管理容器化應用程式。 除了使用 Hyper Protect Crypto Services 來保護 Kubernetes 密碼之外,您還可以部署 Hyper Protect Crypto Services 路由器,它使用 GREP11 OpenSSL
Engine 來存取儲存在 Hyper Protect Crypto Services 實例中的私密金鑰以加密路徑。 |
|
汲取服務整合
您可以整合 Hyper Protect Crypto Services 與下列汲取服務。
| 服務 | 說明 | 整合指示 |
|---|---|---|
| IBM Cloud Monitoring | IBM Cloud Monitoring 是雲端原生及儲存器智慧管理系統。 您可以使用它來取得 Hyper Protect Crypto Services 實例之效能及性能的作業可見性。 | 入門指導教學 |
| IBM Cloud Schematics | IBM Cloud Schematics 提供功能強大的工具,可自動化雲端基礎架構佈建和管理程序、雲端資源的配置和作業,以及應用程式工作量的部署。 所有資料、使用者輸入,以及在執行時期執行自動化程式碼期間所產生的資料,都儲存在 IBM Cloud Object Storage中。 依預設會使用 Schematics中的加密金鑰來加密此資料。 如果您需要控制加密金鑰,可以與 Hyper Protect Crypto Services 實例整合以使用您自己的根金鑰。 | 啟用 Schematics的客戶管理金鑰 |
| Event Streams | Event Streams 服務是使用 Apache Kafka建置的高傳輸量訊息匯流排。 您可以使用它來將事件汲取至 IBM Cloud,並在服務與應用程式之間配送事件串流。 依預設,Event Streams 中的訊息有效負載資料會使用隨機產生的金鑰進行靜態加密。 如果您需要控制加密金鑰,可以與 Hyper Protect Crypto Services 實例整合以使用您自己的根金鑰。 | 啟用 Event Streams |
安全服務整合
您可以整合 Hyper Protect Crypto Services 與下列安全相關服務。 依預設,您儲存在這些服務中的資料會使用 IBM管理的金鑰來靜態加密。 您可以透過啟用與 Hyper Protect Crypto Services 的整合,以使用您自己的根金鑰,來為靜態資料新增更高層次的加密控制。
| 服務 | 說明 | 整合指示 |
|---|---|---|
| App ID | App ID 儲存及加密使用者設定檔屬性。 身為多方承租戶服務,每個承租戶都會有一個指定的加密金鑰,而且只會使用該承租戶的金鑰來加密每一個承租戶中的使用者資料。 | 使用 Hyper Protect Crypto Services 為 App ID 啟用客戶管理的金鑰 |
| Secrets Manager | 使用 Secrets Manager,您可以在單一承租戶專用實例中集中管理密鑰。 | 在 Secrets Manager |
| Security and Compliance Center | 使用 Security and Compliance Center,您可以控管雲端資源配置,並集中管理符合組織及法規的準則。 當您使用 Security and Compliance Center時,服務會在您與其互動時產生資料。 | 在 Security and Compliance Center |
開發人員工具服務整合
您可以整合 Hyper Protect Crypto Services 與下列開發人員工具服務。
| 服務 | 說明 | 整合指示 |
|---|---|---|
| IBM Cloud® Continuous Delivery | Continuous Delivery 服務提供一套支援 DevOps 最佳作法的工具。 您可以使用服務來管理工具鏈、操作交付管線、深入瞭解程式碼品質和漏洞、整合協力廠商工具等。 |
瞭解整合
當您整合支援的服務與 Hyper Protect Crypto Services 時,請啟用該服務的封套加密。 透過此整合,您可以使用儲存在 Hyper Protect Crypto Services 中的根金鑰來包裝用於加密靜態資料的資料加密金鑰。
例如,您可以建立根金鑰、在 Hyper Protect Crypto Services 中管理金鑰,以及使用根金鑰來保護不同雲端服務中所儲存的資料。
下圖說明將 Hyper Protect Crypto Services 與兩個服務整合的場景。
在幕後,Hyper Protect Crypto Services 金鑰管理服務 API 會驅動封套加密處理程序。
下表列出可新增或移除資源上封套加密的 API 方法。
| 方法 | 說明 |
|---|---|
POST /keys/{root_key_ID}?action=wrap |
包裝(加密)資料加密金鑰。 |
POST /keys/{root_key_ID}?action=unwrap |
解除包裝(解密)資料加密金鑰。 |
若要進一步瞭解如何在 Hyper Protect Crypto Services中以程式化方式管理金鑰,請參閱 Hyper Protect Crypto Services 金鑰管理服務 API 參考資料文件。
下一步
在 Hyper Protect Crypto Services 中建立根金鑰,以將進階加密新增至雲端資源。 將資源新增至支援的雲端資料服務,然後選取您要用於進階加密的根金鑰。