Présentation de KMIP for VMware
Le service Key Management Interoperability Protocol (KMIP™) for VMware® fournit un service hautement disponible pour gérer les clés de chiffrement utilisées par VMware dans IBM Cloud®. Il propose une fonction d'exécution qui permet aux clients de créer, extraire, activer, révoquer et détruire des clés de chiffrement. Il offre également une fonction de gestion des associations entre les données d'identification du client et les clés de chiffrement.
Le service KMIP for VMware est disponible en tant que service autonome sans être associé à une instance VMware. Chaque instance du service peut servir une ou plusieurs instances VMware Cloud Foundation for Classic - Automated ou VMware Cloud Foundation for Classic - Flexible.
Les applications clients suivantes sont prises en charge :
- vCenter Serveur 6.7, 7.0, et 8.0
- vSphere 6.7 et 7.0
Spécifications techniques relatives à KMIP for VMware
Pour plus d'informations sur la planification et les besoins en ressources pour KMIP for VMware, voir Planification de KMIP for VMware.
Les spécifications suivantes sont incluses avec le service KMIP for VMware :
- Un protocole KMIP compatible avec VMware
- Deux services gérés - Key Protect et Hyper Protect Crypto Services
- Disponible dans plusieurs régions géographiques du monde entier
- Noeuds finaux de service de réseau KMIP hautement disponibles fournis dans chaque région
Avant de commander KMIP pour VMware
KMIP for VMware utilise le service IBM Key Protect ou le service IBM Hyper Protect Crypto Services (HPCS) pour créer, chiffrer et déchiffrer les clés de chiffrement.
Avant d'installer KMIP pour VMware, effectuez les tâches suivantes et consultez les informations suivantes :
-
Commandez une instance de service Key Protect ou HPCS utilisable dans la région IBM Cloud où votre instance KMIP pour VMware doit être hébergée. Si vous utilisez HPCS, en plus de provisionner le service HPCS, vous devez également initialiser votre instance de cryptographie afin que HPCS puisse fournir des fonctions liées aux clés.
Pour plus d'informations, consultez les rubriques suivantes :
-
Si vous utilisez Key Protect, effectuez les tâches suivantes :
- Créez un IBM Cloud identifiant de service en suivant les étapes décrites dans Création d'un identifiant de service dans la console. Cet ID de service permet d'accéder à l'instance Key Protect que vous avez créée.
- Accorder les niveaux d'accès suivants pour l'ID de service :
- Au niveau de l'accès à la plateforme - Droit d'affichage sur votre instance du service Key Protect ou HPCS.
- Au niveau de l'accès au service - Droit de gestionnaire sur votre instance du service Key Protect ou HPCS.
- Vous devez disposer d'une clé API pour l'identifiant de service créé. La clé API est requise lorsque vous commandez le service.
-
Importer ou créer au moins une clé racine de client (CRK) en utilisant l'interface graphique ou l'API de Key Protect ou HPCS.
Si vous utilisez HPCS, le CRK doit être créé dans le porte-clés par défaut de l'instance HPCS.
Pour plus d'informations sur Key Protect, voir les rubriques suivantes :
- Importation de clés racine
- Création de clés racine
- Création de jetons d'importation
- IBM Key Protect API
Pour plus d'informations sur les HPCS, voir les rubriques suivantes :
-
Assurez-vous que votre compte d'infrastructure IBM Cloud est activé pour VRF (Virtual Routing and Forwarding) et pour la connectivité aux noeuds finaux de service.
Pour plus d'informations, consultez les rubriques suivantes :
Seule la connexion privée est prise en charge. Par conséquent, il n'est pas nécessaire de configurer des règles de pare-feu ou de SNAT dans le serveur vCenter pour la connectivité réseau entre le serveur vCenter et le point d'extrémité de l'instance KMIP pour VMware. Pour plus d'informations, voir Architecture de solution KMIP for VMware.