Visión general de las claves de API
Una clave de interfaz de programación de aplicaciones (clave de API) es un código exclusivo que se pasa a una API para identificar la aplicación o el usuario que efectúa la llamada. Las claves de API se utilizan para realizar un seguimiento y un control sobre la forma la que se utiliza la API, por ejemplo, para impedir un uso malintencionado o abusivo de la misma. La clave de API a menudo actúa a la vez como un identificador exclusivo y como una señal secreta para la autenticación, y se le asigna un conjunto de acceso específico de la identidad que tiene asociada.
Para ver las claves de la API, vaya a Gestionar > Acceso (IAM) > Teclas de API en la consola de IBM Cloud.
Claves de API de IBM Cloud para usuarios
Las claves de API de IBM Cloud® están asociadas a la identidad de un usuario, y cada clave de API que crea el usuario tiene el mismo acceso que tiene asignado el usuario. El acceso que tiene asignado el usuario puede proceder de políticas que se aplican a varias cuentas de las que el usuario es miembro. Por lo tanto, se puede utilizar la clave de API de un usuario para generar una señal y acceder a los recursos a los que tiene acceso un usuario fuera de la cuenta en la que se ha creado la clave de API.
La clave de API de usuario se puede utilizar directamente o puede servir para generar una señal. Puesto que los usuarios pueden ser miembros de varias cuentas y tener acceso a muchos recursos de varias cuentas y la clave de API se utiliza para identificar el usuario, puede proporcionar acceso a prácticamente cualquier recurso en cualquier cuenta a la que el usuario tenga acceso. Por este motivo, la clave de API de usuario se debe tratar del mismo modo que un nombre de usuario y contraseña y no se debe compartir.
Las claves de API de IBM Cloud para los usuarios se pueden crear y asociar con un ID funcional. Un ID funcional es un ID de usuario creado para representar un programa, una aplicación o un servicio. Se puede invitar al ID funcional a una cuenta y se le puede asignar acceso solo para una determinada finalidad, como interactuar con un determinado recurso o aplicación. Se debe otorgar al ID funcional solamente el nivel de acceso mínimo en una sola cuenta que se necesite para realizar la función específica para la que se ha creado.
Si un servicio necesita una clave de API de usuario para interactuar con otros servicios o aplicaciones, utilice la clave de API de usuario de ID funcional. Mediante la clave de API asociada al ID funcional, puede proporcionar solo el acceso necesario para ese servicio. El hecho de compartir una clave de API de ID de usuario real con un servicio permite al servicio acceder a cualquier recurso al que puede acceder el usuario en varias cuentas. Se recomienda encarecidamente no compartir una clave de API de ID de usuario.
Solo el usuario al que está asociada la clave de API y un administrador del servicio de identidad puede suprimirla. Puede utilizar las claves de API de IBM Cloud en la interfaz de línea de mandatos (CLI) o como parte de la automatización para iniciar sesión como su identidad de usuario. También puede utilizar claves de API de IBM Cloud para acceder a las API de infraestructura clásica.
Para obtener más información sobre la utilización de una clave de API asociada con su identidad de usuario, consulte Gestión de las claves de API de usuario.
Otros tipos de claves de API
Además de las claves de API de IBM Cloud, hay disponibles un par de otros tipos de claves de API que puede utilizar:
- Claves de API del ID de servicio
- Claves de API de la infraestructura clásica
- Claves de API específicas del servicio
También puede utilizar las claves de API asociadas con los ID de servicio que cree. Los ID de servicio se utilizan para conectar una aplicación dentro o fuera de IBM Cloud con un servicio de IBM Cloud. Las claves de API de ID de servicio heredan todo el acceso asignado a un determinado ID de servicio. Para obtener más información sobre cómo crear claves de API asociadas con un ID de servicio, consulte Gestión de claves de API de ID de servicio.
Las claves de API de la infraestructura clásica se utilizan para llamar a las API para los servicios de la infraestructura clásica. Las claves de API de la infraestructura clásica se deben crear de una en una. Puede crear una clave de API de infraestructura clásica para sí mismo desde la página de claves de API o la página Detalles de usuario.
También puede utilizar las claves de API de IBM Cloud para acceder a las API de la infraestructura clásica.
Algunos servicios de IBM Cloud pueden proporcionar una clave de API cuando se trabaja con el servicio que es una clave de API generada automáticamente asociada con un ID de servicio. Por ejemplo, si está viendo los detalles de un servicio Watson en la página Lista de recursos, puede crear una credencial que incluya una clave de API y un secreto específicos para ese servicio en la página Credenciales de servicio.
Trabajo con las claves de API
Para gestionar las claves de API de IBM Cloud asociadas a la identidad de usuario o a las que tiene acceso para gestionar para otros usuarios de la cuenta, vaya a Gestionar > Acceso (IAM) > Claves de API en la consola de IBM Cloud.
En la página Claves de API de IBM Cloud, puede crear, editar o suprimir claves de API de IBM Cloud para sí mismo, así como gestionar todas las claves de API de la infraestructura clásica para los usuarios de los que es un ancestro en la jerarquía de usuarios. Esto significa que puede gestionar las claves de API para todos los usuarios que ha invitado a la cuenta, o los usuarios hijo invitados a la cuenta, etc. Además, si es el propietario de la cuenta o un usuario con el acceso necesario para gestionar las claves de API de otro usuario en la cuenta, puede utilizar el filtro Ver para listar y gestionar dichas claves de API.
Acceso necesario para la gestión de claves de API
De forma predeterminada, siempre tiene acceso para crear sus propias claves de API y, a continuación, actualizarlas y suprimirlas según sea necesario. También puede gestionar su propia clave de API de la infraestructura clásica y las claves de API de la infraestructura clásica de cualquier usuario que sea un ancestro en la jerarquía de usuarios de la infraestructura clásica, lo que significa que ha invitado al usuario o que alguien a quien ha invitado a la cuenta ha invitado al usuario, y así sucesivamente.
Si la opción Restringir la creación de claves de API de la cuenta IAM está habilitada, se bloquea la creación de claves de API a todas las personas de la cuenta, incluido el propietario de la cuenta, a menos que se les asigne un acceso explícito. Para obtener más información, consulte Restringir a los usuarios la creación de claves de API.
Si es el propietario de la cuenta o un usuario con el acceso necesario, puede acceder a las claves de API o a las claves de API del ID de servicio de otro usuario utilizando el filtro Ver en la página Claves de API. Puede editar o suprimir las claves de API en función del acceso que tiene asignado. Solo ve las opciones de filtro para el tipo de claves de API a las que tiene acceso para ver y gestionar.
| Opciones de filtro | Claves de API visualizadas | Acceso necesario | Acciones permitidas |
|---|---|---|---|
| Mis claves de API de IBM Cloud | Las claves de API de IBM Cloud | No se requiere acceso | Ver, crear, editar, suprimir |
| Todas las claves de API de usuario de IBM Cloud | Todas las claves de API de IBM Cloud creadas por todos los usuarios de la cuenta | Rol de administrador en el servicio de identidad IAM | Ver, editar y suprimir |
| Todas las claves de API del ID de servicio | Todas las claves de API creadas para los ID de servicio en la cuenta | Rol de administrador en el servicio de identidad IAM | Ver, editar y suprimir |
| Claves de API de la infraestructura clásica | La clave de API de la infraestructura clásica y todas las claves de API de la infraestructura clásica para los usuarios de los que es un ancestro en la jerarquía de usuarios | No se requiere acceso salvo ser un ancestro en la jerarquía de usuarios | Ver detalles y suprimir |