お客様管理の暗号化を使用したブロック・ストレージ・ボリュームの作成
デフォルトでは、Block Storage for VPC ブート・ボリュームおよびデータ・ボリュームの暗号化は、IBM 管理の暗号化を使用して行われます。 また、サポートされている鍵管理サービスを使用して、カスタマー・ルート鍵を作成またはインポートし、それを使用してエンベロープ暗号化を作成することもできます。
開始前に
作成するにはBlock Storage顧客管理の暗号化を使用したボリュームの場合は、独自の顧客ルート キーが必要です。 キー管理サービス (KMS) をプロビジョニングし、顧客ルート キー (CRK) を作成またはインポートできます。 選択できるのは Key Protect そして Hyper Protect Crypto Services。 それから、サービス間認証を作成する 間Block Storage for VPC作成した KMS インスタンス。
別のアカウントの顧客ルート キーを使用することもできます。 でIBM Cloud KMS は、暗号化キーを使用しているサービスと同じアカウントに配置することも、別のアカウントに配置することもできます。 この展開パターンにより、企業はすべての企業アカウントの暗号化キーを一元管理できます。 詳細については、暗号化キー管理。
必要なものをすべて設定する サービス間の承認サービス間の承認サービス間の承認サービス間の承認間Cloud Block Storage(ソース サービス) と、顧客のルート キーを保持する KMS インスタンス (ターゲット サービス) です。 別のアカウントの CRK を使用してボリュームをプロビジョニングする場合は、そのアカウントの管理者に連絡して、承認を設定し、共有されているルート キーの CRN を取得してください。 カスタムイメージを使用してインスタンスをプロビジョニングする場合は、Image Service for VPC(ソースサービス)とIBM Cloud® Object Storage (対象サービス)。
コンソールで顧客管理の暗号化を使用してデータボリュームを作成する
以下の手順は、スタンドアロンのブロック・ストレージ・ボリュームを作成するときにお客様管理の暗号化を指定する方法を示しています。
- IBM Cloudコンソールにある、Navigation menu アイコン
> Infrastructure 
> Storage > Block Storage ボリュームをクリックして、Block Storage ボリュームのリストを表示します。 - 「作成」 をクリックします。
- 位置情報を確認する。 地理、地域、ゾーンはVPCから継承されます(例:北米、ダラス、Dallas-1 )。 メニューからあなたの地域の別のゾーンを選択するには、編集アイコン
。 - の中に詳細ボリュームの名前と、ボリュームを追加するリソース グループを指定する必要があります。 必要に応じて、ユーザーおよびアクセス管理タグを追加できます。
-
ボリュームに分かりやすい名前を指定します。 例えば、コンピュート機能やワークロード機能を説明する名前などを指定します。
ボリューム名は小文字で始まる必要があります。 ボリューム名は、最大 63 文字の小文字の英数字で、ハイフン (-) を含めることができます。ボリューム名は、VPC インフラストラクチャ全体で一意である必要があります。 名前は後で編集できる。
-
リソース・グループを指定します。
-
特定 ユーザータグ リソースを整理し、バックアップポリシー。
-
特定 アクセス管理タグ ボリュームへのアクセスを管理するために IAM で作成されました。
-
- の中にオプション構成セクションでは、スナップショットのデータを使用してボリュームを作成するかどうかを指定できます。 また、バックアップ ポリシーを適用することもできます。
- スナップショットからのインポート:既存のスナップショットをインポートを選択して利用可能なスナップショットのリストを表示するか、CRNでスナップショットをインポートを選択して使用したいスナップショットのCRNを指定します。 起動不可能なスナップショットを使用してデータ ボリュームを作成し、起動可能なスナップショットを使用してブート ボリュームを作成できます。 新しいブロックストレージボリュームは、スナップショットからストレージ世代値を継承し、同じ世代のボリュームプロファイルのみが適用できます。
- バックアップポリシーを適用: クリック適用する利用可能なポリシーとプランを確認します。
