よくある質問 Block Storage for VPC
Block Storage for VPC サービスに関する以下の質問がよく発生します。 このページで回答してほしい質問がある場合は、「 Open doc issue 」または「 Edit topic 」リンクを使用してフィードバックしてください。
オファリングに関する質問
Block Storage for VPC はどのようにして Single Point of Failure を回避しますか? データの耐久性はどのようなメカニズムで確保していますか?
Block Storage for VPC のボリューム・データは、単一コンポーネントの障害によるデータ損失を防ぐために、アベイラビリティー・ゾーン内の複数の物理ディスクに冗長化して保管されます。
ボリュームはどのように作成され、インスタンスに接続されますか?
仮想サーバーインスタンスを作成すると、そのインスタンスにアタッチされる Block Storage for VPC ボリュームを作成 できます。 また、スタンドアロン・ボリュームを作成して、後でそれらをインスタンスに接続することもできます。
プロビジョニングされた Block Storage for VPC ボリュームを共有できるインスタンスはいくつありますか?
Block Storage for VPC ボリュームは、一度に1つのインスタンスにのみアタッチできます。 複数のインスタンスで 1 つのボリュームを共有することはできません。
インスタンスにはいくつのデータボリュームをアタッチできますか?
12個添付できますBlock Storage for VPCインスタンスごとのデータ ボリュームとブート ボリューム。
使用料金はどのように課金されますか?
Block Storage for VPC、期間が1ヶ月未満でない限り、1ヶ月に保存される GiB 容量に基づいて計算される。 ボリュームがアカウントに存在するのは、ボリュームを削除するか、請求サイクルの終わりに達するか、そのいずれかが先に発生するまでです。
異なるボリューム プロファイルを指定して、ボリューム容量を拡大 した場合や、IOPSを調整 した場合にも、価格は影響を受けます。 例えば、ボリューム容量を拡大するとコストが増加し、ボリューム・プロファイルを5-IOPS/GBティアから3-IOPS/GBティアに変更すると、月額料金と時間料金が減少する。 更新されたボリュームの請求方法が自動的に更新され、新しい価格の日割り額が現在の請求サイクルに加算されます。 その後、次の請求サイクルでは新しい金額全体が請求されます。
IBM Cloud コンソールの「コスト見積もりツール」 
を使用して、容量と IOPS の変化がコストにどのように影響するかを確認できます。 詳しくは、コストの見積もりを参照してください。
価格情報はどこにありますか?
コンソールで、VPCプロビジョニング用ブロック・ストレージ・ボリューム ページに移動し、価格設定タブをクリックします。 価格設定タブでは、選択した地理、地域、および通貨に基づいて、各ボリュームプロファイルの価格プランの詳細を表示できます。 また、時間単位と月単位の料金を切り替えることもできます。
Global Catalog API を呼び出すことで、価格情報をプログラムで取得できます。 詳しくは、ダイナミック・プライシングの取得 をご覧ください。
ストレージ容量はGBで測定されますか? GiB?
ストレージの混乱を招く 1 つの側面として、ストレージ容量と使用量が報告される単位があります。 場合によっては、GB は実際にはギガバイト (base-10) であり、GB はギビバイト (base-2) を表すことがあります。これは、 GiBと省略する必要があります。
人間は通常、10 進数 (base-10) システムで数値を計算します。 コンソール、CLI、API、Terraformでは、GBという単位が使用され、容量を照会するときに表示されます。 4 TB のボリュームを注文する場合は、プロビジョニング要求に 4,000 GB を入力します。
ただし、コンピューターはバイナリーで作動するため、 base-2のメモリー・アドレス・スペースなどの一部のリソースを表す方がより意味があります。 1984 年以降、コンピューター・ファイル・システムでは、メモリーに合わせてサイズが base-2 で示されています。 当時、使用可能なストレージ・デバイスは小さく、2 進単位と 10 進単位のサイズの差はごくわずかでした。 使用可能なストレージ・システムがかなり大きくなると、このユニットの差が原因で混乱が生じています。
GB と GiB の違いは、以下のように数値表現にあります。
- GB (ギガバイト) は 10 進数の単位で、1 GB は 1,000,000,000 バイトです。 GB を TB に変換する場合は、乗数として 1000 を使用します。
- GiB (Gibibyte) はバイナリー単位で、1 GiB は 1,073,741,824 バイトです。 変換するとGiBにTiB,乗数として 1024 を使用します。
以下の表は、10 進単位と 2 進単位で表された同じバイト数を示しています。
| 10 進数 SI (基数 10) | 2 進数 (基数 2) |
|---|---|
| 2,000,000,000,000 B | 2,000,000,000,000 B |
| 2,000,000,000キロバイト | 1,953,125,000 KiB |
| 2,000,000 MB | 1,907,348 MiB |
| 2,000 GB | 1,862 GiB |
| 2 TB | 1.81 TiB |
ストレージ・システムは、ボリューム割り振りに base-2 単位を使用します。 そのため、ボリュームが 4,000 GB としてプロビジョンされている場合、実際には 4,000 GiB (4,294,967,296,000 バイトのストレージ・スペース) になります。 プロビジョンされたボリュームのサイズが 4 TB を超えています。 ただし、オペレーティングシステムによっては、ストレージサイズが次のように表示されることがあります。 3.9 Tは使用するためbase-2変換とTはTiB,結核ではありません。
OS に表示される利用可能容量が、プロビジョンした容量と一致しないのはなぜですか?
