Creación de volúmenes de almacenamiento en bloque con cifrado gestionado por el cliente
De forma predeterminada, los volúmenes de datos y de arranque de Block Storage for VPC se cifran con cifrado gestionado por IBM. También puede utilizar un servicio de gestión de claves soportado para crear o importar la clave raíz de cliente y utilizarla para crear un cifrado de ensobrado.
Antes de empezar
CrearBlock Storage Para volúmenes con cifrado administrado por el cliente, debe tener su propia clave raíz de cliente. Puede aprovisionar un servicio de administración de claves (KMS) y crear o importar su clave raíz de cliente (CRK). Puedes elegir entre Key Protect y Hyper Protect Crypto Services. Entonces,crear una autorización de servicio a servicio entreBlock Storage for VPC y la instancia de KMS que creó.
También es posible utilizar una clave raíz de cliente de otra cuenta. EnIBM Cloud, el KMS puede estar ubicado en la misma cuenta o en otra cuenta que el servicio que utiliza una clave de cifrado. Este patrón de implementación permite a las empresas administrar de forma centralizada las claves de cifrado para todas las cuentas corporativas. Para más información, ver Gestión de claves de cifrado.
Configurar todo lo necesario autorizaciones de servicio a servicio autorizaciones de servicio a servicio autorizaciones de servicio a servicio autorizaciones de servicio a servicio entre Cloud Block Storage (servicio de origen) y la instancia de KMS (servicio de destino) que contiene la clave raíz del cliente. Si está aprovisionando volúmenes con una CRK de otra cuenta, comuníquese con el administrador de esa cuenta para configurar la autorización y el CRN de la clave raíz que se comparte. Si está aprovisionando una instancia con una imagen personalizada, también debe autorizar entre el Servicio de imágenes para VPC (servicio de origen) y IBM Cloud® Object Storage (servicio objetivo).
Crear volúmenes de datos con cifrado administrado por el cliente en la consola
Este procedimiento explica cómo especificar el cifrado gestionado por el cliente al crear un volumen de almacenamiento en bloques autónomo.
- En la IBM Cloud consola, haga clic en el icono Menú de navegación
>Infraestructura
>Almacenamiento > Block Storage para ver una lista de sus volúmenes de Block Storage. - Pulse Crear.
- Revise la información sobre la ubicación. La geografía, la región y la zona se heredan del VPC (por ejemplo, Norteamérica, Dallas,Dallas-1 ). Puede seleccionar una zona diferente en su ubicación desde el menú haciendo clic
en el Editar icono
. - En el Detalles, debe especificar el nombre del volumen y el grupo de recursos al que se agregará el volumen. Opcionalmente, puede agregar etiquetas de administración de usuarios y accesos.
-
Especifique un nombre significativo para el volumen. Por ejemplo, especifique un nombre que describa la función de cálculo o de carga de trabajo.
El nombre del volumen debe empezar por una letra minúscula. El nombre del volumen puede tener hasta 63 caracteres alfanuméricos en minúscula e incluir el guión (-). Los nombres de los volúmenes deben ser únicos en toda la infraestructura de VPC. Puedes editar el nombre más tarde.
-
Especifique un grupo de recursos.
-
Especificar etiquetas de usuario para organizar sus recursos y para su uso por políticas de respaldo.
-
Especificar etiquetas de gestión de acceso que se crearon en IAM para ayudarle a administrar el acceso a sus volúmenes.
-
- En el Configuraciones opcionales En la sección, puede especificar si desea crear el volumen con datos de una instantánea. Además, puede optar por aplicar una política de respaldo.
- Importar desde instantánea: seleccione Importar instantánea existente para ver la lista de instantáneas disponibles, o Importar instantánea por CRN e indique el CRN de la instantánea que desea utilizar. Puede crear volúmenes de datos con instantáneas que no son de arranque y volúmenes de inicio con instantáneas de arranque. El nuevo volumen de almacenamiento en bloque hereda su valor de generación de almacenamiento de la instantánea y solo se le pueden aplicar perfiles de volumen de la misma generación.