- の中にプロフィールセクションでは、ボリュームのパフォーマンス プロファイル、IOPS、容量を指定できます。
sdpプロファイルを 選択できます。 次に、ボリュームの容量と必要なIOPSを指定します。 ボリュームのサイズは1~32,000GB。 IOPSは100~64,000の範囲で指定できる。 カスタムスループット制限を指定することもできる。- _階層化された_プロファイルの いずれかを選択できます。 _汎用を_選択した後 5iops-tier または 10iops-tier を選択したら、次はボリュームの容量を指定します。 ボリューム・サイズは 10 GB から 16,000 GB にすることができます。
- アプリケーションのパフォーマンス要件がどのIOPS層にも当てはまらない場合は、 カスタム・ プロファイルを選択できます。 次に、ボリュームのサイズとIOPSをボリューム容量に適した範囲で指定します。 ボリューム・サイズは 10 GB から 16,000 GB にすることができます。 IOPS 値を入力すると、UI に受け入れ可能な範囲が表示されます。 また、 ストレージサイズのリンクをクリックすると、 カスタムボリュームプロファイルの サイズとIOPSの範囲を確認できます。
- の中に保存時の暗号化セクションでは、暗号化を維持することを選択できますIBMすべてのボリュームでデフォルトで有効になっているマネージド キー。 または、独自の暗号化キー キー管理サービスを選択してください: Key ProtectまたはHyper Protect Crypto Services。 暗号化キーを見つけるには、次のいずれかのオプションを選択します。
- インスタンスで探す :
- リストからデータ暗号化インスタンスを選択する。 まだインスタンスがない場合は、リンクをクリックしてインスタンスを作成できます。
- ボリュームの暗号化に使用する、KMS インスタンス内に保存されているデータ暗号化キーを選択します。
- CRNで検索: ボリュームの暗号化に使用する顧客ルート キーの CRN を入力します。 別のアカウントの CRK を使用している場合は、このオプションを選択します。
- インスタンスで探す :
- 変更が完了したら、 ブロックストレージボリュームの作成をクリックします。
コンソールで Block Storage ボリュームのリストを更新すると、新しいボリュームが_顧客管理_暗号化タイプのボ リュームのリストの先頭に表示されます。 ボリュームが作成されると、ステータスは _Availableと_表示されます。 スタンドアロン・ボリュームの場合、「Attachment Type」列は空白(-)です。テーブル行の最後にある [アクション] メニューの ![[アクション]アイコン](../icons/action-menu-icon.svg){kind=icon}
[アクション]には、 Block Storage ボリュームをインスタンスにアタッチ するためのリンクが用意されています。
CLI からのお客様管理の暗号化を使用したデータ・ボリュームの作成
前提条件
CLI を使用する前に、IBM Cloud CLI および VPC CLI プラグインをインストールする必要があります。 詳しくは、CLI の前提条件を参照してください。
-
IBM Cloud にログインします。
ibmcloud login --sso -a cloud.ibm.comこのコマンドを実行すると、URL が返され、パスコードの入力を求めるプロンプトが表示されます。 ブラウザーでその URL にアクセスしてログインします。 成功すると、ワンタイム・パスコードが表示されます。 そのパスコードをコピーし、プロンプトに応答として貼り付けます。 認証に成功すると、アカウントを選択するように求めるプロンプトが出されます。 複数のアカウントにアクセスできる場合は、ログインするアカウントを選択します。 残りのプロンプトにすべて応答して、ログインを完了します。
-
ブロック・ストレージ・ボリュームの暗号化に使用するルート鍵の CRN など、必要な情報を収集します。
