IBM Cloud Docs
暗号化によるデータの保護

暗号化によるデータの保護

IBM Cloud Schematics を使用する際に、どのようなデータが保存され、暗号化されるのか、また、保存されたユーザーデータをどのように削除できるのかを確認してください。

Schematics を使用する際、データを安全に管理するためには、どのようなデータが保存され、暗号化されるのか、また保存されたデータをどのように削除できるのかを知っておくことが重要です。 データ暗号化は、 Key Protect または Hyper Protect Crypto Servicesによって管理される鍵を使用して実行されます。

Schematics でのデータの保管と暗号化の方法

すべてのデータ、ユーザー入力、Terraform または Ansible 自動化コードの実行時に生成されたデータは IBM Cloud Object Storage に保存される。 データは、 IBM Cloud 管理対象ルート鍵による エンベロープ暗号化 手法を使用して、AES GCM 256 暗号化で暗号化されます。 Key Protect 管理対象ルート鍵は、 FIPS 140-2 Level 3 認定クラウド・ベースの ハードウェア・セキュリティー・モジュール(HSM)オンデマンド暗号化、キー管理、およびキー・ストレージをマネージド・サービスとして提供する物理アプライアンス。によって保護されます。

Schematics は、以下の 3 つのタイプのルート鍵管理をサポートします。

  1. Schematics は、 Key Protectによって管理されるルート鍵を所有します。 (デフォルト)
  2. Key Protectによって管理される Bring Your Own Key (BYOK)。
  3. Hyper Protect Crypto Services (HPCS) によって管理される Keep Your Ownkey (KYOK)

ユーザー管理鍵の使用について詳しくは、 BYOK または KYOK の KMS 統合 を参照してください。

Key Protect は、手動および自動の鍵ローテーションを提供します。 ルート・キーをローテーションすると、新しい鍵バージョンで Schematics リソースを再暗号化するために登録鍵が使用されます。 ローテーションが完了するまで、 Schematics リソースのメタデータ(詳細など)にアクセスできます。

鍵の削除または無効化

鍵の削除は復元できないアクションです。 Schematics リソースの暗号化に使用されるルート・キーを無効化または削除すると、アクティビティー・ログやジョブ・ログ、リソース・リスト、変数ストアなどのトランザクション・データにアクセスできなくなります。 ただし、メタデータの詳細にはアクセスできます。 さらに、 Schematics、その後のデプロイメントやコンフィギュレーション操作は失敗に終わる。 キーの削除または無効化イベントは IBM Cloud Logs Activity Tracker に送られる。

鍵の有効化または復元

ルート・キーを有効または復元 すると、無効または削除されたルート・キーのためにアクセスできない Schematics リソースのトランザクション・データにアクセスできるようになります。 デプロイメントまたは構成の操作に Schematics リソースを使用することもできます。 キーイネーブルまたはリストアイベントは、 IBM Cloud Logs Activity Tracker に送信される。

Schematicsに保管されている技術情報は何ですか?

Schematics ワークスペースを作成して使用すると、以下の技術データが暗号化されて保管されます。 -ワークスペースの詳細 -ワークスペース変数

  • ワークスペースが指すTerraform設定ファイル -Terraform 状態ファイル -Terraform ログ・ファイル -ユーザー・アクティビティー・ログ

情報はどこに保管されますか?

デフォルトでは、Schematics に保管されるすべての情報が、転送中と保管中に暗号化されます。 回復力と高可用性を確保するために、米国と EU の地域に保管されているすべてのデータは、同じ地域の複数の場所に複製されます。 処理する Schematics ロケーションを選択する場合は、これらの地理的ロケーションにデータを保管できることを確認してください。

ロケーション情報
地域 / ロケーション API エンドポイント 保管されるデータ 複製されたデータ
北米 Public
https://us.schematics.cloud.ibm.com

https://cloud.ibm.com/schematics/overview

Private
https://private-us.schematics.cloud.ibm.com(非推奨)		 すべてのデータ・オブジェクトは米国に保管される。 データは米国の 2 つのロケーション間で複製されます。
ダラス Public
https://us-south.schematics.cloud.ibm.com

Private
https://private-us-south.schematics.cloud.ibm.com		 すべてのデータオブジェクトはダラスの場所に保存される。 データは米国の 2 つのロケーション間で複製されます。
ワシントン Public
https://us-east.schematics.cloud.ibm.com