- Aplicar política de respaldo: haga clic Aplicar para ver pólizas y planes disponibles.
- En el Perfil En la sección, puede especificar el perfil de rendimiento de su volumen, sus IOPS y su capacidad.
- Seleccionar disponibilidad Como cliente de la lista de permitidos, puede seleccionar elperfil
sdp. A continuación, especifica la capacidad de tu volumen y las IOPS necesarias. El tamaño del volumen puede oscilar entre 1 y 32.000 GB. Puede especificar IOPS en el rango de 100 - 64.000. - Puede seleccionar uno de los perfiles escalonados. Después de seleccionar propósito general, 5iops-tier o 10iops-tier, el siguiente paso es especificar la capacidad del volumen. Los tamaños de volumen pueden ser de 10 - 16.000 GB.
- Puedes seleccionar el perfil personalizado si los requisitos de rendimiento de tu aplicación no entran dentro de ninguno de los niveles de IOPS. A continuación, especifica el tamaño de tu volumen y las IOPS en el rango apropiado para la capacidad del volumen. Los tamaños de volumen pueden ser de 10 - 16.000 GB. A medida que escribe el valor de IOPS, la interfaz de usuario muestra el rango aceptable. También puedes hacer clic en el enlace de tamaño de almacenamiento para ver el tamaño y los rangos de IOPS del perfil de volumen personalizado.
- Seleccionar disponibilidad Como cliente de la lista de permitidos, puede seleccionar elperfil
- En el Cifrado en reposo sección, puede optar por mantener el cifrado conIBM-Claves administradas que están habilitadas de forma predeterminada en todos los volúmenes. O puedes elegir usar tu propia clave de cifrado seleccionando su servicio de gestión de claves: Key Protect o Hyper Protect Crypto Services. Para localizar su clave de cifrado, seleccione una de las siguientes opciones:
- Localizar por instancia:
- Seleccione la instancia de cifrado de datos de la lista. Si aún no tiene una instancia, puede hacer clic en el enlace para crear una.
- Seleccione la clave de cifrado de datos que está almacenada en la instancia de KMS para usarla para cifrar el volumen.
- Localizar por CRN: introduzca el CRN de la clave raíz del cliente que se utilizará para cifrar el volumen. Elija esta opción si está utilizando el CRK de otra cuenta.
- Localizar por instancia:
- Una vez completados los cambios, haga clic en Crear volumen de almacenamiento en bloque.
Al actualizar la lista de volúmenes Block Storage en la consola, el nuevo volumen aparece al principio de la lista de volúmenes con el tipo de cifrado gestionado por el cliente. Cuando se crea el volumen, muestra el estado Disponible.
Para los volúmenes independientes, la columna Tipo de anexo está en blanco (-). El menú Acciones 
al final de una fila de la tabla proporciona
un enlace para adjuntar un volumen Block Storage a una instancia.
Creación de volúmenes de datos con cifrado gestionado por el cliente desde la CLI
Requisitos previos
Para poder utilizar la CLI, debe instalar la CLI de IBM Cloud y el plugin de la CLI de VPC. Para obtener más información, consulte los Requisitos previos de la CLI.
-
Inicie la sesión en IBM Cloud.
ibmcloud login --sso -a cloud.ibm.comEste mandato devuelve un URL y solicita un código de acceso. Vaya a ese URL en el navegador e inicie la sesión. Si se ejecuta correctamente, recibe un código de acceso de un solo uso. Copie este código de acceso y péguelo como respuesta en la solicitud. Después de una autenticación correcta, se le solicitará que elija su cuenta. Si tiene acceso a varias cuentas, seleccione la cuenta con la que desea iniciar sesión. Responda a cualquier solicitud restante para finalizar el inicio de sesión.
-
Recopile la información necesaria, como el CRN de la clave raíz que desea utilizar para cifrar el volumen de almacenamiento en bloque.