理由の 1 つとして、オペレーティング・システムが base-2 変換を使用していることが考えられます。 例えば、UI で 4000 GB のボリュームをプロビジョンすると、ストレージ・システムは 4,000 GiB ボリュームまたは 4,294,967,296,000 バイトのストレージ・スペースを予約します。 プロビジョンされたボリュームのサイズが 4 TB を超えています。 ただし、オペレーティングシステムによっては、ストレージサイズが次のように表示されることがあります。 3.9 Tは使用するためbase-2変換とTはTiB,結核ではありません。
次に、 Block Storage をパーティション化してファイル・システムを作成すると、使用可能なストレージ・スペースが削減されます。 フォーマット設定によってスペースが削減される量は、使用されるフォーマット設定のタイプ、およびシステム上のさまざまなファイルの量とサイズによって異なります。
例えば、ボリューム docs-block-test3 を例として考えてみます。 プロビジョニング時に 1200 GB を指定しました。CLI で詳細をリストすると、1200 の容量があることが分かります。
$ ibmcloud is volume r006-6afe1361-b592-45ab-b23b-6cca9982e371
Getting volume r006-6afe1361-b592-45ab-b23b-6cca9982e371 under account Test Account as user test.user@ibm.com...
ID r006-6afe1361-b592-45ab-b23b-6cca9982e371
Name docs-block-test3
CRN crn:v1:bluemix:public:is:us-south-2:a/1234567::volume:r006-6afe1361-b592-45ab-b23b-6cca9982e371
Status available
Attachment state attached
Capacity 1200
IOPS 3600
Bandwidth(Mbps) 471
Profile general-purpose
Encryption key -
Encryption provider_managed
Resource group defaults
Created 2023-08-24T02:32:40+00:00
Zone us-south-2
Health State ok
Volume Attachment Instance Reference Attachment type Instance ID Instance name Auto delete Attachment ID Attachment name
data 0727_e99798c7-9783-4f92-8207-96af48561454 docs-demo-instance false 0727-bc38ec2b-a566-412f-8f76-8eefe5fc9f2c untaken-senior-coronary-accurate
Active true
Adjustable IOPS false
Busy false
Tags dev:test
サーバーのコマンド・ラインからストレージ・デバイスをリストすると、サイズが 1.2Tの vdc と同じボリュームが表示されます。 T はテビバイト (2 ^ 40 ^ に等しい base-2 単位) を表します。
[root@docs-demo-instance ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
vda 253:0 0 100G 0 disk
├─vda1 253:1 0 200M 0 part /boot/efi
└─vda2 253:2 0 99.8G 0 part /
vdb 253:16 0 69.9G 0 disk
vdc 253:32 0 1.2T 0 disk /myvolumedir
vdd 253:48 0 370K 0 disk
vde 253:64 0 44K 0 disk
同じ vdc ドライブが ext4 ファイル・システムでフォーマットされている場合、1181679068 K の使用可能容量が表示されます。 それは正常であり、期待されています。
[root@docs-demo-instance ~]# df -hk
Filesystem 1K-blocks Used Available Use% Mounted on
devtmpfs 3993976 0 3993976 0% /dev
tmpfs 4004356 0 4004356 0% /dev/shm
tmpfs 4004356 33316 3971040 1% /run
tmpfs 4004356 0 4004356 0% /sys/fs/cgroup
/dev/vda2 102877120 1182048 96446100 2% /
/dev/vda1 204580 11468 193112 6% /boot/efi
/dev/vdc 1238411052 72148 1181679068 1% /myvolumedir
tmpfs 800872 0 800872 0% /run/user/0
作成できるボリュームの数に制限はありますか?
