IBM Cloud Docs
BYOK または KYOK の KMS 統合

BYOK または KYOK の KMS 統合

IBM Cloud® Schematics を統合することで、クラウドのリソース、サービス、アプリケーションで使用される暗号化キーのライフサイクルを管理し、エンタープライズグレードのキー管理を実現します。

鍵管理の起動

デフォルトでは、エンタープライズプランを使用して Schematics ワークスペースに保存するデータは、ランダムに生成されるキーを使用して暗号化されます。 暗号鍵を制御する必要がある場合は、IBM Key Protect を使用して、暗号化ルート鍵および標準鍵を作成、インポート、および管理できます。 その後、それらの鍵を Schematics リソース・デプロイメントに関連付けると、リソースを暗号化できます。

鍵管理サービス (KMS)、IBM Key Protect (BYOK)、および IBM Cloud Hyper Protect Crypto Services (KYOK) からの暗号鍵を使用して、Schematics に保管されているデータを暗号化して保護することができます。 Schematics における機密データの保護方法の詳細については、 Schematics における機密データの保護を 参照してください。

前提条件

鍵管理システムは、あなたの特定の場所と地域から作成されたインスタンスを一覧表示します。 KMS アクティビティーを実行するには、以下の前提条件に従ってください。

  • KYOK または BYOK が必要です。 IBM Key Protect 鍵を作成するには、 create BYOK を参照してください。 IBM Cloud Hyper Protect Crypto Services 鍵を作成するには、 KYOK の作成 を参照してください。

  • KYOK または BYOK インスタンスに対して「ルート鍵の追加」を実行する必要があります。

  • BYOKKYOK を Schematics サービスに統合するには、サービス許可へのサービスを構成する必要があります。 次の手順に従って、サービス許可 Key Protect に Schematics サービスへのアクセス権限を付与します。

    1. IBM Cloud コンソールで、「管理」>「アクセス (IAM)」をクリックし、「権限」>**「作成」**の順に選択します。
    2. Schematicsとして**「ソース・サービス」**を選択します。
    3. ターゲット・サービスKey Protect または Hyper Protect Crypto Services として選択します。 許可を与えたいインスタンスを選択します。
    4. 読者としての役割を選択します。
    5. 「許可」 をクリックします。

詳しくは、CLIおよび API を使用して作成する IAM 許可を参照してください。

KMS 設定は一回限りの設定です。 サポート・チケットを開いて KMS 設定を更新する必要があります。

UI を使用した IBM Key Protect の有効化

以下の手順に従い、Schematics を使用して鍵管理システムを起動します。

  1. IBM Cloudコンソールにログインします。

  2. メニューアイコンハンバーガーアイコン>Platform Automation>Schematics>Extensions をクリックします。

  3. ドロップダウンから 「接続」 > **「鍵管理」**をクリックします。

  4. サービスKey Protectまたは Hyper Protect Crypto Services として選択します。

  5. **「既存のインスタンスの選択」インスタンスを選択します。 インスタンスが作成されていない場合は、「新規インスタンスの作成」**を選択してIBM Key Protect または IBM Cloud Hyper Protect Crypto Services を作成します。 詳しくは、 鍵保護インスタンスの作成 を参照してください。

    前提条件が満たされている場合は、サービス・リストでインスタンスを表示できます。 または、**「キーなし」**というメッセージが表示されます。

  6. BYOK または KYOK 用に構成されている**「サービス」および「ルート・キー」**を選択します。

  7. **「更新」**をクリックして、Schematics リソース・デプロイメントと鍵の統合を完了します。

  8. 「起動」 アイコンをクリックすると、使用可能な鍵がリソース・リストに表示されます。

CLI を使用した IBM Key Protect の有効化

コマンド・ラインを使用してデータを暗号化するには、ルート・キーを Schematics に統合する手順に従います。

  1. コマンド・ラインのダウンロードとインストール

  2. IBM Cloud アカウント内のすべての KMS インスタンスをリストして、Key Protect インスタンスまたは Hyper Protect Crypto Services インスタンスを探します。

    ibmcloud schematics kms instances ls --location LOCATION_NAME --scheme ENCRYPTION_SCHEME

  3. ルート・キーを Schematics と統合して、指定された場所のデータを暗号化します。

    ibmcloud schematics kms enable --location LOCATION_NAME --scheme ENCRYPTION_SCHEME --group RESOURCE_GROUP --primary_name PRIMARY_KMS_NAME --primary_crn PRIMARY_KEY_CRN --primary_endpoint PRIMARY_KMSPRIVATEENDPOINT --secondary_name SECONDARY_KMS_NAME --secondary_crn SECONDARY_KEY_CRN --secondary_endpoint SECONDARY_KMSPRIVATEENDPOINT

  4. 現在のルート・キー情報を取得します。

    ibmcloud schematics kms info --location LOCATION_NAME

    BYOK コマンドまたは KYOK コマンドの有効化について詳しくは、 BYOK コマンドまたは KYOK コマンドの有効化 を参照してください。