- Utilice el mandato
ibmcloud resource service-instancespara localizar las instancias de KMS.$ ibmcloud resource service-instances Retrieving all instances of all services in resource group Default and all locations under account Test Account as test.user@ibm.com... OK Name Location State Type Key Protect-17 us-south active service_instance HS-Crypto-60 us-south active service_instance - Recupere el ID de instancia para la instancia de KMS con el mandato
ibmcloud resource service-instance.ibmcloud resource service-instance "Key Protect-17" --id Retrieving service instance Key Protect-17 in resource group Default under account Test Account as test.user@ibm.com... crn:v1:bluemix:public:kms:us-south:a/a1234567-3jkl4xxxx567::7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7::finales del CRN. En este ejemplo, es7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7. - Enumera las claves disponibles y sus CRN asociados para la instancia de servicio Key Protect especificando el ID de instancia.
$ ibmcloud kp keys -c --instance-id 7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7 Retrieving keys... SUCCESS Key ID Key Name CRN ef1gxxxh-ijxx-234x-56k7-xxxxlmnoxxp8 test-key crn:v1:bluemix:public:kms:us-south:a/a1234567:key:ef1gxxxh-ijxx-234x-56k7-xxxxlmnoxxp8 cdex12ef-xxxg-3hxx-i456-7xxx8jk9xl12 vsi_encrypt_root_key crn:v1:bluemix:public:kms:us-south:a/a1234567:key:cdex12ef-xxxg-3hxx-i456-7xxx8jk9xl12 c12xxxx3-45d6-7efg-xxx8-9xxx12345x6h vsi_encrypt_key crn:v1:bluemix:public:kms:us-south:a/a1234567:key:c12xxxx3-45d6-7efg-xxx8-9xxx12345x6h
Siguiendo los pasos anteriores, puede recuperar el CRN de la clave raíz del cliente de su cuenta. Si la clave raíz del cliente pertenece a otra cuenta, solicite el CRN al administrador de su cuenta.
Los nombres de volumen válidos pueden incluir una combinación de caracteres alfanuméricos en minúsculas (a-z, 0-9) y el guion (-), con un máximo de 63 caracteres. Los nombres de volumen deben empezar por una letra minúscula. Los nombres de volumen deben ser exclusivos en toda la infraestructura de VPC.
- Utilice el mandato
Crear volúmenes de datos con cifrado gestionado por el cliente desde la CLI
Para crear un volumen de datos con cifrado administrado por el cliente desde la CLI, primero recopile el CRN de la clave raíz del cliente y luego use el ibmcloud is volume-create comando con el --encryption-key opción.
La opción encryption_key debe especificar un CRN válido para la clave raíz en el servicio de gestión de claves.
El siguiente ejemplo muestra un volumen creado con cifrado gestionado por el cliente.
$ ibmcloud is volume-create my-customer-key-volume custom us-east-1 --capacity 300 --iops 1500 --encryption-key crn:v1:bluemix:public:kms:us-east:a/a1234567:3b05b403-8f51-4dac-9114-c777d0a760d4:key:7a8a2761-08e3-455f-a348-144ed604bba9
Creating volume my-customer-key-volume under account Test Account as user test.user@ibm.com...
ID r014-3984600c-6f4d-4940-82de-519a867fa3c0
Name my-customer-key-volume
CRN crn:v1:bluemix:public:is:us-east-1:a/a1234567::volume:r014-3984600c-6f4d-4940-82de-519a867fa3c0
Status pending
Attachment state unattached
Capacity 300
IOPS 1500
Bandwidth(Mbps) 3145
Profile custom
Encryption key crn:v1:bluemix:public:kms:us-east:a/a1234567:3b05b403-8f51-4dac-9114-c777d0a760d4:key:7a8a2761-08e3-455f-a348-144ed604bba9
Encryption user_managed
Resource group defaults
Created 2024-09-24T20:10:52+00:00
Zone us-east-1
Health State inapplicable
Volume Attachment Instance Reference -
Active false
Adjustable Capacity States attached
Adjustable IOPS State attached
Busy false
Tags -
Storage Generation 1
También puede crear volúmenes con cifrado gestionado por el cliente cuando suministre la instancia.
