IBM Cloud Docs
保护 Watson 服务中的敏感信息

保护 Watson 服务中的敏感信息

IBM Cloud

您可以通过启用与 IBM® Key Protect for IBM Cloud®的集成,向静态数据 (存储时) 和动态数据 (传输时) 添加更高级别的加密保护和控制。

存储在 IBM Cloud 中的数据将使用随机生成的密钥进行静态加密。 如果需要控制加密密钥,可以集成 Key Protect。 此过程通常称为 自带密钥 (BYOK)。 通过 Key Protect ,您可以创建,导入和管理加密密钥。 您可以向密钥分配访问策略,向密钥分配用户或服务标识,或者仅向密钥授予对特定 Watson 服务的访问权。 前 20 个密钥是免费的。

Watson 服务的数据加密需要新的 Premium 套餐实例。 无法对不在高级套餐中的现有服务实例进行加密。 并非所有 Watson 服务都支持 Premium 套餐。 有关高级套餐的更多信息,请 联系 Watson 代表

关于客户管理的加密

Watson 使用 包络加密The process of encrypting data with a data encryption key and then encrypting the key with a root key that can be fully managed. 来实现客户管理的密钥。 信封加密是指使用另一个加密密钥对某个加密密钥进行加密的过程。 用于加密实际数据的密钥称为 数据加密密钥 (DEK)A cryptographic key used to encrypt data that is stored in an application.。 从不会存储 DEK 本身,但是会通过第二个密钥(称为“密钥加密密钥”(KEK))将其打包以创建一个打包 DEK。 如果要解密数据,那么需要对打包 DEK 进行解包以获取 DEK。 此过程只能通过访问 KEK 来实现,在本例中, KEK 是存储在 Key Protect中的根密钥。

Key Protect 密钥受 FIPS 140-2 级别 3 认证的基于云的 硬件安全模块 (HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service.保护。

使用 Watson 启用客户管理的密钥

某些 Watson 服务具有有关如何使用 Key Protect的其他详细信息。 有关更多信息,请参阅服务的 文档

将 Key Protect 与 Watson Premium 服务在 IBM Cloud 控制台中涉及这些步骤。

  1. 创建 Key Protect的实例。
  2. 将根密钥添加到 Key Protect 实例。
  3. 授予 Key Protect 对 Watson 服务的所有实例的访问权。
  4. 加密 Watson 服务数据

步骤 1. 创建 Key Protect 实例

创建 Key Protect 实例以保存根密钥。

  1. 转至 IBM Cloud 目录 安全性和身份 类别中的 Key Protect 页面。
  2. 选择区域。 确保在要加密的 Watson 服务所在的位置创建实例。
  3. 对服务进行命名,然后单击 创建

步骤 2. 添加密钥

使用 Key Protect 来生成密钥或导入您自己的密钥。

创建根密钥

使用 Key Protect 创建密钥时,服务会生成根植于基于云的 HSM 中的密钥资料。

创建服务实例后,添加根密钥。

  1. 如果您尚未在详细信息页面上,请单击 资源列表中 Key Protect 实例的名称。
  2. 添加 Key Protect 根密钥A symmetric wrapping key that is used for encrypting and decrypting other keys that are stored in a data service.:
    1. 从服务详细信息的左侧导航窗格中单击 管理 ,然后单击 添加密钥
    2. 选择 创建密钥根密钥 类型
    3. 为密钥提供可识别的名称,然后单击 创建密钥。 确保密钥名称不包含个人信息,例如您的姓名或位置。

导入密钥

如果需要使用自己的解决方案生成密钥,那么可以使用 Key Protect 来保护密钥。

创建服务实例后,添加根密钥。

  1. 单击 资源列表中 Key Protect 实例的名称。
  2. 导入根密钥:

    1. 从服务详细信息的左侧导航窗格中单击 管理 ,然后单击 添加密钥

    2. 选择 导入您自己的密钥 根密钥 类型。

    3. 密钥资料中,指定 base64 编码的密钥资料,例如现有密钥打包密钥。

      • 密钥必须为 128 位、192 位或 256 位。
      • 数据字节(例如,对于 256 位,为 32 个字节)必须使用 Base64 编码进行编码。

    4. 为密钥提供可识别的名称,然后单击 导入密钥。 确保密钥名称不包含个人信息,例如您的姓名或位置。

步骤 3. 授予对 Key Protect 的服务访问权

将根密钥添加到 Key Protect后,使用 Cloud Identity and Access Management (IAM) 来授权 Watson 服务与 Key Protect之间的访问权。

您必须是 Key Protect 服务实例上的帐户所有者或管理员,并且必须至少是 Watson 服务的所有实例上的查看者角色。

  1. 转至 IAM 授权 页面。 (从 IBM Cloud 控制台菜单栏中,选择 管理 > 访问 IAM,然后单击 授权。)

