IBM Cloud Docs
保護 Watson 服務中的機密性資訊

保護 Watson 服務中的機密性資訊

IBM Cloud

透過啟用與 IBM® Key Protect for IBM Cloud®的整合,您可以對靜態資料 (儲存時) 和動態資料 (傳輸時) 新增更高層次的加密保護和控制。

您儲存在 IBM Cloud 中的資料會使用隨機產生的金鑰進行靜態加密。 如果需要控制加密金鑰,您可以整合 Key Protect。 此處理程序通常稱為 自帶金鑰 (BYOK)。 使用 Key Protect ,您可以建立、匯入及管理加密金鑰。 您可以將存取原則指派給金鑰,將使用者或服務 ID 指派給金鑰,或只提供特定 Watson 服務的金鑰存取權。 前 20 個金鑰是免費的。

Watson 服務的資料加密需要新的超值方案實例。 您無法加密現有服務實例或不在「超值」方案中的實例。 並非所有 Watson 服務都支援超值方案。 如需超值方案的相關資訊,請 聯絡 Watson 業務代表

關於客戶管理的加密

Watson 使用 封套加密The process of encrypting data with a data encryption key and then encrypting the key with a root key that can be fully managed. 來實作客戶管理的金鑰。 封套加密說明加密金鑰是用另一個加密金鑰來加密的。 用來加密實際資料的金鑰稱為 資料加密金鑰 (DEK)A cryptographic key used to encrypt data that is stored in an application.。 DEK 本身永不會儲存,但是會用第二個金鑰(亦稱為「金鑰加密金鑰 (KEK)」)來封裝,以建立一個封裝 DEK。 如果要將資料解密,則會解開封裝的 DEK,以取得 DEK。 只有透過存取 KEK 才能執行此程序,在此情況下, KEK 是儲存在 Key Protect中的根金鑰。

Key Protect 金鑰受到 FIPS 140-2 Level 3 認證雲端型 硬體安全模組 (HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service.的保護。

使用 Watson 啟用客戶管理的金鑰

部分 Watson 服務具有如何使用 Key Protect的其他詳細資料。 如需相關資訊,請參閱服務的 文件

將 Key Protect 與 Watson Premium 服務整合涉及 IBM Cloud 主控台中的這些步驟。

  1. 建立 Key Protect的實例。
  2. 將根金鑰新增至 Key Protect 實例。
  3. 授與 Key Protect 存取權給 Watson 服務的所有實例。
  4. 加密 Watson 服務資料

步驟 1. 建立 Key Protect 實例

建立 Key Protect 的實例以保留根金鑰。

  1. 移至 IBM Cloud 型錄 安全與身分 種類中的 Key Protect 頁面。
  2. 選取地區。 請確保在與您要加密的 Watson 服務相同的位置中建立實例。
  3. 為服務命名,然後按一下 建立

步驟 2. 新增金鑰

您可以使用 Key Protect 來產生金鑰或匯入您自己的金鑰。

建立根金鑰

當您使用 Key Protect 來建立金鑰時,服務會產生以雲端型 HSM 為根的加密金鑰資料。

建立服務的實例之後,請新增根金鑰。

  1. 如果您尚未在詳細資料頁面上,請按一下 資源清單中 Key Protect 實例的名稱。
  2. 新增 Key Protect 根金鑰A symmetric wrapping key that is used for encrypting and decrypting other keys that are stored in a data service.:
    1. 從服務詳細資料的左導覽窗格中按一下 管理 ,然後按一下 新增金鑰
    2. 選取 建立金鑰根金鑰 類型
    3. 為金鑰提供一個您可以辨識的名稱,然後按一下 建立金鑰。 請確定金鑰名稱不包含個人資訊,例如您的名稱或位置。

匯入金鑰

如果需要使用您自己的解決方案來產生金鑰,您可以使用 Key Protect 來保護金鑰的安全。

建立服務的實例之後,請新增根金鑰。

  1. 按一下 資源清單中 Key Protect 實例的名稱。
  2. 匯入根金鑰:

    1. 從服務詳細資料的左導覽窗格中按一下 管理 ,然後按一下 新增金鑰

    2. 選取 匯入您自己的金鑰 根金鑰 類型。

    3. 金鑰資料中,指定 base64 編碼的金鑰資料,例如現有的金鑰包裝金鑰。

      • 金鑰必須是 128、192 或 256 位元。
      • 必須使用 base64 編碼來編碼資料位元組(例如 32 位元組適用於 256 位元)。

    4. 為金鑰提供一個您可以辨識的名稱,然後按一下 匯入金鑰。 請確定金鑰名稱不包含個人資訊,例如您的名稱或位置。

步驟 3. 授與 Key Protect 的服務存取權

將根金鑰新增至 Key Protect之後,您可以使用 Cloud Identity and Access Management (IAM) 來授權 Watson 服務與 Key Protect之間的存取權。

您必須是 Key Protect 服務實例上的帳戶擁有者或管理者,以及至少在 Watson 服務的所有實例上的檢視者角色。

  1. 移至 IAM 授權 頁面。 (從 IBM Cloud 主控台功能表列,選取 管理 > 存取 IAM,然後按一下 授權。)