Creación de volúmenes de datos con cifrado gestionado por el cliente con la API
Puede crear volúmenes de datos con cifrado gestionado por el cliente mediante programación llamando al método /volumes en la API de VPC tal como se
muestra en la siguiente solicitud de ejemplo. Utilice la propiedad encryption_key para especificar su clave raíz de cliente (CRK), que en el ejemplo se muestra como crn:[...key:...].
Los nombres de volumen válidos pueden incluir una combinación de caracteres alfanuméricos en minúsculas (a-z, 0-9) y el guion (-), con un máximo de 63 caracteres. Los nombres de volumen deben empezar por una letra minúscula. Los nombres de volumen deben ser exclusivos en toda la infraestructura de VPC.
En el ejemplo siguiente se crea un volumen de datos de finalidad general con cifrado gestionado por el cliente.
curl -X POST \
"$vpc_api_endpoint/v1/volumes?version=2025-02-18&generation=2" \
-H "Authorization: $iam_token" \
-d '{
"name": "my-volume-1",
"iops": 100,
"capacity": 20,
"zone": {"name": "us-south-3"},
"profile": {"name": "general-purpose"},
"encryption_key":{"crn":"crn:[...key:...]"},
"resource_group": {"id": "a342dbfb-3ea7-48d1-96e8-2825ec5feab4"}
}
Una respuesta satisfactoria tiene un aspecto similar al del ejemplo siguiente.
{
"id": "8948ad59-bc0f-7510-812f-5dc64f59fab8",
"crn": "crn:[...]",
"name": "my-volume-1",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/8948ad59-bc0f-7510-812f-5dc64f59fab8",
"capacity": 20,
"iops": 100,
"encryption_key": {"crn": "crn:[...key:...]"},
"encryption": "user_managed",
"status": "available",
"zone": {
"name": "us-south-3",
"href": "https://us-south.iaas.cloud.ibm.com/v1/regions/us-south/zones/
us-south-3"
},
"profile": {
"name": "general-purpose",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volume/profiles/general-purpose"
},
"resource_group": {
"id": "a342dbfb-3ea7-48d1-96e8-2825ec5feab4",
"href": "https://resource-controller.cloud.ibm.com/v2/resource_groups/
a342dbfb-3ea7-48d1-96e8-2825ec5feab4",
"name": "Default"
},
"storage_generation": 1,
"volume_attachments": [],
"created_at": "2025-02-18T16:03:22.000Z"
}
Aprovisionar una instancia con un volumen de inicio cifrado con una clave administrada por el cliente en la consola
Cuando aprovisiona una instancia de servidor virtual, puede especificar el cifrado gestionado por el cliente para su volumen de arranque y cualquier volumen de datos que desee añadir. Si lo desea, puede utilizar una combinación de cifrado gestionado por el proveedor y cifrado gestionado por el cliente para los volúmenes que están asociados a la instancia.
Siga estos pasos para crear una instancia con un nuevo volumen de almacenamiento en bloque.
- En la IBM Cloud consola, haga clic en el icono Menú de navegación >Infraestructura
>Computación >Instancias de servidor virtual.
- Pulse en Nueva instancia y complete los campos obligatorios. Para más información sobre estos campos obligatorios, consulte Tabla 1 - Selecciones de aprovisionamiento de instancias en Creación de instancias de servidor virtual.
- En la sección Volumen de arranque, el modo predeterminado de cifrado es Gestionado por proveedor. Para especificar el cifrado gestionado por el cliente, pulse el icono Editar en la fila del volumen de arranque.