  2. 单击创建

  3. 选择 Watson 服务作为 源服务。 使 所有资源 保持选中状态以限定访问权的作用域。

  4. 选择 Key Protect 作为 目标服务

  5. 选择 基于所选属性的资源,然后选择目标服务属性的 实例标识 。 以下某个条件 必须 为 true 才能授权:

    • IAM 策略授权包含 Key Protect 实例的资源组将从属服务的所有实例作为目标。
    • IAM 策略授权 Key Protect 的特定实例将从属服务的所有实例作为目标。
    • IAM 策略授权 Key Protect 的特定实例以在其中创建从属服务的新实例的资源组为目标。
    • IAM 策略授权包含 Key Protect 实例的资源组将在其中创建从属服务的新实例的资源组作为目标。

    选择先前创建的 Key Protect 服务实例。

  6. 通过选择 允许授权来授权从属服务。 授权允许 Key Protect 实例将其权限传播到此服务。

  7. 确保已启用 读者 角色。 读者许可权允许 Watson 服务查看 Key Protect 实例中的根密钥。

  8. 单击 授权 并确认授权。

步骤 4。 加密 Watson 服务数据

授予 Watson 服务使用密钥的权限后,请在 Premium 套餐上创建另一个实例,并提供密钥名称或 CRN。 该服务使用加密密钥对数据进行加密。

您必须具有 Watson 服务的管理员或编辑者角色。

  1. 转至 AI/ Machine Learning 类别页面。

  2. 选择您在 步骤 3 中授权的 Watson 服务。 授予服务访问权

  3. 选择区域。 确保在步骤 1 中创建的 Key Protect 服务所在的位置中创建实例。

  4. 选择高级套餐。 此功能仅在高级套餐上受支持。

  5. 使用 Key Protect加密服务数据:

    1. 选择 以 "使用 Key Protect对服务进行加密"。
    2. 选择先前授权的 Key Protect 实例。
    3. 选择先前授权的根密钥。

    如果看到下拉菜单闪烁并消失,请检查是否正确遵循了 步骤 3 的子步骤 5。 授予服务访问权

  6. 单击创建

与此 Watson 服务实例关联的数据现在已加密。

使用由客户管理的密钥

启用客户管理的密钥后,服务将正常运行,并且您可以使用 Key Protect来管理对数据的访问权。

暂时阻止访问您的数据

要临时阻止访问,请除去 Watson 服务与 Key Protect之间的所有权限:

  • 从 IAM " 授权 " 页面中除去在步骤 3 中创建的授权。

  • 除去与 Watson 服务和 Key Protect连接的其他服务之间的所有其他权限。

    1. 查找要除去其访问权的 Watson 服务的云资源名称标识 (CRN)。 通过单击 资源列表中的服务实例行来查找 CRN。 CRN 将显示在 "详细信息" 窗格中。
    2. 返回到 "授权" 页面,在列表中搜索该 CRN。
    3. 除去以 Watson 服务的 CRN 作为源,以 Key Protect 作为目标的每个授权。

    这些其他授权可能存在,因为 Watson 服务可以根据您创建的授权来创建授权策略。

Watson 实例无法再访问数据,因为不存在访问密钥的权限。 有关更多信息,请在 "使用授权在服务之间授予访问权" 中搜索 除去授权

复原临时访问权

要在临时除去访问权后恢复访问权,请执行以下步骤:

  1. 在 Watson 服务与 Key Protect 实例之间重新创建授权,如 步骤 3 中所示。 授予服务访问权
  2. 告知您要通过 Key Protect复原访问权的 IBM Client Success Manager (CSM)。

在重新创建授权并且 CSM 确认 Watson 已重新连接任何授权后, Watson 实例将再次开始接受连接。

永久阻止访问您的数据

要安全地删除数据,请删除已加密的 Watson 服务实例和 Key Protect 密钥。

删除数据加密密钥时,该密钥不可恢复,并且无法解密该密钥。 您阻止进一步访问数据,但也无法恢复数据。

有关删除密钥的更多信息,请参阅 Key Protect 文档中的 删除密钥

轮换密钥

密钥轮换是缓解数据违规风险的重要一环。 定期更改密钥可减少因密钥丢失或泄露而可能导致的数据丢失。 有关更多信息,请参阅 Key Protect 文档中的 设置轮换策略

确定要对服务实例进行加密的密钥

要查看用于加密数据的 Key Protect 实例,请使用服务详细信息中的链接。

  1. 转至 资源列表
  2. 单击 Watson 服务实例的名称。
  3. 单击左侧窗格上的 管理 选项卡。
  4. 查找 "使用 Key Protect 根密钥加密"。 单击 查看 KeyProtect 实例 以查看该 Key Protect 实例中密钥的详细信息。

后续步骤