IBM Cloud Docs
保护数据

保护数据

查看在使用 IBM Cloud Satellite®时存储哪些个人信息和敏感信息,如何存储和加密此数据以及如何永久除去此信息。

使用 IBM 和 Satellite存储了哪些信息?

对于您创建的每个位置,IBM 会存储某些个人信息和敏感信息。 根据信息类型,IBM 或您负责存储此信息并对其进行保护。 有关更多信息,请参阅 如何存储,备份和加密我的信息?

创建 Satellite 位置时存储的信息

当您创建 Satellite 位置时,将存储以下信息。

个人信息
创建位置的 IBM Cloud 帐户的电子邮件地址。
敏感信息
  • 用于分配的 Satellite 控制平面域的 TLS 证书和私钥。
  • 用于 TLS 证书的认证中心。
  • 用于加密 Satellite 控制平面域的 TLS 证书,私钥和认证中心的每个位置的 IBM拥有的加密密钥。
  • Satellite 控制平面和 Satellite 集群数据,可用于在灾难中复原控制平面和集群。

存储了您在 Satellite 中创建的资源中的信息

由于 Satellite 是 IBM Cloud 对您自己的环境的扩展,因此您可以创建许多资源,这些资源的元数据可以在 Satellite中进行存储,备份和加密。

请勿将敏感或个人可标识信息用于以下项的名称,标签,标记或其他元数据。

  • Satellite 资源,例如位置,主机,Satellite 链接端点,Satellite 配置,版本,预订,集群组名或存储配置。
  • Satellite启用的服务 资源,例如服务实例或集群的名称。
  • 在 Satellite 位置的集群中运行的受管 Kubernetes 资源,例如部署,pod,服务,私钥或配置映射的名称和资源定义。
  • 由 Satellite 配置管理的资源的定义,包括其数据。 敏感密钥或个人可标识信息可以使用 Secrets Manager进行管理,也可以使用 Key Protect进行加密。
  • 在 Satellite 位置中运行的任何其他资源。

如何使用 Satellite存储,备份和加密信息?

查看以下图像以了解如何存储,备份和加密个人信息和敏感信息。

Satellite data security
Satellite data security

(1) 所有个人和敏感信息
查看个人信息和敏感信息的位置,访问,备份和加密详细信息。
  • 位置: 所有数据都存储在位置的 Satellite 管理平面中的 Satellite 持久存储实例中。
  • 访问和数据管理: 持久存储器实例由 Satellite 控制平面服务团队拥有和管理。 您无法访问持久存储器实例中的数据。
  • 备份: 请参阅 2 和 3 以了解如何备份数据。
  • 加密: 使用 IBM拥有的 IBM Key Protect 服务实例中的客户根密钥对数据进行静态加密。
(2) 用于加密 Satellite 控制平面域的 TLS 证书,TLS 密钥和认证中心
查看 TLS 私钥和 CA 信息的位置,访问,备份和加密详细信息。
  • 位置: 数据从 Satellite 持久存储实例备份到 IBM拥有的 IBM Cloud Object Storage 实例。
  • 访问和数据管理: 对 IBM拥有的 IBM Cloud Object Storage 服务实例的访问权由 Cloud Identity and Access Management (IAM) 控制,并且仅授予 Satellite 服务团队和 IBM 站点可靠性工程师 (SRE)。
  • 备份: 每小时
  • 加密: 所有备份数据都在传输中受 IBM 创建并存储在 IBM拥有的 IBM Key Protect 服务实例中的根密钥保护。
(3) 所有 Satellite 控制平面和集群数据
查看控制平面和集群数据的位置,访问,备份和加密详细信息。
  • 位置: 将集群数据 (例如 etcd 数据) 从 Satellite 持久存储实例备份到客户拥有的 IBM Cloud Object Storage 实例。 控制平面数据 (例如,位置数据) 将发送到 IBM Cloud Object Storage。 创建位置时,必须具有现有 IBM Cloud Object Storage 实例。 您可以在 IBM Cloud Object Storage 实例中指定要使用的 Satellite 的现有存储区。 否则,将代表您在 Object Storage 实例中自动创建新存储区。管理平面数据由 IBM 备份,并存储在 IBM拥有的 Object Storage 实例中。Satellite 集群主数据将备份到您拥有的 Object Storage 实例。
  • 访问和数据管理: 对客户拥有的 IBM Cloud Object Storage 服务实例的访问权由 IAM 控制。
  • etcd 备份: 每 8 小时
  • 位置控制平面备份: 每小时
  • 加密: 使用 IBM Cloud Object Storage中的缺省内置加密机制自动加密数据。 您可以进一步选择使用 IBM Key Protect 中的根密钥来保护数据,并使用该密钥对存储区中的数据进行加密。 有关更多信息,请参阅 IBM Cloud Object Storage 文档

恢复位置或集群的时间取决于位置或集群的大小以及 IBM Cloud 与主机基础结构之间的网络等待时间。

在哪里可以找到有关受管服务存储的数据的信息?

您可以通过读取每个服务的数据安全性主题来查找有关受管服务所存储的数据的信息。

我的信息存储在哪个 IBM Cloud 区域中?

存储 Satellite 信息的位置取决于管理 Satellite 位置的控制平面的 IBM Cloud 区域。 通过选择最接近 Satellite 位置的基础结构提供程序的 IBM Cloud 区域,您的数据将自动分布在该区域的各个专区中以实现高可用性。 由于 IBM Cloud 区域的区域可能与您带到 Satellite 位置的基础架构主机所在的城市或国家或地区不同,因此请确保您的数据可以存储在所选 IBM Cloud 区域中。

如何除去我的信息?

查看您的选项以从 IBM Cloud Satellite中除去个人信息和敏感信息。

除去个人和敏感信息是永久的,不能撤销。 在继续之前,请确保要永久除去您的信息。

删除位置 不会从 IBM Cloud Satellite中除去所有信息。 删除位置时,将从 IBM管理的 etcd 实例中除去特定于位置的信息。 但是,您的信息仍然存在于以下位置。

  • IBM 管理的数据: Satellite 位置的备份位于 IBM Cloud Object Storage 中,仍可由 IBM 服务团队。 要除去 IBM 存储的所有数据,请在以下选项之间进行选择。 请注意,除去个人信息和敏感信息还需要删除所有 Satellite 位置。 请确保先备份数据,然后再继续操作。

    • 打开 IBM Cloud 支持案例: 请联系 IBM 支持人员,以从 IBM Cloud Satellite中除去个人信息和敏感信息。 有关更多信息,请参阅获取支持

    • 结束 IBM Cloud 预订: 结束 IBM Cloud 预订后,将永久除去所有个人信息和敏感信息。

  • IBM Cloud Object Storage 中的集群数据: 创建 Red Hat OpenShift on IBM Cloud 集群时,会将某些集群数据备份到帐户中的 Object Storage 实例。 要删除数据,请查看 Object Storage 文档

  • 本地主机上的集群数据: 由于集群主节点在 Satellite 位置控制平面主机上运行,因此在删除 Satellite 位置后,数据仍在基础结构提供程序中的物理主机上可用。 要删除数据,请查阅基础架构提供者文档以重新装入操作系统或删除主机。