- En la página Editar volumen de arranque, actualice los campos de la sección Cifrado. Seleccione su servicio de gestión de claves: (Key Protect oHyper Protect Crypto Services ). Para localizar su clave de cifrado,
seleccione una de las siguientes opciones:
- Localizar por instancia:
- Seleccione la instancia de cifrado de datos de la lista. Si aún no tiene una instancia, puede hacer clic en el enlace para crear una.
- Seleccione la clave de cifrado de datos que está almacenada en elKey Protect instancia que se utilizará para cifrar el volumen.
- Localizar por CRN: introduzca el CRN de la clave raíz del cliente que se utilizará para cifrar el volumen. Elija esta opción si está utilizando una CRK de otra cuenta.
- Localizar por instancia:
- Cuando haya completado los cambios, pulse Aplicar.
- En la sección Volumen de almacenamiento en bloques conectado, puede pulsar Nuevo volumen de almacenamiento en bloques para añadir un volumen de datos y especificar el cifrado gestionado por el cliente. En la página Nuevo volumen de almacenamiento en bloques, actualice los campos de la sección Cifrado. Consulte la Tabla 1 para obtener más información. Cuando haya completado los cambios, pulse Conectar.
Aprovisionamiento de una instancia con un volumen de inicio cifrado con una clave administrada por el cliente desde la CLI
Utilice el mandato ibmcloud is instance-create para crear una instancia con cifrado gestionado por el cliente para los volúmenes de arranque y de datos. La siguiente sintaxis muestra
cómo puede especificar el --boot-volume y --volume-attach properties para incluir archivos JSON que definen sus volúmenes.
ibmcloud is instance-create INSTANCE_NAME VPC ZONE_NAME PROFILE_NAME SUBNET --image-id IMAGE_ID [--boot-volume @BOOT_VOLUME_JSON_FILE] [--volume-attach @VOLUME_ATTACH_JSON_FILE]...
El siguiente ejemplo de BOOT_VOLUME_JSON_FILE define las propiedades del volumen de arranque. La propiedad encryption key contiene el CRN de la clave raíz para el cifrado gestionado por el cliente.
{
"name":"volume-attachment-1",
"volume":{
"name":"boot-volume-1",
"capacity":250,
"profile":{"name":"general-purpose"},
"encryption_key":{"crn":"crn:[...key:...]"}
},
"delete_volume_on_instance_delete":true
}
El siguiente VOLUME_ATTACH_JSON_FILE ejemplo define un volumen de datos con el perfil 10iops-tier y cifrado gestionado por el cliente.
{
"name":"volume-attachment-1",
"volume":{
"name":"data-volume-1",
"capacity":2000,
"profile":{"name":"10iops-tier"},
"encryption_key":{"crn":"crn:[...key:...]"}
},
"delete_volume_on_instance_delete":true
}
Aprovisionamiento de una instancia con un volumen de inicio cifrado con una clave administrada por el cliente con la API
Puede crear instancias de servidor virtual con volúmenes de arranque que utilicen el cifrado gestionado por el cliente mediante programación llamando al método /instances en la API de VPC tal como se muestra en la siguiente solicitud de ejemplo. Utilice la propiedad encryption_key para especificar su clave raíz de cliente (CRK), que en el ejemplo se muestra como crn:[...key:...].
En el ejemplo siguiente se crea una instancia con un volumen de arranque con cifrado gestionado por el cliente y dos volúmenes secundarios con cifrado gestionado por el cliente.