Block Storage for VPC ボリューム(データおよびブート)は、1 アカウントあたり合計 300 個まで作成できます。 この 割り当て量 を増やすには、 サポート Case を開き、追加のボリュームが必要なゾーンを指定します。
特定の容量でデータボリュームを作成した後、後で容量を増やすことはできますか?
仮想サーバーインスタンスにアタッチされているデータボリュームの容量を増やすことができます。 ボリュームのプロファイルに応じて、1 GB 単位で容量を指定できます (最大 16,000 GB まで)。 詳しくは、 Block Storage for VPC ボリューム容量の増加 を参照してください。
ブートボリュームの容量を増やすことはできますか?
ブート・ボリューム容量は、インスタンスのプロビジョニング中に増やすことも、後でブート・ボリュームを直接変更することによって増やすこともできます。 この機能は、ストックまたはカスタムイメージから作成されたインスタンスに適用されます。 インスタンス・テンプレートを作成するときに、より大きなブート・ボリューム容量を指定することもできます。 詳しくは、『ブート・ボリューム容量の拡張』を参照してください。
既存のインスタンスのブート・ボリューム容量を変更できますか?
はい。既存のインスタンスのブート・ボリューム容量を増やすことができます。 例えば、コンソールで、 Block Storage for VPC ボリュームのリストからブートボリュームを選択し、ボリュームの詳細ページからボリュームのサイズを変更します。 詳細については、 コンソールの Block Storage for VPC ボリュームリストからブートボリュームの容量を増やすを 参照してください。 CLI または API を使用することもできます。
アカウントでプロビジョンできるボリュームはいくつですか?
1アカウントあたり、1リージョンで最大300 Block Storage for VPC ボリュームまでプロビジョニングできます。 サポートケースを開き、より多くのボリュームが必要な地域を指定することで、クォータの増加を要求することができます。 Block Storage for VPC ボリュームを注文する場合、またはボリュームまたは容量制限の増 加を要求する場合のサポートケースの準備に関する詳細については、 ボリューム数および 容量制限の管理を 参照してください。
マルチゾーン・クラスターで共有ストレージをセットアップできますか?
IBM Cloud® では、ストレージ・オプションはアベイラビリティ・ゾーンに限定される。 複数のゾーンにまたがって共有ストレージを管理しようとしないでください。
その代わり、複数のゾーンやリージョンでデータを共有する必要がある場合は、 IBM Cloud® Object Storage や IBM® Cloudant® for IBM Cloud® などのVPC外の IBM Cloud® クラシック・サービス・オプションを使用してください。
クラシック・インフラストラクチャーにボリュームがあります。 それらを VPC に移植できますか?
いいえ VPC は、マルチゾーン・リージョン内の新規のアベイラビリティー・ゾーンへのアクセスを提供します。 コンピュート・リソース、ネットワーク・リソース、およびストレージ・リソースは、VPC で機能するように設計されています。
既存のブートボリュームからカスタムイメージを作成できますか?
はい、カスタムイメージを直接作成できます。 Block Storage for VPCブートボリューム。 その後、カスタムイメージを使用して他の仮想サーバーインスタンスをプロビジョニングできます。 詳しくは、ボリュームからのイメージの作成についてを参照してください。
ボリュームの管理に関する質問
インスタンスのブート・ディスクはどのように作成されますか? 仮想マシン・イメージとどのように関係しますか?
ブート・ボリュームは、仮想サーバー・インスタンスをプロビジョンするときに作成されます。 インスタンスのブート・ディスクは、仮想マシン・イメージの複製イメージです。 ストック・イメージの場合、ブート・ボリューム容量は 100 GB です。 カスタム・イメージをインポートする場合、イメージに必要な容量に応じて、ブート・ボリューム容量は 10 GB から 250 GB になります。 10 GB より小さいイメージは 10 GB に切り上げられます。
Block Storage for VPC ボリュームはいつ削除できますか?