ibmcloud resource service-instancesコマンドを使用して、KMS インスタンスを見つけます。$ ibmcloud resource service-instances Retrieving all instances of all services in resource group Default and all locations under account Test Account as test.user@ibm.com... OK Name Location State Type Key Protect-17 us-south active service_instance HS-Crypto-60 us-south active service_instanceibmcloud resource service-instanceコマンドを使用して、KMS インスタンスのインスタンス ID を取得します。ibmcloud resource service-instance "Key Protect-17" --id Retrieving service instance Key Protect-17 in resource group Default under account Test Account as test.user@ibm.com... crn:v1:bluemix:public:kms:us-south:a/a1234567-3jkl4xxxx567::7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7::に続くストリングです。 この例では、7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7に設定されています。- インスタンス ID を指定して、 Key Protect サービス・インスタンスで利用可能な鍵と関連する CRN を一覧表示する。
$ ibmcloud kp keys -c --instance-id 7mnxxxo8-91xx-23px-q4rs-xxtuv5w6xxx7 Retrieving keys... SUCCESS Key ID Key Name CRN ef1gxxxh-ijxx-234x-56k7-xxxxlmnoxxp8 test-key crn:v1:bluemix:public:kms:us-south:a/a1234567:key:ef1gxxxh-ijxx-234x-56k7-xxxxlmnoxxp8 cdex12ef-xxxg-3hxx-i456-7xxx8jk9xl12 vsi_encrypt_root_key crn:v1:bluemix:public:kms:us-south:a/a1234567:key:cdex12ef-xxxg-3hxx-i456-7xxx8jk9xl12 c12xxxx3-45d6-7efg-xxx8-9xxx12345x6h vsi_encrypt_key crn:v1:bluemix:public:kms:us-south:a/a1234567:key:c12xxxx3-45d6-7efg-xxx8-9xxx12345x6h
前の手順に従うことで、アカウントから顧客ルート キーの CRN を取得できます。 顧客のルート キーが別のアカウントによって所有されている場合は、そのアカウント管理者に CRN を問い合わせてください。
有効なボリューム名には、英小文字および数字 (a-z、0-9) とハイフン (-) を組み合わせて最大 63 文字まで含めることができます。 ボリューム名の先頭は小文字にする必要があります。 ボリューム名は、VPC インフラストラクチャー全体で固有でなければなりません。
CLI からのお客様管理の暗号化を使用したデータ・ボリュームの作成
CLIから顧客管理暗号化を使用してデータボリュームを作成するには、まず顧客ルートキーのCRNを収集し、ibmcloud is volume-create コマンドで --encryption-key オプション。 encryption_key オプションは、鍵管理サービスのルート鍵に有効なCRNを指定しなければならない。
次の例は、顧客管理暗号化で作成されたボリュームを示しています。
ibmcloud is volume-create my-customer-key-volume custom us-east-1 --capacity 300 --iops 1500 --encryption-key crn:v1:bluemix:public:kms:us-east:a/a1234567:3b05b403-8f51-4dac-9114-c777d0a760d4:key:7a8a2761-08e3-455f-a348-144ed604bba9
Creating volume my-customer-key-volume under account Test Account as user test.user@ibm.com...
