保护 watsonx.data 中的数据
了解如何在 IBM® watsonx.data 中加密数据以确保数据安全性。
watsonx.data 服务具有内置到其体系结构所有级别的安全性。
- 网络控制台用户界面、应用程序接口、Presto、Milvus 和元数据服务的移动数据均使用 SSL/TLS 1.3 加密。
- 通过 IBM Cloud IAM 对 Web Console UI、API、Presto 和元数据服务进行身份验证和授权。
- 使用 AES-256对用于本地临时 RaptorX 高速缓存的 Presto Kubernetes 工作程序节点 NVMe SSD 进行加密。
- 元数据服务后端数据库通过Key Protect进行加密。
- 使用 AES-256对内部元数据和 10 GB 受限试用存储区的后端对象存储库进行加密。 在供应时支持客户通过 Key Protect 自带密钥 (BYOK) 和通过 Hyper Protect Crypto (HPCS) 自带密钥 (KYOK)
集成数据和密钥
可以使用加密密钥对内部元数据的后端对象存储存储区和 watsonx.data 的 10 GB 有限试用存储区进行加密。 如果需要控制加密密钥,请使用 IBM Key Protect 或 Hyper Protect Crypto Services 来创建,添加和管理加密密钥。 然后,您可以将这些密钥与 watsonx.data 部署相关联,以加密存储区。
IBM Key Protect 可帮助您为跨 IBM Cloud服务的应用程序提供加密密钥。 当密钥受 FIPS140-2 级别 3 认证的基于云的硬件安全模块 (HSM) 保护时,您可以管理密钥的生命周期并从中获益,这些模块可防止信息被盗。
Hyper Protect Crypto Services 是由您控制的单租户专用 HSM。 该服务在通过 FIPS 140-2 级别 4 认证的硬件上构建,该级别是行业内任何云提供者提供的最高级别。 首先,您需要在 IBM Cloud 帐户上供应 Key Protect 实例或 Hyper Protect Crypto Services 实例。
在密钥管理服务中创建或添加密钥
- 要在 Key Protect中添加密钥,请转至 Key Protect 实例并生成或输入密钥。
- 要在 Hyper Protect Crypto Services中添加密钥,请浏览到实例 ofHyper Protect Crypto Services (HPCS) 并生成密钥。
提供的区域
下面的图表显示可以在哪个区域中使用哪些键。
| watsonx.data 区域 (IBM) | Key Protect 区域可用 | HPCS 区域可用 |
|---|---|---|
| 达拉斯 (us-south) | 美国南部 | 美国南部 |
| 华盛顿 (us-east) | 美国南部 | US-East |
| 法兰克福 (eu-de) | EU-DE | 不适用 |
| 伦敦 (eu-gb) | EU-DE | 不适用 |
| 东京 (jp-tok) | jp-tok | 不适用 |
| 悉尼 (au-syd) | au-syd | 不适用 |
| watsonx.data 区域 (AWS) | Key Protect 区域可用 | HPCS 区域可用 |
|---|---|---|
| N. 弗吉尼亚 (US-East-1) | 美国南部 | US-East |
| 俄勒冈州 (US-West-2) | 美国南部 | 美国南部 |
| 法兰克福 (EU-Central-1) | EU-DE | 不适用 |
| 东京 (jp-tok) | jp-tok | 不适用 |
授予服务授权
授权 Key Protect 用于 watsonx.data 部署:
- 打开 IBM Cloud 仪表板。
- 从菜单栏选择管理 > 访问 (IAM)。
- 在侧导航中,选择“授权”。 单击“创建”。
- 在“源服务”菜单中,选择部署的服务。 例如,watsonx.data。
- 在源服务实例菜单中,选择所有服务实例。
- 在“目标服务”菜单中,选择 Key Protect 或 Hyper Protect Crypto Services。
- 在目标服务实例菜单中,选择要授权的服务实例。
- 启用“读者”角色。 单击“授权”。
使用密钥加密密钥
授予 watsonx.data 部署许可权以使用密钥后,请在供应部署时在 Key Protect 或 Hyper Protect Crypto Services 中提供密钥名称或 CRN。 部署使用加密密钥对数据进行加密。