Private
https://private-us-east.schematics.cloud.ibm.com		 すべてのデータオブジェクトはワシントンの場所に保存される。 データは米国の 2 つのロケーション間で複製されます。
ヨーロッパ Public
https://eu.schematics.cloud.ibm.com

Private
https://private-eu.schematics.cloud.ibm.com(非推奨)		 すべてのデータオブジェクトはヨーロッパの場所に保存される。 データはヨーロッパの 2 つのロケーション間で複製されます。
フランクフルト Public
https://eu-de.schematics.cloud.ibm.com

Private
https://private-eu-de.schematics.cloud.ibm.com		 すべてのデータ・オブジェクトはフランクフルトに保管される。 データはヨーロッパの 2 つのロケーション間で複製されます。
ロンドン Public
https://eu-gb.schematics.cloud.ibm.com

Private
https://private-eu-gb.schematics.cloud.ibm.com		 すべてのデータオブジェクトはロンドンに保存される。 データはヨーロッパの 2 つのロケーション間で複製されます。
トロント Public
https://ca-tor.schematics.cloud.ibm.com

Private
https://private-ca-tor.schematics.cloud.ibm.com		 すべてのデータ・オブジェクトはトロント(ca-tor )に保存される。 サービス機能のすべてのメタデータはトロントの場所に保存される。

個人の情報はどのように暗号化されますか?

以下のイメージは、メインの IBM Cloud Schematics コンポーネントと運用データ・フローを示しています。 お客様管理の Key Protect および Hyper Protect Crypto Servicesを使用してユーザー・データを暗号化するための対話と、 IBM Cloud Object Storage 内のストレージについて説明します。

IBM Cloud Schematics アーキテクチャーおよびデータ暗号化プロセス
IBM Cloud Schematics アーキテクチャーおよびデータ暗号化プロセス

  1. ユーザーが Schematics API サーバーに Schematics ワークスペースを作成するリクエストを送信する。 ワークスペースに対して Schematics 操作を実行する権限がユーザーにあるかどうかを確認するための IAM 要求が出されます。
  2. API サーバーは、Terraform テンプレートと入力変数を、GitHub または GitLab ソース・リポジトリー、あるいはローカル・マシンからアップロードしたテープ・アーカイブ・ファイル (.tar) から取得します。 転送中のユーザー・データは TLS で保護されます。
  3. ワークスペースの作成、Terraformの実行プランの生成、プランの適用など、ユーザーが開始したアクションはすべて RabbitMQ、内部キューに追加される。 Schematics エンジンは、 RabbitMQ から要求を取得し、アクションを実行します。 転送中のユーザー・データは TLS で保護されます。
  4. Schematics エンジンは、クラウドリソースのプロビジョニング、変更、削除などのタスクを実行します。
  5. 保存されたユーザー・データを保護するために、 IBM Cloud Schematics は AES GCM 256 暗号化を使用してデータを暗号化します。 Key Protect および Hyper Protect Crypto Services で管理されるルート鍵を使用したエンベロープ暗号化は、データ・オブジェクト用の固有のデータ暗号鍵 (DEK) を生成して暗号化するために使用されます。
  6. ワークスペース・トランザクション・データは、ログや保存された Terraform tf.state ファイルなど、DEK を使用して暗号化されます。 IBM Cloud Object Storage バケットに保管されている暗号化データ。
  7. ワークスペースの運用データ、ワークスペース名とジョブ名、 IBM Cloud Object Storage 内のユーザー・データへのポインター、および検索キーは、 IBM Cloudantに保管されます。 Cloudant に保管されるすべての情報は AES 256 で暗号化されます。 Cloudant のデータ・セキュリティーおよび暗号化について詳しくは、 Cloudant Security を参照してください。

どうすれば情報を削除できますか?

IBM Cloud Schematics からデータを削除するには、以下のいずれかのオプションを選択します。

ワークスペースを削除する
ワークスペースを削除すると、ワークスペースに関連するすべてのデータが永久に削除されます。 IBM Cloud サポートケースを開く
ワークスペースと関連データを削除するには、 IBM サポートにお問い合わせください。 詳しくは、サポートの利用を参照してください。 IBM Cloud の購読を終了する
Schematics クリーンアップ・ジョブは、 IBM によって保存されているすべてのワークスペースが、アクティブな IBM Cloud アカウントに属していることを確認するために、1日に複数回実行される。 アクティブなアカウントが見つからない場合は、ワークスペースと関連するすべての保存データが削除されます。