ID r014-3984600c-6f4d-4940-82de-519a867fa3c0
Name my-customer-key-volume
CRN crn:v1:bluemix:public:is:us-east-1:a/a1234567::volume:r014-3984600c-6f4d-4940-82de-519a867fa3c0
Status pending
Attachment state unattached
Capacity 300
IOPS 1500
Bandwidth(Mbps) 3145
Profile custom
Encryption key crn:v1:bluemix:public:kms:us-east:a/a1234567:3b05b403-8f51-4dac-9114-c777d0a760d4:key:7a8a2761-08e3-455f-a348-144ed604bba9
Encryption user_managed
Resource group defaults
Created 2024-09-24T20:10:52+00:00
Zone us-east-1
Health State inapplicable
Volume Attachment Instance Reference -
Active false
Adjustable Capacity States attached
Adjustable IOPS State attached
Busy false
Tags -
Storage Generation 1
インスタンスのプロビジョニング中に、お客様管理の暗号化を使用してボリュームを作成することもできます。
API を使用したお客様管理の暗号化によるデータ・ボリュームの作成
以下のサンプル要求に示すように、 VPC API で /volumes メソッドを呼び出すことにより、お客様管理の暗号化を使用してプログラマチックにデータ・ボリュームを作成できます。 encryption_key プロパティを使用して、カスタマ・ルート・キー(CRK)を指定します(例では、
crn:[...key:...] として示されています)。
有効なボリューム名には、英小文字および数字 (a-z、0-9) とハイフン (-) を組み合わせて最大 63 文字まで含めることができます。 ボリューム名の先頭は小文字にする必要があります。 ボリューム名は、VPC インフラストラクチャー全体で固有でなければなりません。
以下の例では、お客様管理の暗号化を使用して汎用データ・ボリュームを作成します。
curl -X POST \
"$vpc_api_endpoint/v1/volumes?version=2025-02-18&generation=2" \
-H "Authorization: $iam_token" \
-d '{
"name": "my-volume-1",
"iops": 100,
"capacity": 20,
"zone": {"name": "us-south-3"},
"profile": {"name": "general-purpose"},
"encryption_key":{"crn":"crn:[...key:...]"},
"resource_group": {"id": "a342dbfb-3ea7-48d1-96e8-2825ec5feab4"}
}
正常な応答は、次の例のようになります。
{
"id": "8948ad59-bc0f-7510-812f-5dc64f59fab8",
"crn": "crn:[...]",
"name": "my-volume-1",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/8948ad59-bc0f-7510-812f-5dc64f59fab8",
"capacity": 20,
"iops": 100,
"encryption_key": {"crn": "crn:[...key:...]"},
"encryption": "user_managed",
"status": "available",
"zone": {
"name": "us-south-3",
"href": "https://us-south.iaas.cloud.ibm.com/v1/regions/us-south/zones/
us-south-3"
},
"profile": {
"name": "general-purpose",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volume/profiles/general-purpose"
},
"resource_group": {
"id": "a342dbfb-3ea7-48d1-96e8-2825ec5feab4",
"href": "https://resource-controller.cloud.ibm.com/v2/resource_groups/
a342dbfb-3ea7-48d1-96e8-2825ec5feab4",
"name": "Default"
},
"storage_generation": 1,
"volume_attachments": [],
"created_at": "2025-02-18T16:03:22.000Z"
}
コンソールで顧客管理キーで暗号化されたブートボリュームを使用してインスタンスをプロビジョニングする
仮想サーバーインスタンスのプロビジョニング時に、ブートボリュームと追加するデータボリュームにカスタママネージド暗号化を指定できます。 必要に応じて、インスタンスに関連付けられているボリュームに対して、プロバイダー管理の暗号化とお客様が管理する暗号化を組み合わせて使用することができます。
新しいブロック・ストレージ・ボリュームを使用してインスタンスを作成するには、以下のステップに従います。
- IBM Cloud コンソールで、ナビゲーションメニュー アイコン インフラストラクチャ コンピュート > 仮想サーバーインスタンス をクリックします。
- **「新規インスタンス」**をクリックし、必要なフィールドに入力します これらの必須フィールドの詳細については、 「仮想サーバー インスタンスの作成」 の_表 1 - インスタンス プロビジョニングの選択を_参照してください。
