使用加密保护数据
查看使用 IBM Cloud Schematics时存储和加密的数据,以及如何删除任何存储的用户数据。
为确保您在使用 Schematics 时能安全地管理数据,了解哪些数据被存储和加密以及如何删除任何存储的数据非常重要。 使用 Key Protect 或 Hyper Protect Crypto Services管理的密钥执行数据加密。
您的数据是如何存储和加密的?Schematics
在执行 Terraform 或 Ansible 自动化代码期间运行时生成的所有数据,用户输入和数据都存储在 IBM Cloud Object Storage中。 使用带有 IBM Cloud 受管根密钥的 包络加密 技术,使用 AES GCM 256 加密对静态数据进行加密。Key Protect 受管根密钥受 FIPS 140-2 Level 3 认证的基于云的 硬件安全模块(HSM)一种物理设备,用于提供随需应变加密、密钥管理和密钥存储作为受管服务。保护。
Schematics 支持三种类型的根密钥管理:
- Schematics 拥有由 Key Protect管理的根密钥。 (缺省值)
- 自带密钥 (BYOK),由 Key Protect管理。
- 保留您自己的密钥 (KYOK),由 Hyper Protect Crypto Services (HPCS) 管理
有关使用用户管理的密钥的详细信息,请参阅 KMS Integration for BYOK or KYOK。
密钥保护提供手动和自动密钥轮换。 轮换根密钥时,注册的密钥将用于使用新密钥版本重新加密 Schematics 资源。 您可以访问 Schematics 资源元数据,例如详细信息,直到轮换完成。
密钥删除或禁用
密钥删除是一种破坏性操作。 禁用或删除用于加密 Schematics 资源的根密钥时,无法访问事务数据,例如活动或作业日志,资源列表和变量存储。 但是,您可以访问元数据详细信息。 此外,通过 Schematics 执行的任何后续部署或配置操作都会导致失败。 按键删除或禁用事件将发送至 IBM Cloud Logs Activity Tracker。
密钥启用或复原
当您可以 启用或复原根密钥 时,由于已禁用或已删除的根密钥而不可访问的 Schematics 资源事务数据现在可访问。 您还可以将 Schematics 资源用于部署或配置操作。 密钥启用或恢复事件将发送至 IBM Cloud Logs Activity Tracker。
Schematics中存储了哪些技术信息?
创建和使用 Schematics 工作空间时,将加密并存储以下技术数据: -工作空间详细信息 -工作空间变量
- 工作区指向的 Terraform 配置文件 -Terraform 状态文件 -Terraform 日志文件 -用户活动日志
我的信息存储在哪里?
默认情况下,存储在 Schematics 中的所有信息在传输和静止时都经过加密。 为确保灾备能力和高可用性,在美国和欧盟地理区域中存储的所有数据都将在同一地理区域中的多个位置进行复制。 选择要使用的 Schematics 位置时,请验证数据是否可以存储在这些地理位置中。
| 地理位置/位置 | API 端点 | 存储的数据 | 已复制数据 |
|---|---|---|---|
| 北美洲 | Public https://us.schematics.cloud.ibm.com https://cloud.ibm.com/schematics/overview Private https://private-us.schematics.cloud.ibm.com(不推荐) |
所有数据对象都存储在美国位置。 | 在美国的两个位置之间复制数据。 |
| 达拉斯 | Public https://us-south.schematics.cloud.ibm.com Private https://private-us-south.schematics.cloud.ibm.com |
所有数据对象都存储在达拉斯位置。 | 在美国的两个位置之间复制数据。 |
| 华盛顿州 | Public https://us-east.schematics.cloud.ibm.com Private https://private-us-east.schematics.cloud.ibm.com |
所有数据对象都存储在华盛顿位置。 | 在美国的两个位置之间复制数据。 |
| 欧洲 | Public https://eu.schematics.cloud.ibm.com Private https://private-eu.schematics.cloud.ibm.com(不推荐) |
所有数据对象都存储在欧洲位置。 | 在欧洲的两个位置之间复制数据。 |
| 法兰克福 | Public https://eu-de.schematics.cloud.ibm.com Private https://private-eu-de.schematics.cloud.ibm.com |
所有数据对象都存储在法兰克福。 | 在欧洲的两个位置之间复制数据。 |
| 伦敦 | Public https://eu-gb.schematics.cloud.ibm.com Private https://private-eu-gb.schematics.cloud.ibm.com |
所有数据对象都存储在伦敦位置。 | 在欧洲的两个位置之间复制数据。 |
| 多伦多 | Public https://ca-tor.schematics.cloud.ibm.com Private https://private-ca-tor.schematics.cloud.ibm.com |
所有数据对象都存储在多伦多 (ca-tor) 位置。 |
服务功能的所有元数据都存储在多伦多位置。 |
我的信息是如何加密的?
下图显示了主 IBM Cloud Schematics 组件和操作数据流。 描述了使用客户管理的 Key Protect 和 Hyper Protect Crypto Services以及 IBM Cloud Object Storage 中的存储器对用户数据进行加密的交互。
- 用户向 Schematics API 服务器发送创建 Schematics 工作空间的请求。 将发出 IAM 请求以检查用户是否有权对工作空间执行 Schematics 操作。
- API 服务器从 GitHub 或 GitLab 源存储库或从本地计算机上载的磁带归档文件 (
.tar) 中检索 Terraform 模板和输入变量。 传输中的用户数据受 TLS 保护。 - 所有用户启动的操作,创建工作空间,生成 Terraform 执行计划或应用计划都会发送到 RabbitMQ 并添加到内部队列。 Schematics 引擎从 RabbitMQ 检索请求并执行操作。 传输中的用户数据受 TLS 保护。
- Schematics 引擎负责执行配置、修改或删除云资源的任务。
- 为了保护静态用户数据,IBM Cloud Schematics 使用 AES GCM 256 加密对数据进行加密。 使用通过 Key Protect 和 Hyper Protect Crypto Services 管理的根密钥进行包络加密用于生成和加密数据对象的唯一数据加密密钥 (DEK)。
- 工作空间事务数据使用 DEK 进行加密,包括日志和静态 Terraform
tf.state文件。 存储在 IBM Cloud Object Storage 存储区中的加密数据。 - 工作空间操作数据,工作空间和作业名,指向 IBM Cloud Object Storage 中用户数据的指针以及搜索键存储在 IBM Cloudant中。 存储在 Cloudant 中的所有信息都使用 AES 256 进行加密。 有关 Cloudant 数据安全性和加密的更多信息,请参阅 Cloudant 安全性。
如何删除我的信息?
要从 IBM Cloud Schematics中除去数据,请在以下选项中进行选择:
- 删除工作区
- 删除工作区后,与工作区相关的所有数据将被永久删除。 打开 IBM Cloud 支持案例
- 请联系 IBM 支持部门,通过打开支持案例删除您的工作区和任何相关数据。 有关更多信息,请参阅获取支持。 结束 IBM Cloud 订阅
- Schematics 清理任务每天运行多次,以验证 IBM 存储的所有工作空间是否属于活动的 IBM Cloud 账户。 如果找不到活动帐户,那么将删除工作空间以及所有关联的存储数据。