curl -X POST \
"$vpc_api_endpoint/v1/instances?version=version=2020-03-10&generation=2" \
-H "Authorization: $iam_token" \
-d '{
"boot_volume_attachment":{
"volume": {
"name":"boot-volume-1",
"profile": {"name": "general-purpose"},
"encryption_key": {"crn": "crn:[...key:...]"}}},
"volume_attachments": [
{"volume": {
"name": "my-volume-1",
"capacity": 1500,
"profile": {"name": "general-purpose"},
"encryption_key": {"crn": "crn:[...key:...]"}}},
{"volume": {
"name": "my-volume-2",
"capacity": 2000,
"profile": {"name": "general-purpose"},
"encryption_key": {"crn": "crn:[...key:...]"}}}],
"image": {"id": "9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366"},
"keys": [{"id": "cf7678a3-d4fa-458b-993d-015bd4aeac80"}],
"name": "my-test-vm2",
"virtual_network_interface": {"subnet": {"id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4"}},
"profile": {"name": "cx2-2x4"},
"vpc": {"id": "f0aae929-7047-46d1-92e1-9102b07a7f6f"},
"zone": {"name": "us-south-3"}
}'
Una respuesta satisfactoria tiene un aspecto similar al del ejemplo siguiente. El volumen de arranque aparece tanto en boot_volume_attachment como en volume_attachment.
{
"id": "eb1b7391-2ca2-4ab5-84a8-b92157a633b0",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/eb1b7391-2ca2-4ab5-84a8-
b92157a633b0",
"name": "my-test-vm2",
"bandwidth": 4000,
"resource_group": {
"id": "08b7af6d-41d9-435a-8b22-fd8f640863a5",
"href": "https://resource-controller.cloud.ibm.com/v2/resource_groups/
08b7af6d-41d9-435a-8b22-fd8f640863a5",
"name": "Default"
},
"boot_volume_attachment": {
"id": "a8a15363-a6f7-4f01-af60-715e85b28141",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/eb1b7391-2ca2-4ab5-
84a8-b92157a633b0/volume_attachments/7389-a8a15363-a6f7-4f01-af60-
715e85b28141",
"name": "volume-attachment",
"volume": {
"id": "49c5d61b-41e7-4c01-9b7a-1a97366c6916",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/49c5d61b-41e7-
4c01-9b7a-1a97366c6916",
"name": "boot-volume-1"
}
},
"created_at": "2020-04-20T16:11:57Z",
"image": {
"id": "9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/images/
9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366",
"name": "ubuntu-amd64-1"
},
"memory": 4,
"network_interfaces": [
{
"id": "7ca88dfb-8962-469d-b1de-1dd56f4c3275",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
4aa2-a8d7-703aac843651/network_interfaces/7ca88dfb-8962-469d-b1de-
1dd56f4c3275",
"name": "helpless-profanity-unmixable-fool-hazard-staging",
"primary_ipv4_address": "",
"subnet": {
"id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/subnets/7389-bea6a632-
5e13-42a4-b4b8-31dc877abfe4",
"name": "my-byok-vpc-subnet"
}
}
],
"primary_network_interface": {
"id": "7ca88dfb-8962-469d-b1de-1dd56f4c3275",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-4aa2-
a8d7-703aac843651/network_interfaces/7ca88dfb-8962-469d-b1de-1dd56f4c3275",
"name": "network-interface-1",
"primary_ipv4_address": "10.0.0.32",
"subnet": {
"id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/subnets/bea6a632-5e13-
42a4-b4b8-31dc877abfe4",
"name": "my-byok-vpc-subnet"
}
},
"profile": {
"name": "cx2-2x4",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instance/profiles/cx2-2x4"
},
"status": "running",
"vcpu": {
"architecture": "amd64",
"count": 2
},
"volume_attachments": [
{
"id": "a8a15363-a6f7-4f01-af60-715e85b28141",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
4aa2-a8d7-703aac843651/volume_attachments/7389-a8a15363-a6f7-4f01-af60-
715e85b28141",
"name": "volume-attachment",
"volume": {
"id": "49c5d61b-41e7-4c01-9b7a-1a97366c6916",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/49c5d61b-41e7-
4c01-9b7a-1a97366c6916",
"name": "boot-volume-1"
}
},
{
"id": "e77125cb-4df0-4988-a878-531ae0ae0b70",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
