了解使用虚拟专用云时的责任
了解使用 IBM Cloud® Virtual Private Cloud (VPC) 时的管理职责。IBM Cloud VPC 客户责任适用于所有 VPC 基础架构服务,除非另有说明。 有关总体使用条款,请参阅云服务条款。
共同责任概述
IBM Cloud VPC 是 IBM Cloud 共享责任模型 中的基础架构即服务 (IaaS) 产品。 查看使用 IBM Cloud VPC时负责特定云资源的人员的下表。 然后,您可以在 按区域划分的共享职责任务 中查看更细粒度的共享职责任务。
| 资源 | 事件和操作管理 | 变更管理 | Identity and Access Management | 安全性与法规合规性 | 灾难恢复 |
|---|---|---|---|---|---|
| 数据 | 客户 | 客户 | 客户 | 客户 | 客户 |
| 应用程序 | 客户 | 客户 | 客户 | 客户 | 客户 |
| 操作系统 | 客户 | 客户 | 客户 | 客户 | 客户 |
| 虚拟服务器 | 共同承担 | 共同承担 | 共同承担 | 共同承担 | 共同承担 |
| 虚拟存储器 | 共同承担 | 共同承担 | 共同承担 | 共同承担 | 共同承担 |
| 虚拟网络 | 共同承担 | 共同承担 | 共同承担 | 共同承担 | 共同承担 |
| 系统管理程序 | IBM | IBM | IBM | IBM | IBM |
| Bare metal servers | 共同承担 | 共同承担 | 共同承担 | 共同承担 | 共同承担 |
| 物理服务器和内存 | IBM | IBM | 共同承担 | 共同承担 | IBM |
| 物理存储 | IBM | IBM | IBM | IBM | IBM |
| 物理网络和设备 | IBM | IBM | IBM | IBM | IBM |
| 设施和数据中心 | IBM | IBM | IBM | IBM | IBM |
按区域划分的共享职责的任务
在查看 概述 之后,请查看您在使用 IBM Cloud VPC时与 IBM 共同负责的任务。
事件和操作管理
事件和运行管理包括监控、事件管理、高可用性、问题确定、恢复以及完整状态备份和恢复等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| 基础架构 | IBM 部署完全托管、高度可用、安全可靠、由 拥有的基础设施。IBM | 客户使用提供的 API、CLI 或 UI 控制台调配计算和存储,并调整网络配置以满足其工作负载的需求。 要自动调配和管理 VPC 服务实例,可以使用自动化工具,如IBM Cloud Schematics或 Terraform。 |
| 可用性 | IBM 满足对 VPC 基础设施的请求,如跨多个可用区 (AZ) 和多区区域 (MZR) 的 VPC、子网、虚拟服务器实例、卷、共享、安全组、访问控制列表、浮动 IP 地址、公共网关、公共地址范围和 SSH 密钥。Block Storage File Storage | 客户使用我们提供的工具(如多个可用区)设计和部署其工作负载,以实现高可用性。 在高层次上,您需要使用至少两个位于不同区域的负载平衡器,并使用 DNS 记录指向负载平衡器,或者确保您的应用程序可以处理它可以连接到的 IP 地址列表,从而负责在区域的不同区域部署工作负载。 有关更多信息,请参阅 在多个位置和区域中部署隔离的工作负载。 |
| 自带 CIDR | IBM 提供了将自己的 CIDR 块引入子网的功能。 | 客户确保他们为其 VPC 指定的 CIDR 块不会与他们计划连接到其 VPC 的任何其他网络所使用的 CIDR 块冲突。 |
| Monitoring | IBM提供内置虚拟服务器实例监控和IBM Cloud Monitoring。 | 客户通过使用内置虚拟服务器实例监控或IBM Cloud Monitoring来监控其工作负载的健康状况。 |
| 日志 | IBM 提供对日志的访问以进行调试。 | 客户可根据需要使用 IBM Cloud Logs 检查日志。 |
| 工作负载 | IBM 提供了供客户使用的工具和功能。 | 客户使用提供的工具和功能,通过设置许可权,与其他服务集成,外部服务和监视运行状况,以及保存,备份和复原数据,来配置和部署其高可用性和弹性工作负载。 |
