IBM Cloud Docs
IBM Cloud Object Storage との統合

IBM Cloud Object Storage との統合

IBM® Key Protect for IBM Cloud® と IBM Cloud® Object Storage が連携して、保存データのセキュリティーをお客様が所有できるようにします。 以下に高度な暗号化を追加する方法を学習します。 IBM Cloud® Object Storage リソース (以下のサービスを使用して) IBM Key Protect サービス。

IBM Cloud Object Storage の概要

IBM Cloud Object Storage は、非構造化データ用のクラウド・ストレージを提供します。 非構造化データとは、ファイル、オーディオビジュアル・メディア、PDF、圧縮データ・アーカイブ、バックアップ・イメージ、アプリケーション成果物、ビジネス文書、その他のバイナリー・オブジェクトを指します。

データの保全性と可用性を維持するには、IBM Cloud Object Storage はデータをスライスして、複数の地理的位置にあるストレージ・ノードに分散します。 データの完全なコピーは、単一のストレージ・ノードには存在しません。ノードのサブセットが使用可能であれば、ネットワーク上のデータを完全に取り出すことができます。

プロバイダー・サイドで暗号化が提供されているため、データは保存中も移動中も保護されています。 ストレージを管理するには、 IBM Cloud コンソールを使用するか、プログラムで IBM Cloud Object StorageREST API

詳しくは COSについて。

統合が動作する仕組み

Key Protect は IBM Cloud Object Storage と統合して、データのセキュリティーを完全に制御できます。

ユーザーがデータを IBM Cloud Object Storage のインスタンスに移動すると、サービスは自動的にデータ暗号鍵 (DEK) を使用してオブジェクトを暗号化します。

IBM Cloud Object Storage 内で、DEK はサービス内の、暗号化したリソースの近くに安全に保管されます。 ユーザーがバケットにアクセスする必要がある場合、サービスはユーザー許可を検査し、ユーザーのためにバケット内のオブジェクトを暗号化解除します。 この暗号化モデルは、_プロバイダー・マネージド型の暗号化_と呼ばれます。

_カスタマー・マネージド型の暗号化_のセキュリティーの利点を有効にするために、Key Protect サービスと統合することにより、エンベロープ暗号化を IBM Cloud Object Storage の DEK に追加できます。 Key Protect を使用して、非常にセキュアなルート鍵をプロビジョンします。このルート鍵は、ユーザーがサービス内で管理するマスター鍵としての機能を果たします。

IBM Cloud Object Storage 内にバケットを作成する場合、バケットの作成時にエンベロープ暗号化を構成できます。 この追加された保護は、ユーザーが Key Protect 内で管理するルート鍵を使用して、バケットに関連付けられた DEK をラップ (つまり、暗号化) します。

_鍵ラッピング_と呼ばれるプラクティスでは、複数の AES アルゴリズムを使用して DEK のプライバシーと保全性を保護するため、DEK に関連付けられたデータへのアクセスを制御できるのユーザーはのみです。

図1は、Key Protectがどのように機能しているかを示している IBM Cloud Object Storage と統合して、暗号鍵をさらに保護する方法を示しています。

図は、エンベロープ暗号化のコンテクストビューを示している。
Contextual view of envelope encryption.

エンベロープ暗号化が、 Key Protect でどのように機能するかについて詳しくは、エンベロープ暗号化を使用したデータの保護を参照してください。

ストレージ・バケットへのエンベロープ暗号化の追加

でルート・キーを指定した後、Key Protectします。 サービス間のアクセス許可した後、以下を使用して、指定されたストレージ・バケットのエンベロープ暗号化を有効にすることができます IBM Cloud Object Storage GUI。

ストレージ・バケットの拡張構成オプションを有効にするには、IBM Cloud Object Storage と以下の間に許可が存在することを確認します。 Key Protect インスタンス。

ストレージ・バケットにエンベロープ暗号化を追加するには、以下の手順を実行します。

  1. IBM Cloud Object Storage ダッシュボードで、**「バケットの作成 (Create bucket)」**をクリックします。

  2. バケットの詳細を指定します。

  3. **「拡張構成」セクションで、「Key Protect 鍵の追加 (Add Key Protect Keys)」**を選択します。

  4. Key Protect サービス・インスタンスのリストから、鍵ラッピングに使用するルート鍵が入っているインスタンスを選択します。

  5. **「鍵の名前 (Key Name)」**に、ルート鍵の別名を選択します。

  6. **「作成」**をクリックして、バケットの作成を確認します。

IBM Cloud Object Storage GUI から、Key Protect ルート鍵で保護されたバケットを表示できます。

次の作業