Block Storage for VPC ボリュームを削除できるのは、そのボリュームが仮想サーバーインスタンスにアタッチされていない場合だけです。
データ ボリュームを削除する前にデタッチする 必要があります。 コンソール、CLI、またはAPIを使用して、自動削除機能を有効にすることもできます。 自動削除が有効な場合、データ・ボリュームはインスタンスと一緒に削除されます。
デフォルトでは、インスタンスの削除時にブート・ボリュームは切り離され、削除されます。 ブートボリュームを保持したい場合は、自動削除機能を無効にしてください。 詳細については、 Block Storage for VPC ボリュームの管理を 参照。
Block Storage for VPC データボリュームを削除すると、データはどうなりますか?
Block Storage for VPC ボリュームを削除すると、データは直ちにアクセスできなくなります。 そのボリューム上のデータを指すポインターはすべて削除されます。 新しいデータがデータ・ブロックに書き込まれていくと、アクセス不能なデータはやがて上書きされます。 IBM は、削除されたデータがアクセス不能になることと、削除されたデータが最終的に上書きされることを保証します。 詳しくは、 Block Storage for VPC データの除去 を参照してください。
データ削除のコンプライアンス要件があります。 データにアクセスできないようにするにはどうすればよいですか?
IBM は、データが物理ディスク上でアクセス不能になり、最終的に 消去さ れることを保証する。 NIST 800-88 Guidelines for Media Sanitization などの追加のコンプライアンス要件がある場合は、ボリュームを削除する前にお客様がデータ・サニタイズ手順を実行する必要があります。 詳細については、 NIST 800-88 Guidelines for Media Sanitationを参照のこと。
ボリューム名にはどのようなルールが適用されますか? 後でボリュームの名前を変更できますか?
有効なボリューム名には、英小文字および数字 (a-z、0-9) とハイフン (-) を組み合わせて最大 63 文字まで含めることができます。 ボリューム名は小文字で始まる必要があり、VPC インフラストラクチャー全体で固有でなければなりません。
コンソールで既存のボリュームの名前を変更することができます。 詳しくは、 Block Storage for VPC を参照してください。
期待される処理能力を達成するために、容積を予熱する必要がありますか?
ボリュームをプリウォームする必要はありません。 イメージからボリュームを作成するときに、ボリュームをプロビジョニングするとすぐに、指定されたスループットを確認できます。 スナップショットをリストアしてボリュームをプロビジョンすると、パフォーマンスが低下する可能性があります。
Block Storage for VPC スナップショットとは?
スナップショットは、 Block Storage for VPC ブートボリュームまたはデータボリュームのポイントインタイムコピーで、手動で作成します。 最初のスナップショットは、ボリュームのフルバックアップです。 同じボリュームの後続のスナップショットは、最後のスナップショット以降の変更のみをキャプチャします。 詳しくは、 Block Storage for VPC Snapshots for VPC について を参照してください。
バックアップ・スナップショットとは何ですか?
バックアップ・スナップショット (単に「バックアップ」と呼ばれる) は、Backup for VPC サービスによって自動的に作成されるスナップショットです。 詳しくは、Backup for VPC についてを参照してください。
災害復旧のためのデータのバックアップについては、どうすればよいのでしょうか?
Block Storage for VPC は、リージョン内の複数の冗長障害ゾーンにわたってデータを保護します。 バックアップ・サービス を使用することにより、セットアップしたスケジュールに基づいてボリューム・データを定期的にバックアップすることができます。 バックアップ・スナップショットは、1 時間程度の頻度で作成できます。 ただし、バックアップ・サービスでは、自動フェイルオーバーを使用した継続的なバックアップは提供されません。バックアップまたはスナップショットからのボリュームのリストアは、時間がかかる手動操作です。 自動災害復旧のためにより高いレベルのサービスが必要な場合は、 IBMの クラウド災害復旧ソリューション を参照してください。
スナップショットからボリュームを復元できますか?