| 流日志 | IBM 提供从各种端点收集流日志数据的能力。 | 客户了解IBM Cloud Flow Logs for VPC数据保留流程,并确保其目标Cloud Object Storage桶得到妥善保护和加密。 |
变更管理
变更管理包括部署、配置、升级、打补丁、配置变更和删除等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| 基于操作系统的更新存储库 | IBM 提供对基于操作系统的更新库的专用网络访问。 | 客户维护操作系统补丁,版本更新和安全性更新。 |
身份和访问权管理
身份和访问管理包括身份验证、授权、访问控制策略以及批准、授予和撤销访问权限等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| IBM Cloud IAM | IBM 提供了通过 IBM Cloud 控制台和 REST API 限制对资源的访问的功能。 | 客户负责通过 IBM Cloud® Identity and Access Management (IAM) 管理对资源的访问。 |
安全性和法规合规性
安全和法规合规包括安全控制实施和合规认证等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| 合规性 | IBM 维护与当前行业合规标准相称的控制。IBM 还维护“通用数据保护条例”(GDPR) 就绪状态以实现客户合规性。 有关详细信息,请参阅 了解 IBM Cloud 合规性。 | 客户有责任确保自己遵守各种法律法规,包括《欧盟通用数据保护条例》。 |
| 安全性功能 | IBM 启用安全功能,如加密磁盘。 | 客户使用提供的安全功能,例如,限制用户对相应资源和资源组的访问权。 |
| 漏洞 | IBM 持续监控库存图片,检测漏洞和安全合规问题。 | 客户负责通过描述补救任何漏洞的操作的安全公告,对其进行有关可能的漏洞和安全问题的培训。 客户可以使用 IBM Cloud 状态 Web 站点来查找有关影响 IBM Cloud 平台,基础结构和主要服务的关键事件的声明和安全公告通知。 |
| 审计记录 | IBM 通过 提供 VPC 资源生命周期的审计记录。IBM Cloud Activity Tracker Event Routing | 客户使用 IBM Cloud Activity Tracker Event Routing 工具监控审计记录。 |
| 安全组和 ACL | IBM 提供了通过使用安全组和网络 ACL 来限制对虚拟服务器实例的访问的功能。 | 客户使用安全组和网络 ACL 来确保虚拟服务器实例的安全,例如限制哪些 IP 地址可以 SSH 进入实例。 |
| 公用网络访问权 | IBM 提供了使用公共网关、浮动 IP 地址或公共地址范围的选项。 | 如果适用,客户可选择通过公共网关、浮动 IP 或公共地址范围将其工作负载连接到公共互联网。 |
| 访问限制 | IBM 为客户提供安全措施,以限制对资源和资源组的访问。 | 客户限制用户访问适当的资源和资源组。 |
| 活动跟踪 | IBM 提供日志记录和监视工具。 | 客户将 IBM Cloud Activity Tracker Event Routing 和 IBM Cloud Monitoring 数据纳入其审计和监控流程。 |
| 加密 | IBM Cloud VPN for VPC通过使用 IKE/IPsec 策略支持加密流量。
File Storage for VPC只有在启用传输中加密时才被视为金融服务验证服务。 |
客户确保其连接是端到端加密的 (如果需要)。 |
灾难恢复
灾难恢复包括提供灾难恢复站点的依赖性、配置灾难恢复环境、数据和配置备份、将数据和配置复制到灾难恢复环境以及灾难事件的故障转移等任务。
| 任务 | IBM 责任 | 您的责任 |
|---|---|---|
| 负载均衡器和 VPN 灾难恢复 | IBM Cloud Load Balancer和VPN for VPC在区域外的灾难恢复节点中异地存储和复制配置数据,并每天进行备份。 这些数据完全由IBM Cloud管理,无需客户输入,以确保服务恢复,尽管配置数据最多可能会丢失 24 小时。 | 客户为工作负载数据设置其备份和恢复策略。 |