watsonx.data でのデータの保護
データ・セキュリティーを確保するために、 IBM® watsonx.data でデータが暗号化される方法を理解します。
watsonx.data サービスには、そのアーキテクチャのすべてのレベルに組み込まれたセキュリティがあります。
- Web Console UI、API、 Presto、 Milvus、Metadata Service のデータは、SSL/TLS 1.3を使用して暗号化されます。
- Web Console UI、API、 Presto、およびメタデータ・サービスの認証と認可は、 IBM Cloud IAM を介して行われます。
- Presto Kubernetes ワーカー・ノードの NVMe SSD (ローカル一時 RaptorX キャッシングに使用) は、 AES-256を使用して暗号化されます。
- メタデータ・サービスのバックエンド・データベースは、 Key Protectて暗号化されている。
- 内部メタデータおよび 10 GB 制限付き試用版バケット用のバックエンド・オブジェクト・ストレージ・リポジトリーは、 AES-256を使用して暗号化されます。 プロビジョン時に、 Key Protect を介した Customer Bring-Your-Own-Key (BYOK) と、Hyper Protect Crypto (HPCS) を介した Keep-your-own-key (KYOK) がサポートされます。
データと鍵の統合
内部メタデータ用のバックエンド・オブジェクト・ストレージ・バケット、および watsonx.data 用の 10 GB 制限付き試用バケットは、暗号鍵を使用して暗号化できます。 暗号鍵を制御する必要がある場合は、 IBM Key Protect または Hyper Protect Crypto Services を使用して、暗号鍵を作成、追加、および管理します。 そして、そのキーを watsonx.data デプロイメントに関連付けることで、バケットを暗号化できる。
IBM Key Protect を使用すると、 IBM Cloud サービス全体で、暗号化されたキーをアプリにプロビジョニングできます。 鍵のライフサイクルを管理し、情報盗難から保護する FIPS140-2 レベル 3 認定のクラウド・ベースのハードウェア・セキュリティー・モジュール (HSM) によって鍵が保護されているという利点があります。
Hyper Protect Crypto Services は、お客様が管理する単一テナントの専用 HSM です。 このサービスは、FIPS 140-2 レベル 4 認定を受けたハードウェア上に構築されており、クラウド・プロバイダーが提供するサービスとしては業界最高クラスのサービスです。 開始するには、 IBM Cloud アカウントで Key Protect インスタンスまたは Hyper Protect Crypto Services インスタンスをプロビジョンする必要があります。
鍵管理サービスでの鍵の作成または追加
- Key Protectに鍵を追加するには、 Key Protect のインスタンスに移動し、鍵を生成または入力します。
- Hyper Protect Crypto Servicesに鍵を追加するには、インスタンス ofHyper Protect Crypto Services (HPCS) にナビゲートして、鍵を生成します。
提供される地域
以下のグラフは、どの領域でどのキーを使用できるかを示しています。
watsonx.data リージョン (IBM) | Key Protect 使用可能な領域 | 使用可能な HPCS 領域 |
---|---|---|
ダラス (米国南部) | 米国南部 | 米国南部 |
ワシントン (us-east) | 米国南部 | 米国東部 |
フランクフルト (eu-de) | EU-DE | 該当なし |
ロンドン (eu-gb) | EU-DE | 該当なし |
東京 (jp-tok) | jp-tok | 該当なし |
シドニー (au-syd) | au-syd | 該当なし |
watsonx.data リージョン (AWS) | Key Protect 使用可能な領域 | 使用可能な HPCS 領域 |
---|---|---|
N。 バージニア (US-East-1) | 米国南部 | 米国東部 |
オレゴン (US-West-2) | 米国南部 | 米国南部 |
フランクフルト (EU-Central-1) | EU-DE | 該当なし |
東京 (jp-tok) | jp-tok | 該当なし |
サービス許可の付与
watsonx.dataのデプロイメントで使用するAuthorize Key Protect :
- IBM Cloud ダッシュボードを開きます。
- メニューバーから「管理 > アクセス(IAM)」を選択します。
- サイドナビゲーションで、Authorizationsを選択します。 「作成」をクリックします。
- ソース サービス]メニューで、配置のサービスを選択します。 例えば、 watsonx.dataです。
- ソースサービスインスタンス]メニューで、[すべてのサービスインスタンス]を選択します。
- 「ターゲット・サービス」メニューで、 Key Protect または Hyper Protect Crypto Servicesを選択します。
- 「ターゲット・サービス・インスタンス (target service instance)」メニューで、許可するサービス・インスタンスを選択します。
- リーダー役割を有効にします。 「許可」をクリックします。
鍵暗号鍵の使用
鍵を使用するために watsonx.data デプロイメントの許可を付与した後、デプロイメントをプロビジョンするときに、 Key Protect または Hyper Protect Crypto Services で鍵名または CRN を指定します。 このデプロイメントは暗号鍵を使用してデータを暗号化します。