Datenverschlüsselung planen
Wenn Sie eine Datenverschlüsselungsstrategie für Ihre Block Storage for VPC, Snapshots, File Storage for VPC oder benutzerdefinierten Images planen, ist diese Checkliste vielleicht hilfreich.
Auf die Datenverschlüsselung bezogene Planung
Ziehen Sie vor dem Einrichten der Datenverschlüsselung für Ihre VPC-Ressourcen die folgenden im Vorfeld auszuführenden Schritte in Betracht:
| Hinweise |
|---|
| überlegen Sie, wie viel Kontrolle Sie über Ihre Datenverschlüsselung haben möchten. Von IBMverwaltete Verschlüsselung wird standardmäßig für Bootdatenträger, Datenträger für Daten und Dateifreigaben bereitgestellt. Bei der vom Kunden verwalteten Verschlüsselung besitzen Sie die Verschlüsselungsschlüssel und kontrollieren den Verschlüsselungsprozess. |
| __ Prüfen Sie für verschlüsselte angepasste Images die Imagevoraussetzungen und die unterstützten Betriebssysteme und machen Sie sich mit dem Erstellen und Importieren von angepassten QCOW2-Imagedateien vertraut. Weitere Informationen hierzu finden Sie unter Angepasste Images planen. |
| __ Bewerten Sie, welcher Schlüsselmanagementservice Ihren Anforderungen am besten entspricht. Ermitteln Sie die Verfügbarkeit dieser Services in Ihrer Region und Zone. |
| legen Sie fest, ob Ihr Konto den Zugriff autorisieren kann Für Cloud Block Storage wie das quelldienst, müssen Lite-Konten upgrade auf ein Pay-As-You-Go-System Konto oder ein Abonnementkonto. Weitere Informationen finden Sie unter IBM Cloud Cloud-Kontotypen Für File Storage for VPC geben Sie unter (Quelldienst) VPC-Infrastrukturdienste an, markieren das Feld (Ressourcentyp) und wählen File Storage for VPC und Key Protect (Zieldienst) Für benutzerdefinierte Bilder autorisieren Sie den Zugriff zwischen Image Service für VPC (Quelldienst) und IBM Cloud Object Storage (Zieldienst). Geben Sie für die Rolle den Lesezugriff an. Filtern Sie bei allen VPC-Quelldiensten nicht nach Ressourcengruppen. Aktivieren Sie nicht das Kontrollkästchen für die Ressourcengruppe. |
| __ Ziehen Sie für die vom Kunden verwaltete Verschlüsselung aus Gründen höherer Sicherheit in Betracht, mehrere Rootschlüssel zu importieren oder zu erstellen und Ihre Schlüssel zu wechseln. |
| __ Stellen Sie sicher, dass Sie einen eindeutigen Namen für Ihre virtuellen Serverinstanzen, Datenträger und Dateifreigaben haben. Wenn Sie beispielsweise über eine Methode zum Benennen von Datenträgern mit vom Kunden verwalteter Verschlüsselung verfügen, erleichtern diese aussagekräftigen Namen ein späteres Filtern und Lokalisieren Datenträger erheblich. |
| __ Legen Sie fest, wie lange Sie die Ressource aufbewahren möchten und ob Sie Daten unzugänglich machen aus irgendeinem Grund verwenden möchten. |
Voraussetzungen für die Konfiguration der vom Kunden verwalteten Verschlüsselung
Um die vom Kunden verwaltete Verschlüsselung für Ihre VPC-Ressourcen zu konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen.
Voraussetzungen für Block- und Dateispeicher
Stellen Sie einen Schlüsselverwaltungsdienst (KMS) bereit, und autorisieren Sie den Zugriff zwischen Ihrer VPC-Ressource und dem KMS.
-
Bei der Bereitstellung eines KMS können Sie zwischen Key Protect und Hyper Protect Crypto Services wählen. Befolgen Sie die verlinkten Anleitungen zur Bereitstellung einer Serviceinstanz und zum Erstellen oder Importieren eines Kundenstammschlüssels.
-
Autorisieren Sie von IBM Cloud Identity and Access Management (IAM) aus den Zugriff zwischen Cloud Block Storage oder Cloud File Storage (Quelldienst) und dem Ziel-KMS-Dienst ( Key Protect oder Hyper Protect Crypto Services ). Weitere Informationen finden Sie unter Einrichten von Service-to-Service-Berechtigungen für File Storage for VPC und Einrichten von Service-to-Service-Berechtigungen für Block Storage for VPC.
Möglicherweise müssen Sie Ihr Konto auf ein nutzungsabhängiges Konto aktualisieren, um diesen Vorgang abzuschließen. Weitere Informationen finden Sie unter Heraufstufen auf ein kostenpflichtiges Konto.
Voraussetzungen für verschlüsselte angepasste Images
Wenn Sie ein verschlüsseltes benutzerdefiniertes Image importieren möchten, befolgen Sie die Anweisungen unter Einrichten des Schlüsselverwaltungsdienstes und der Schlüssel.