- ブート・ボリュームのセクションでは、暗号化のデフォルト・モードは Provider-managed encryptionである。 お客様管理の暗号化を指定するには、ブート・ボリューム行の 「編集」アイコン をクリックします。
- **「ブート・ボリュームの編集 (Edit boot volume)」ページで、「暗号化」**セクションのフィールドを更新します。 キー管理サービスを選択してください: (Key ProtectまたはHyper Protect Crypto Services )。 暗号化キーを見つけるには、次のいずれかのオプションを選択します。
- インスタンスで探す :
- リストからデータ暗号化インスタンスを選択する。 まだインスタンスがない場合は、リンクをクリックしてインスタンスを作成できます。
- 保存されているデータ暗号化キーを選択します。Key Protectボリュームの暗号化に使用するインスタンス。
- CRNで検索: ボリュームの暗号化に使用する顧客ルート キーの CRN を入力します。 別のアカウントの CRK を使用する場合は、このオプションを選択します。
- インスタンスで探す :
- 変更が完了したら、**「適用」**をクリックします。
- **「接続済みブロック・ストレージ・ボリューム (Attached block storage volume)」セクションで、「新規ブロック・ストレージ・ボリューム (New block storage volume)」**をクリックしてデータ・ボリュームを追加し、お客様が管理する暗号化を指定できます。 **「新規ブロック・ストレージ・ボリューム (New block storage volume)」ページで、「暗号化」セクションのフィールドを更新します。 詳細については、表 1 を参照してください。 変更が完了したら、「アタッチ (Attach)」**をクリックします。
CLI から顧客管理キーで暗号化されたブートボリュームを持つインスタンスをプロビジョニングする
ibmcloud is instance-create コマンドを使用して、ブート・ボリュームとデータ・ボリュームに対して、お客様管理の暗号化を使用するインスタンスを作成します。 次の構文は、--boot-volume そして --volume-attach ボリュームを定義する JSON ファイルを含めるプロパティ。
ibmcloud is instance-create INSTANCE_NAME VPC ZONE_NAME PROFILE_NAME SUBNET --image-id IMAGE_ID [--boot-volume @BOOT_VOLUME_JSON_FILE] [--volume-attach @VOLUME_ATTACH_JSON_FILE]...
以下の BOOT_VOLUME_JSON_FILE の例では、ブート・ボリュームのプロパティーを定義しています。 encryption key プロパティには、顧客管理暗号化用のルート鍵のCRNが含まれる。
{
"name":"volume-attachment-1",
"volume":{
"name":"boot-volume-1",
"capacity":250,
"profile":{"name":"general-purpose"},
"encryption_key":{"crn":"crn:[...key:...]"}
},
"delete_volume_on_instance_delete":true
}
以下の VOLUME_ATTACH_JSON_FILE の例では、10iops-tierプロファイルと顧客管理暗号化でデータボリュームを定義しています。
{
"name":"volume-attachment-1",
"volume":{
"name":"data-volume-1",
"capacity":2000,
"profile":{"name":"10iops-tier"},
"encryption_key":{"crn":"crn:[...key:...]"}
},
"delete_volume_on_instance_delete":true
}
APIを使用して顧客管理キーで暗号化されたブートボリュームを持つインスタンスをプロビジョニングする
以下のサンプル要求に示すように、 VPC API で /instances メソッドを呼び出すことによって、お客様管理の暗号化をプログラマチックに使用するブート・ボリュームを持つ仮想サーバー・インスタンスを作成できます。 encryption_key プロパティを使用して、カスタマ・ルート・キー(CRK)を指定します(例では、
crn:[...key:...] として示されています)。
以下の例では、お客様管理の暗号化を行うブート・ボリュームと、お客様管理の暗号化を行う 2 つの 2 次ボリュームを使用して、インスタンスを作成しています。
curl -X POST \
"$vpc_api_endpoint/v1/instances?version=version=2020-03-10&generation=2" \
-H "Authorization: $iam_token" \
-d '{
"boot_volume_attachment":{
"volume": {
"name":"boot-volume-1",
"profile": {"name": "general-purpose"},
"encryption_key": {"crn": "crn:[...key:...]"}}},
"volume_attachments": [
{"volume": {
"name": "my-volume-1",
"capacity": 1500,
"profile": {"name": "general-purpose"},
"encryption_key": {"crn": "crn:[...key:...]"}}},
{"volume": {
"name": "my-volume-2",
"capacity": 2000,
"profile": {"name": "general-purpose"},
"encryption_key": {"crn": "crn:[...key:...]"}}}],
"image": {"id": "9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366"},