4aa2-a8d7-703aac843651/volume_attachments/7389-e77125cb-4df0-4988-a878-
531ae0ae0b70",
"name": "volume-attachment",
"volume": {
"id": "2cc091f5-4d46-48f3-99b7-3527ae3f4392",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/2cc091f5-4d46-
48f3-99b7-3527ae3f4392",
"name": "my-volume-2"
}
},
{
"id": "a7641494-5724-46de-9c72-c6b16971ddf4",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
4aa2-a8d7-703aac843651/volume_attachments/a7641494-5724-46de-9c72-
c6b16971ddf4",
"name": "volume-attachment",
"volume": {
"id": "ec419496-d79e-4fca-bce7-b4be72e77654",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/ec419496-d79e-
4fca-bce7-b4be72e77654",
"name": "my-volume-2"
}
}
],
"vpc": {
"id": "f0aae929-7047-46d1-92e1-9102b07a7f6f",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/vpcs/f0aae929-7047-46d1-92e1-
9102b07a7f6f",
"name": "my-byok-vpc"
},
"zone": {
"name": "us-south-3",
"href": "https://us-south.iaas.cloud.ibm.com/v1/regions/us-south/zones/
us-south-3"
}
}
Creación de volúmenes de datos con cifrado administrado por el cliente con Terraform
Requisitos previos
Para utilizar Terraform, descargue Terraform CLI y configure elIBM Cloud® Complemento de proveedor. Para más información, ver Empezando con Terraform.
Los servicios de infraestructura de VPC utilizan un punto final regional específico, cuyo objetivo es us-south por defecto. Si su VPC se crea en otra región, asegúrese de apuntar a la región apropiada en el bloque de proveedor
en el provider.tf archivo. Consulte el siguiente ejemplo de orientación a una región distinta a la predeterminada.us-south.
provider "ibm" {
region = "eu-de"
}
Recopile la información requerida, como un nombre de volumen único, seleccione un perfil, decida la capacidad y los requisitos de IOPS.
Los nombres de volumen válidos pueden incluir una combinación de caracteres alfanuméricos en minúsculas (a-z, 0-9) y el guion (-), con un máximo de 63 caracteres. Los nombres de volumen deben empezar por una letra minúscula. Los nombres de volumen deben ser exclusivos en toda la infraestructura de VPC.
Recupere el CRN de la clave raíz del cliente para el cifrado consultando el origen de datos ibm_kms_key. Para obtener más información, consulte la documentación de Terraform en ibm_kms_key. Si el KMS está en otra región o la clave raíz del cliente es propiedad de otra cuenta, Terraform no puede recuperar la instancia y la acción de Terraform falla. Comuníquese con el administrador de la otra cuenta para el CRN.
Creando independienteBlock Storage for VPC volúmenes con Terraform
Para crear unBlock Storage for VPC volumen, utilice el ibm_is_volume recurso. El siguiente ejemplo crea un volumen con un custom perfil. El volumen que se crea tiene 200 MB de capacidad y puede realizar 1000 IOPS.
resource "ibm_is_volume" "example" {
name = "my-example-volume"
profile = "custom"
zone = "us-south-1"
iops = 1000
capacity = 200
encryption_key = "crn:v1:bluemix:public:kms:us-south:a/a1234567:e4a29d1a-2ef0-42a6-8fd2-350deb1c647e:key:5437653b-c4b1-447f-9646-b2a2a4cd6179"
}
Para obtener más información sobre los argumentos y atributos, consulte ibm_is_volumen.
Próximos pasos
- Después de crear la instancia con los volúmenes de datos y arranque cifrados, asocie una dirección IP flotante a la instancia que puede utilizar para conectarse a la instancia. Para obtener más información, consulte Conexión con la instancia de Linux o Conexión con la instancia de Windows.
- Prepare los volúmenes de datos para utilizarlos formateándolos y configurándolos para que se ajusten a sus requisitos.
- Adjunte sus volúmenes independientes a una instancia de servidor virtual.
- Configure Rotación de claves para recursos de VPC.