IBM Cloud Docs
入門チュートリアル

入門チュートリアル

IBM® Key Protect for IBM Cloud® を使用すると、多くの IBM Cloud サービスのアプリケーションのために、暗号化された鍵をプロビジョンまたはインポートして中央の場所から鍵を管理することができます。 このチュートリアルでは、Key Protect ダッシュボードを使用して暗号鍵を作成したり、既存の暗号鍵をインポートしたりする方法を示します。 Key Protect で暗号鍵を管理して保護する方法や、適切なユース・ケースについて詳しくは、Key Protect についてを参照してください。

このチュートリアルのうち、Key Protect での鍵の作成またはインポートのプロセスについて説明しているバージョンについては、暗号鍵の作成とインポートを参照してください。

暗号鍵の概説

Key Protect ダッシュボードでは、新しい鍵を作成したり、既存の鍵をインポートしたりできます。

次の 2 つの鍵タイプから選択します。

  • ルート鍵: エンベロープ暗号化によって他の暗号鍵を保護するために使用される対称鍵。ルート鍵は Key Protect でお客様が完全に管理します。

  • 標準鍵: シークレットやパスワードなどのデータの暗号化/復号を直接行うために使用される対称鍵。

この資料のトピックの多くは、タスクの実行にコンソールを使用する場合と API を使用する場合の両方の方法について説明していますが、Key Protect API 用の API リポジトリーも別個に存在します。 その資料については、 Key Protect APIを参照してください。

新しい鍵の作成

Key Protect のインスタンスを作成すると、サービスで鍵を作成する準備が整います。 この例では、ルート鍵を作成します。

  1. IBM Cloud コンソールにログインします

  2. 「メニュー」>**「リソース・リスト」**に移動し、リソースのリストを表示します。

  3. IBM Cloud リソース・リストで、Key Protect のプロビジョン済みインスタンスを選択します。

  4. 新しい鍵を作成するには、**「追加」**をクリックします。 サイド・パネルが開きます。 **「鍵の作成 (Create a key)」**オプションが選択されていることを確認します。

    キーの詳細を以下のように指定します。

Create a key の設定について説明します。
設定 説明
タイプ Key Protect で管理する鍵のタイプ。 デフォルトでは、ルート鍵が選択されています。
キーの名前 鍵を簡単に識別するための (人間が理解できる) 表示名。 2 文字以上 90 文字以下の長さにする必要があります。 プライバシーを保護するため、鍵の名前には、個人の名前や場所などの個人情報 (PII) を含めないように注意してください。 鍵の名前は固有でなくてもかまいません。
キーの説明 オプション。 説明は、別名またはその名前を使用することができない方法で、キーに関する情報 (例えば、その目的を説明する句) を追加するための便利な方法です。 この説明は、2 文字以上 240 文字以下でなければならず、後で変更することはできません。 プライバシーを保護するため、名前や所在地などの個人情報を鍵の説明として使用しないでください。
キー・エイリアス オプション鍵の別名は、表示名の制限を超える鍵の説明を入力して、鍵の識別やグループ化を可能にするものです。 鍵には最大 5 つの別名を指定できます。
鍵リング オプション鍵リングとは、鍵をグループに分けて、各グループを必要に応じて独立して管理できるようにするものです。 どの鍵も 1 つの鍵リングに含まれていなければなりません。 鍵リングを選択しない場合、鍵は default 鍵リングに入れられます。 作成している鍵を鍵リングに配置するには、その鍵リングに対して_マネージャー_の役割を持っている必要があることに注意してください。 役割について詳しくは、ユーザーのアクセス権限の管理を参照してください。
ローテーション・ポリシー オプション管理者 役割 を持っている場合は、鍵の作成時に鍵のローテーション・ポリシーを設定できます。 デフォルトで鍵のローテーション・ポリシーを作成するための インスタンス・ポリシー が存在する場合は、鍵作成時にそのポリシーを別の間隔で上書きすることもできます。 注: このインスタンスに対する 管理者 役割 (または同等のレベルの権限) がない場合、このフィールドは表示されません。