スナップショットからのリストアは、新しい、完全にプロビジョニングされたブートボリュームまたはデータボリュームを作成します。 ストレージ・ボリュームは、インスタンスの作成時、インスタンスの変更時、または新規スタンドアロン・ボリュームのプロビジョン時にリストアできます。 データ・ボリュームの場合、 volumes API を使用してスナップショットからデータ・ボリュームを作成することもできます。 詳しくは、スナップショットからのボリュームのリストアを参照してください。
最良のパフォーマンスを得るために、スナップショットを高速リストア用に使用可能にすることができます。 高速リストア機能を使用すると、ボリュームの作成時に完全にプロビジョンされたスナップショットからボリュームを作成できます。 詳しくは、 スナップショットの高速リストア を参照してください。
パフォーマンスに関する質問
IOPS とは何ですか? また、IOPS は Block Storage for VPC ボリューム・パフォーマンスとどのように関連していますか?
IOPS(Input/output operations per second)は、 Block Storage for VPC ボリュームのパフォーマンスを測定するために使用されます。 IOPS の値は、読み取り/書き込み操作のバランス、キューの深さ、データ・ブロックのサイズなどのいくつかの変数の影響を受けます。 一般的に、 Block Storage for VPC ボリュームの IOPS が高いほど、パフォーマンスが向上します。 Block Storage for VPC プロファイルで予期される IOPS について詳しくは、 プロファイル を参照してください。 ブロック・サイズが性能に与える影響については、 Block Storage 容量と性能を 参照。
割り振られた IOPS はインスタンス単位で適用されるのですか、ボリューム単位で適用されるのですか?
IOPS は、ボリューム・レベルで適用されます。
ボリューム・プロファイルとはどのようなもので、ボリュームのパフォーマンスにどのような影響を与えるのでしょうか?
ボリューム・プロファイルは、さまざまな容量のボリュームの IOPS/GB パフォーマンスを定義します。 ワークロード要件に対して信頼性の高い IOPS パフォーマンスを提供する 3 つの事前定義された IOPS ティア から選択できます。 また、 カスタムIOPSを 定義し、選択したボリューム・サイズのIOPS範囲を指定することもできます。 カスタム IOPS は、事前定義された IOPS ティアの範囲に収まらない、明確に定義されたパフォーマンス要件がある場合に適しています。 カスタム・ボリューム・プロファイルを選択した場合は、ボリューム・サイズの最小範囲と最大範囲も定義します。
データ・ボリュームの最大 IOPS は、ボリューム・サイズおよび選択するプロファイルのタイプによって異なります。
IOPSは、16KBブロックの負荷プロファイルに基づき、ランダム50%リード、50%ライトで測定されています。 このプロファイルと異なるワークロードでは、パフォーマンスが低下する場合があります。 ブロックサイズを小さくすれば、最大IOPSは得られるが、スループットは低下する。 詳しくは、 ブロック・サイズがパフォーマンスに与える影響を参照してください。
ボリュームの正常性が低下状態になるとどうなりますか?
ボリュームの正常性の状態は、ボリュームがその状況を前提として、予期したとおりに実行されているかどうかを定義します。 ボリュームの正常性は、何が起こっているかに応じて、OK、機能低下、適用不能、または障害が発生している可能性があります。 例えば、ボリュームがスナップショットからリストアされていて、ボリュームがまだ完全にリストアされていない場合は、劣化状況が表示されます。 ボリュームの正常性の状態について詳しくは、 Block Storage for VPC ボリュームの正常性の状態 を参照してください。
データ・セキュリティーと暗号化に関する質問
Block Storage for VPC ボリューム内のデータはどれくらいセキュアですか?