"keys": [{"id": "cf7678a3-d4fa-458b-993d-015bd4aeac80"}],
"name": "my-test-vm2",
"virtual_network_interface": {"subnet": {"id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4"}},
"profile": {"name": "cx2-2x4"},
"vpc": {"id": "f0aae929-7047-46d1-92e1-9102b07a7f6f"},
"zone": {"name": "us-south-3"}
}'
正常な応答は、次の例のようになります。 ブートボリュームは boot_volume_attachment と volume_attachment の両方に表示される。
{
"id": "eb1b7391-2ca2-4ab5-84a8-b92157a633b0",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/eb1b7391-2ca2-4ab5-84a8-
b92157a633b0",
"name": "my-test-vm2",
"bandwidth": 4000,
"resource_group": {
"id": "08b7af6d-41d9-435a-8b22-fd8f640863a5",
"href": "https://resource-controller.cloud.ibm.com/v2/resource_groups/
08b7af6d-41d9-435a-8b22-fd8f640863a5",
"name": "Default"
},
"boot_volume_attachment": {
"id": "a8a15363-a6f7-4f01-af60-715e85b28141",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/eb1b7391-2ca2-4ab5-
84a8-b92157a633b0/volume_attachments/7389-a8a15363-a6f7-4f01-af60-
715e85b28141",
"name": "volume-attachment",
"volume": {
"id": "49c5d61b-41e7-4c01-9b7a-1a97366c6916",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/49c5d61b-41e7-
4c01-9b7a-1a97366c6916",
"name": "boot-volume-1"
}
},
"created_at": "2020-04-20T16:11:57Z",
"image": {
"id": "9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/images/
9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366",
"name": "ubuntu-amd64-1"
},
"memory": 4,
"network_interfaces": [
{
"id": "7ca88dfb-8962-469d-b1de-1dd56f4c3275",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
4aa2-a8d7-703aac843651/network_interfaces/7ca88dfb-8962-469d-b1de-
1dd56f4c3275",
"name": "helpless-profanity-unmixable-fool-hazard-staging",
"primary_ipv4_address": "",
"subnet": {
"id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/subnets/7389-bea6a632-
5e13-42a4-b4b8-31dc877abfe4",
"name": "my-byok-vpc-subnet"
}
}
],
"primary_network_interface": {
"id": "7ca88dfb-8962-469d-b1de-1dd56f4c3275",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-4aa2-
a8d7-703aac843651/network_interfaces/7ca88dfb-8962-469d-b1de-1dd56f4c3275",
"name": "network-interface-1",
"primary_ipv4_address": "10.0.0.32",
"subnet": {
"id": "bea6a632-5e13-42a4-b4b8-31dc877abfe4",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/subnets/bea6a632-5e13-
42a4-b4b8-31dc877abfe4",
"name": "my-byok-vpc-subnet"
}
},
"profile": {
"name": "cx2-2x4",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instance/profiles/cx2-2x4"
},
"status": "running",
"vcpu": {
"architecture": "amd64",
"count": 2
},
"volume_attachments": [
{
"id": "a8a15363-a6f7-4f01-af60-715e85b28141",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
4aa2-a8d7-703aac843651/volume_attachments/7389-a8a15363-a6f7-4f01-af60-
715e85b28141",
"name": "volume-attachment",
"volume": {