鍵の詳細の記入が完了したら、**「鍵の作成 (Create key)」**をクリックして確認します。

サービス内で作成される鍵は、AES-CBC-PAD アルゴリズムによってサポートされている、対称 256 ビット鍵です。 セキュリティーを強化するために、鍵はセキュアな IBM Cloud データ・センターにある FIPS 140-2 レベル 3 認定ハードウェア・セキュリティー・モジュール (HSM) で生成されます。

ルート鍵の作成方法について詳しくは、ルート鍵の作成を参照してください。

標準鍵の作成方法について詳しくは、標準鍵の作成を参照してください。

独自の鍵のインポート

既存の鍵をサービスにインポートすることにより、独自の鍵の持ち込み (BYOK) によるセキュリティー上の利点を活用できます。 この例では、ルート鍵をインポートします。

既存の鍵を追加するには、以下の手順を実行します。

  1. IBM Cloud コンソールにログインします

  2. 「メニュー」>**「リソース・リスト」**に移動し、リソースのリストを表示します。

  3. IBM Cloud リソース・リストで、Key Protect のプロビジョン済みインスタンスを選択します。

  4. 鍵をインポートするには、**「追加」をクリックして、「独自の鍵をインポート (Import your own key)」**ウィンドウを選択します。

    キーの詳細を以下のように指定します。

設定 説明
キー・タイプ Key Protect で管理する鍵のタイプ。 **「ルート鍵」**ボタンを選択します。
名前 鍵を簡単に識別するための、人間が理解できる別名。 2 文字以上 90 文字以下の長さにする必要があります。

プライバシーを保護するため、鍵の名前には、個人の名前や場所などの個人情報 (PII) を含めないように注意してください。 鍵の名前は固有でなくてもかまいません。
キー素材 サービスで保管および管理する、base64 エンコードの鍵素材
        (既存の鍵ラップ鍵など)。 詳しくは、[鍵素材の Base64 でのエンコード](/docs/key-protect?topic=key-protect-import-root-keys#how-to-encode-root-key-material)を確認してください。 鍵素材が 16 バイト、24 バイト、または 32 バイトの長さであり、128 ビット、192 ビット、または 256 ビットの長さに相当することを確認してください。 鍵はまた base64 でエンコードされている必要があります。 |

| キーの説明 | オプション。 説明は、別名またはその名前を使用することができない方法で、キーに関する情報 (例えば、その目的を説明する句) を追加するための便利な方法です。 この説明は、2 文字以上 240 文字以下でなければならず、後で変更することはできません。 プライバシーを保護するため、名前や所在地などの個人情報を鍵の説明として使用しないでください。 | | キー・エイリアス | オプション鍵の別名は、表示名の制限を超える鍵の説明を入力して、鍵の識別やグループ化を可能にするものです。 鍵には最大 5 つの別名を指定できます。 | | 鍵リング | オプション鍵リングとは、鍵をグループに分けて、各グループを必要に応じて独立して管理できるようにするものです。 どの鍵も 1 つの鍵リングに含まれていなければなりません。 鍵リングを選択しない場合、鍵は default 鍵リングに入れられます。 作成している鍵を鍵リングに配置するには、その鍵リングに対して_マネージャー_の役割を持っている必要があることに注意してください。 役割について詳しくは、ユーザーのアクセス権限の管理を参照してください。 |

鍵のインポート時にローテーション・ポリシーを鍵に適用することはできません。 インポートされた鍵は 手動でローテート する必要があります。

鍵の詳細の記入が完了したら、**「鍵のインポート (Import key)」**をクリックして確認します。

Key Protect ダッシュボードで、新しい鍵の一般特性を検査できます。

鍵を Key Protect にインポートする前に鍵素材を暗号化することにより、Bring Your Own Key (BYOK) のための追加の保護の層をプログラマチックに有効にすることができます。

ルート鍵のインポート方法について詳しくは、ルート鍵のインポートを参照してください。

標準鍵のインポート方法について詳しくは、標準鍵のインポートを参照してください。

Key Protect の使用

  • ルート鍵をサービスに追加したら、保存データを暗号化する鍵をルート鍵で保護する方法について、鍵のラッピングで詳しく確認してください。

  • Key Protect サービスを他のクラウド・データ・ソリューションと統合する方法について詳しくは、統合の資料を確認してください。

  • プログラムによる鍵の管理についてさらに詳しく知りたい場合は 、 Key Protect のAPIリファレンス文書をご覧ください。

Key Protect の使用方法のベスト・プラクティス

最終的には、Key Protect の最適な使用方法はユース・ケースのニーズによって異なりますが、Key Protect に固有のベスト・プラクティスとして留意するべきものがいくつかあります。 これらの推奨事項は、IBM Cloud や IBM Cloud Object Storage のサービスを使用する際に遵守すべき一般的なベスト・プラクティスに追加して推奨されます。