すべての Block Storage for VPC ボリュームは、 IBM- 管理された暗号化で静止時に暗号化される。 IBM-管理された鍵は生成され、Consul がバックアップし、 IBM Cloud® が管理する Block Storage for VPC 保管庫に安全に保管される。
セキュリティーを強化するために、お客様自身のカスタマー・ルート鍵 (CRK) を使用してデータを保護することができます。 ルート鍵は、サポートされている鍵管理サービス(KMS)にインポートすることも、KMSで作成することもできる。 ルート鍵は、サポートされる KMS ( Key Protect (FIPS 140-2 レベル 3 準拠) または Hyper Protect Crypto Services) によって安全に管理されます。 どちらの KMS ソリューションも、最高レベルのセキュリティー (FIPS 140-2 レベル 4 準拠) を提供します。 鍵素材は、転送中も保存中も保護されます。
詳しくは、お客様が管理する暗号化に対応する鍵管理サービスを参照してください。 お客様管理の暗号化を構成する方法については、以下を参照してください。 お客様管理の暗号化を使用した Block Storage for VPC ボリュームの作成。
IBM Cloud Identity and Access Management (IAM) を使用して、 IBM Cloud® 内の KMS インスタンスに保存されているルート鍵へのアクセスを制御する。 利用者は、 IBM Block Storage for VPC サービスに対し、利用者の鍵の使用を許諾する。 この API を使用して、ルート鍵を保持する 1 次アカウントを 2 次アカウントにリンクし、その鍵を使用して 2 次アカウント内の新規ボリュームを暗号化することができます。 詳しくは、 マルチテナント・ストレージ・リソースのアカウント間の暗号化 を参照してください。
また、鍵の漏洩が疑われる場合など、いつでもアクセスを取り消すことができる。 ルート鍵を無効にしたり削除したりすることもできます。鍵に関連付けられているクラウド上のデータへのアクセスを一時的に取り消すこともできます。 詳細については、 データ暗号化の 管理を参照してください。
お客様管理の暗号化を使用するほうが IBM 管理の暗号化に勝る利点としては何がありますか?
顧客管理の暗号化により、 Block Storage for VPC独自のルート キーを持つボリューム。 データのセキュリティを完全に制御し、キーへのアクセスを管理し、必要に応じてキーをローテーションおよび取り消すことができます。 詳しくは、お客様管理の暗号化の利点を参照してください。
お客様管理の暗号化で使用される暗号化テクノロジーは何ですか?
VPC の仮想ディスク・イメージでは、QEMU Copy On Write バージョン 2 (QCOW2) ファイル形式が使用されます。 この QCOW2 形式のファイルは、LUKS 暗号化形式で保護されます。 IBM は現在、LUKS で AES-256 暗号スイートおよび XTS 暗号モード・オプションを使用しています。 この組み合わせによって、AES-CBC よりもはるかに高いレベルのセキュリティーが実現され、鍵のローテーションのためのパスフレーズの管理性が向上し、鍵が漏洩した場合に鍵を置換するオプションも利用可能になっています。
マスター暗号化キーとは何ですか?また、どのように私の Block Storage for VPC ボリュームに割り当てられるのですか?
各ボリュームには、インスタンスのホスト・ハイパーバイザによって生成される、データ暗号化キー(DEK)と呼ばれる一意のマスター暗号化キーが割り当てられる。 各 Block Storage for VPC ボリュームのマスター・キーは、KMS が生成した一意の LUKS パスフレーズで暗号化され、カスタマ・ルート・キー(CRK)で暗号化されて KMS に保存されます。 パスフレーズは AES-256 暗号鍵であり、32 バイト長で、印刷可能な文字に限定されない。 ボリュームの暗号化に使用されるCRKのクラウドリソース名(CRN)を表示できます。 一方、CRK、LUKS パスフレーズ、およびボリュームのマスター暗号鍵が公開されることは決してありません。 IBM の VPC でデータの保護に使用されるすべての鍵について詳しくは、IBM 暗号化テクノロジー - データの保護方法を参照してください。
ボリュームにお客様管理の暗号化を使用しています。 ルート鍵を使用不可にしたり削除したりするとどうなりますか?
それらのアクションは、2 つの異なる別々のアクションになります。 KMS でルート鍵を使用不可にすると、その暗号化と復号の操作が一時停止され、鍵は一時停止された状態になります。 ワークロードは仮想サーバーインスタンスで実行され続け、ブートボリュームは暗号化されたままである。 データ・ボリュームの接続は引き続き維持されます。 ただし、VM の電源を切って再びオンにする場合には、ブート・ボリュームが暗号化されているインスタンスは起動しません。 一時停止状態のルート鍵を使用可能化すると、通常の操作を再開できます。 詳しくは、ルート鍵の無効化を参照してください。
ルート鍵を削除すると、重大な影響があります。 ルート鍵を削除すると、VPC 内のすべてのリソースでのその鍵の使用が消去されます。 デフォルトで KMS では、リソースをアクティブに保護しているルート鍵がユーザーによって削除されないようになっています。 それでも、ルート鍵を強制的に削除することは可能です。 KMS にインポートした削除済みルート鍵を復元できる時間は限られています。 詳しくは、ルート鍵の削除を参照してください。
Cloud Block Storage for VPC から KMS への IAM 認証を削除しても、 Block Storage for VPC のボリュームを顧客管理の暗号化で削除できますか?