"id": "49c5d61b-41e7-4c01-9b7a-1a97366c6916",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/49c5d61b-41e7-
4c01-9b7a-1a97366c6916",
"name": "boot-volume-1"
}
},
{
"id": "e77125cb-4df0-4988-a878-531ae0ae0b70",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
4aa2-a8d7-703aac843651/volume_attachments/7389-e77125cb-4df0-4988-a878-
531ae0ae0b70",
"name": "volume-attachment",
"volume": {
"id": "2cc091f5-4d46-48f3-99b7-3527ae3f4392",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/2cc091f5-4d46-
48f3-99b7-3527ae3f4392",
"name": "my-volume-2"
}
},
{
"id": "a7641494-5724-46de-9c72-c6b16971ddf4",
"href": "https://us-south.iaas.cloud.ibm.com/v1/instances/e402fa1b-96f6-
4aa2-a8d7-703aac843651/volume_attachments/a7641494-5724-46de-9c72-
c6b16971ddf4",
"name": "volume-attachment",
"volume": {
"id": "ec419496-d79e-4fca-bce7-b4be72e77654",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/volumes/ec419496-d79e-
4fca-bce7-b4be72e77654",
"name": "my-volume-2"
}
}
],
"vpc": {
"id": "f0aae929-7047-46d1-92e1-9102b07a7f6f",
"crn": "crn:[...]",
"href": "https://us-south.iaas.cloud.ibm.com/v1/vpcs/f0aae929-7047-46d1-92e1-
9102b07a7f6f",
"name": "my-byok-vpc"
},
"zone": {
"name": "us-south-3",
"href": "https://us-south.iaas.cloud.ibm.com/v1/regions/us-south/zones/
us-south-3"
}
}
Terraform を使用した顧客管理の暗号化によるデータ ボリュームの作成
前提条件
Terraformを使用するには、Terraform CLIをダウンロードし、IBM Cloud®プロバイダープラグイン。 詳細については、Terraform を使い始める。
VPCインフラストラクチャサービスは、特定のリージョンエンドポイントを使用し、us-south デフォルトでは。 VPCが別のリージョンに作成されている場合は、プロバイダーブロックで適切なリージョンをターゲットにしてください。provider.tf ファイル。 デフォルト以外の地域をターゲットとする例を次に示します。us-south。
provider "ibm" {
region = "eu-de"
}
一意のボリューム名などの必要な情報を収集し、プロフィール容量と IOPS の要件を決定します。
有効なボリューム名には、英小文字および数字 (a-z、0-9) とハイフン (-) を組み合わせて最大 63 文字まで含めることができます。 ボリューム名の先頭は小文字にする必要があります。 ボリューム名は、VPC インフラストラクチャー全体で固有でなければなりません。
ibm_kms_key データ ソースを参照して、暗号化用の顧客ルート キーの CRN を取得します。 詳細については、Terraformのドキュメントをご覧ください。 ibm_kms_キー。 KMS が別のリージョンにある場合、または顧客のルート キーが別のアカウントによって所有されている場合、インスタンスは Terraform によって取得できず、Terraform アクションは失敗します。 CRN については、他のアカウントの管理者に問い合わせてください。
スタンドアロンの作成Block Storage for VPC Terraform によるボリューム
作成するにはBlock Storage for VPCボリュームを使用するには、ibm_is_volume リソース。 次の例では、custom プロフィール。 作成されるボリュームの容量は 200 MB で、1000 IOPS を実行できます。
resource "ibm_is_volume" "example" {
name = "my-example-volume"
profile = "custom"
zone = "us-south-1"
iops = 1000
capacity = 200
encryption_key = "crn:v1:bluemix:public:kms:us-south:a/a1234567:e4a29d1a-2ef0-42a6-8fd2-350deb1c647e:key:5437653b-c4b1-447f-9646-b2a2a4cd6179"
}
引数と属性の詳細については、以下を参照してください。ibm_is_volume。
次のステップ
- 暗号化されたブート・ボリュームとデータ・ボリュームを使用してインスタンスが作成されたら、インスタンスへの接続に使用できるインスタンスに浮動 IP アドレスを関連付けます。 詳しくは、Linux インスタンスへの接続または Windows インスタンスへの接続を参照してください。
- データ・ボリュームをフォーマットし、要件を満たすように構成することで、データ・ボリュームを使用できるように準備します。
- スタンドアロンボリュームを接続する 仮想サーバーインスタンスに。
- VPC リソースの鍵のローテーション を構成します。