  2. 按一下建立

  3. 選取 Watson 服務作為 來源服務。 保留選取 所有資源 ,以設定存取權的範圍。

  4. 選取 Key Protect 作為 目標服務

  5. 選取 基於所選屬性的資源,然後選取目標服務屬性的 實例 ID 。 下列其中一個準則 必須 為 true 才能授權:

    • 「IAM 原則」會授權包含 Key Protect 實例的資源群組,以將相依服務的所有實例設為目標。
    • 「IAM 原則」會授權 Key Protect 的特定實例,以將相依服務的所有實例設為目標。
    • 「IAM 原則」會授權 Key Protect 的特定實例,以在其中建立相依服務新實例的資源群組為目標。
    • IAM 原則會授權包含 Key Protect 實例的資源群組,以將在其中建立相依服務新實例的資源群組設為目標。

    選取您先前建立的 Key Protect 服務實例。

  6. 選取 啟用要委派的授權來授權相依服務。 委派可讓 Key Protect 實例將其授權延伸至此服務。

  7. 確定已啟用 讀者 角色。 讀者權限容許 Watson 服務查看 Key Protect 實例中的根金鑰。

  8. 按一下 授權 ,並確認委派的授權。

步驟 4. 加密 Watson 服務資料

在您授與 Watson 服務使用金鑰的權限之後,您會在超值方案上建立另一個實例,並提供金鑰名稱或 CRN。 服務會使用您的加密金鑰來加密您的資料。

您必須具有 Watson 服務的管理者或編輯者角色。

  1. 移至 AI/ Machine Learning 種類頁面。

  2. 選取您在 步驟 3 中授權的 Watson 服務。 授與服務存取權

  3. 選取地區。 請確保在與您在步驟 1 中建立的 Key Protect 服務相同的位置建立實例。

  4. 選取超值方案。 此特性僅在「超值」方案上受支援。

  5. 使用 Key Protect加密服務資料:

    1. 選取 以「使用 Key Protect加密服務」。
    2. 選取您先前授權的 Key Protect 實例。
    3. 選取您先前授權的根金鑰。

    如果您看到下拉功能表閃動並消失,請確認您已正確遵循 步驟 3 的子步驟 5。 授與服務存取權

  6. 按一下建立

與此 Watson 服務實例相關聯的資料現在已加密。

使用客戶管理的金鑰

啟用客戶管理的金鑰之後,服務會正常運作,且您可以使用 Key Protect來管理資料的存取權。

暫時阻止存取您的資料

若要暫時阻止存取,請移除 Watson 服務與 Key Protect之間的所有授權:

  • 從 IAM 授權 頁面移除您在步驟 3 中建立的授權。

  • 移除與 Watson 服務及 Key Protect連接的其他服務之間的所有其他授權。

    1. 尋找您要移除存取權之 Watson 服務的雲端資源名稱 ID (CRN)。 您可以按一下 資源清單中的服務實例列來尋找 CRN。 CRN 會顯示在詳細資料窗格中。
    2. 回到「授權」頁面,在清單中搜尋該 CRN。
    3. 移除每一個授權,並以 Watson 服務的 CRN 作為來源,並以 Key Protect 作為目標。

    這些其他授權可能存在,因為 Watson 服務可以從您建立的授權建立委派原則。

Watson 實例無法再存取資料,因為不存在存取金鑰的授權。 如需相關資訊,請在「使用授權來授與服務之間的存取權」中搜尋 移除授權

還原暫時存取權

若要在暫時移除存取權之後還原存取權,請遵循下列步驟:

  1. 在 Watson 服務與 Key Protect 實例之間重建授權,如 步驟 3 所示。 授與服務存取權
  2. 告知您的 IBM Client Success Manager (CSM) 您想要透過 Key Protect還原存取權。

在您重建授權並確認 Watson 已重新連接任何委派授權之後, Watson 實例會再次開始接受連線。

永久阻止存取您的資料

若要安全地刪除資料,請同時刪除已加密的 Watson 服務實例及 Key Protect 金鑰。

當您刪除資料加密金鑰時,它無法回復,且您無法解密金鑰。 您阻止進一步存取資料,但也無法回復資料。

如需刪除金鑰的相關資訊,請參閱 Key Protect 文件中的 刪除金鑰

替換金鑰

金鑰替換是降低資料外洩風險的重要部分。 如果金鑰遺失或遭洩漏,則定期變更金鑰可降低潛在的資料流失。 如需相關資訊,請參閱 Key Protect 文件中的 設定輪替原則

識別哪個金鑰正在加密服務實例

若要查看使用哪個 Key Protect 實例來加密資料,請使用服務詳細資料中的鏈結。

  1. 移至 資源清單
  2. 按一下 Watson 服務實例的名稱。
  3. 按一下左窗格上的 管理 標籤。
  4. 尋找「使用 Key Protect 根金鑰加密」。 按一下 檢視 KeyProtect 實例 ,以查看該 Key Protect 實例中金鑰的詳細資料。

後續步驟