BYOK ボリューム (またはイメージ) を削除する前に IAM 許可を削除すると、KMS インスタンスでルート・キーを登録抹消せずに削除操作が完了します。 言い換えれば、ルート・キーは存在しないリソースに対して登録されたままである。 必ず、BYOK リソースを削除してから、IAM 許可を削除するようにしてください。 サービス許可の安全な削除について詳しくは、ルート鍵のサービス許可の削除を参照してください。
ルートキーが漏洩した場合、どうすればよいですか?
データをお客様自身でバックアップしてください。 次に、漏洩したルート・キーを削除し、そのキーで暗号化されたボリュームを持つインスタンスをパワーダウンします。
また、スケジュールに従って鍵を自動的にローテートする鍵ローテーション・ポリシーを設定することも検討してください。 詳しくは、VPC リソースの鍵のローテーションを参照してください。
キーローテーションとは?
カスタマ・ルート・キー(CRK)で保護されている Block Storage for VPC ボリュームなどの IBM Cloud VPC リソー スについては、ルート・キーをローテーションしてセキュリティを強化することができます。 定期的に、またはオンデマンドでルート鍵をローテートすると、元の鍵素材が置き換えられます。 古い鍵は、既存のボリュームの復号にはまだ有効なままですが、新しいボリュームの暗号化には使用できません。 詳しくは、VPC リソースの鍵のローテーションを参照してください。
鍵のローテーションの仕組みを教えてください。
Block Storage for VPC ボリュームなどの顧客管理暗号化リソースは、お客様のルート鍵(CRK)を、ボリュームを保護するマスター鍵を暗号化する LUKS パスフレーズを暗号化するルート・オブ・トラスト鍵として使用します。 お客様所有の CRK を鍵管理サービス (KMS) のインスタンスにインポートすることも、KMS で CRK を自動生成することもできます。 ルート鍵は、KMS インスタンス内でローテートされます。
ルート鍵をローテートするときには、新しい暗号鍵素材を生成またはインポートして、新しいバージョンの鍵を作成します。 古いルート鍵はリタイアされます。リタイアとは、古い鍵の鍵素材が、既存のボリュームの復号にはまだ使用できるが、新しいボリュームの暗号化には使用できなくなることを意味します。 新しいリソースは、最新の鍵で保護されます。 詳しくは、鍵のローテーションの仕組みを参照してください。
お客様管理の暗号化を使用するには料金がかかりますか?
お客様管理の暗号化を使用したボリュームの作成に、追加料金はかかりません。 ただし、ルート鍵をインポート、作成、および管理するための Key Protect または Hyper Protect Crypto Services インスタンスのセットアップには、コストがかかりません。 詳細については、IBM お客様サービス担当員にお問い合わせください。
Hyper Protect Crypto Services と比べて、 Key Protect をKMSとして使うことの違いは何ですか? どちらを使用すべきかは状況によって変わりますか?
どちらの鍵管理システムも、ルート鍵によって管理されたデータを完全にコントロールすることができます。 Key Protect はマルチテナント型のKMSで、ルート鍵をインポートまたは作成し、安全に管理することができます。 Hyper Protect Crypto Services はシングルテナント型のKMSで、 ハードウェア・セキュリティ・モジュール(HSMオンデマンド暗号化、キー管理、およびキー・ストレージをマネージド・サービスとして提供する物理アプライアンス。 )はお客様によって管理され、最高レベルのセキュリティを提供します。 これらの鍵管理サービスの詳細については、「 顧客が管理する暗号化でサポートされる鍵管理サービス 」を参照のこと。
プロバイダー管理の暗号化のボリュームをお客様管理の暗号化に変換することはできますか ?
いいえ。ボリュームをプロビジョンして暗号化タイプを指定した後に変更することはできません。