セキュアなバックアップの使用

ルート鍵を Key Protect にインポートする場合は、鍵素材のセキュアなバックアップを維持することをお勧めします。 誤って鍵を削除した場合などに、その鍵素材を使用して同じ鍵を生成できます。 削除された鍵は、削除されてから 30 日以内であれば復元できます。30 日を過ぎたら、保管しておいた鍵素材を使用して、機能的に同じ鍵を作成することができます (例えば、その鍵を使用して、削除されたルート鍵で作成されていたデータ暗号鍵をアンラップできます)。 機能的に同じその鍵に付けられた固有の鍵 ID を使用し、エンドポイントを変更するように (新しい鍵を別のリージョンで作成した場合)、アプリケーションを更新する必要があります。

同じ素材を鍵の作成時に使用すると、機能的に同じ鍵が作成されるので、バックアップした鍵素材はセキュアに保護することをお勧めします。

同様に、元の鍵とは異なる Key Protect リージョンで鍵素材を使用して複製鍵を作成することで、ルート鍵をセキュアにバックアップすることもできます。

ルート鍵がローテートされるたびに新しい鍵素材が鍵に追加され、新しいバージョンの鍵が作成されます。 そのため、新しい素材を使用して、同等の鍵 (同じ鍵素材を使用して作成された複製鍵) を最新の状態に維持する必要があります。

複製鍵での鍵の別名の使用

同じ素材で作成された鍵は機能的に同じであるため (つまり、どちらの鍵でも同じデータをラップ/アンラップできるため)、このような鍵を別のリージョンで作成しておき、データ・センターが一時的に使用不可になった場合にバックアップとして使用することができます。 複製鍵には異なる鍵 ID が付けられますが、鍵の別名は同じものにすることができます。 その別名が、機能的に同じ鍵をまとめる役割を果たすので、それらのバックアップ鍵を指すようにアプリケーションを更新する作業が簡単になります。

鍵リングの使用

鍵リングを使用すると、同じ IAM アクセス権限を必要とするターゲットのユーザー・グループのために鍵のグループを作成できます。 これにより、鍵を管理するユーザーに合わせて、アカウント管理者が所有鍵を調整しやすくなるので、鍵ごと、ユーザーごとに権限を手動で更新するよりも誤操作が発生しにくくなります。

鍵のローテーション

ルート鍵のローテーション (つまり、新規バージョンの鍵の作成) を定期的に行う必要があります。 定期的なローテーションによって、鍵の「暗号期間」と呼ばれる期間が短くなります。また、担当者の離職、プロセスの不具合、セキュリティー問題の検出などの特定のケースでもローテーションを利用できます。

ルート鍵は手動でローテーションできます。Key Protect で作成した鍵であれば、鍵の所有者が設定したスケジュールに従ってローテーションすることもできます。 どちらを選択するかは、ユーザーの好みやユース・ケースのニーズによって決まります。

鍵のローテーションについて詳しくは、クラウドへの独自の暗号鍵の取り込みを参照してください。

独自の鍵素材の作成

キー マテリアル Base64-encode のは比較的簡単ですが、独自のキー マテリアルを作成するときは NIST ガイドラインに従うことが重要です。 鍵素材を適切に作成していないと、鍵の漏洩が発生しやすくなります。 適切な鍵素材を自分で作成する自信がなければ、鍵作成プロセスの一環として、Key Protect で鍵素材を自動作成することがベスト・プラクティスです。自動作成は最新の NIST ガイドラインに従っています。

この鍵素材を使用すると、機能的に重複する複製鍵を作成できるので、鍵素材を自分で作成した場合も、Key Protect で作成した鍵をエクスポートした場合も、必ず、鍵素材をセキュアに保護してください。