Entendendo as chaves de API
Uma chave de interface de programação de aplicativos (chave de API) é um código exclusivo passado para uma API para identificar o aplicativo de chamada ou o usuário. As chaves API são usadas para rastrear e controlar como a API está sendo usada, por exemplo, para evitar uso malicioso ou abuso da API. A chave de API muitas vezes age como um identificador exclusivo e um token secreto para autenticação e um conjunto de acesso específico para a identidade que está associada a ele é designado.
Para visualizar suas chaves de API, acesse Gerenciar > Acesso (IAM) > Chaves de API no console do IBM Cloud.
Chaves de API do IBM Cloud para usuários
As chaves de API do IBM Cloud® estão associadas à identidade de um usuário e cada chave de API que é criada pelo usuário tem o mesmo acesso que o designado ao usuário. O acesso designado ao usuário pode ser por meio de políticas em múltiplas contas das quais o usuário é um membro. Portanto, é possível que a chave de API de um usuário possa ser usada para gerar um token e acessar recursos aos quais um usuário tem acesso fora da conta na qual a chave de API foi criada.
A chave de API do usuário pode ser usada diretamente ou usada para gerar um token. Como os usuários podem ser membros de várias contas e ter acesso a muitos recursos através de várias contas, e a chave API é usada para identificar o usuário, ela pode fornecer a capacidade de obter acesso a quase qualquer recurso, em qualquer conta, que o usuário tenha acesso a. Por esse motivo, a chave de API do usuário deve ser tratada de maneira semelhante a um nome de usuário e senha e nunca deve ser compartilhada.
As chaves de API do IBM Cloud para os usuários podem ser criadas e associadas a um ID funcional. Um ID funcional é um ID do usuário criado para representar um programa, um aplicativo ou um serviço. O ID funcional pode ser convidado para uma conta e ter designado somente o acesso para um determinado propósito, como interagir com um recurso ou aplicativo específico. Ao ID funcional deve ser concedido somente o acesso de nível mínimo em uma única conta necessário para a função específica para a qual foi criado.
Se um serviço requerer uma chave de API do usuário para interagir com outros serviços ou aplicativos, use a chave de API do usuário do ID funcional. Ao usar a chave de API que está associada ao ID funcional, é possível fornecer apenas o acesso necessário para esse serviço. O compartilhamento de uma chave de API de ID do usuário real com um serviço permite que o serviço acesse quaisquer recursos que o usuário possa acessar em múltiplas contas. O compartilhamento de uma chave de API de ID do usuário real é altamente desencorajado.
Somente o usuário para o qual a chave de API está associada e um Administrador para o Serviço de Identidade pode excluí-la. É possível usar as chaves de API do IBM Cloud na interface da linha de comandos (CLI) ou como parte da automação para efetuar login como sua identidade do usuário. Também é possível usar as chave de API do IBM Cloud para acessar APIs de infraestrutura clássica.
Para obter mais informações sobre como usar uma chave API associada à sua identidade de usuário, veja Gerenciando chaves API do usuário.
Outros tipos de chaves de API
Além de suas chaves de API do IBM Cloud, um par de outros tipos de chaves de API que você pode usar está disponível:
- Chaves de API do ID de serviço
- Chaves de API de infraestrutura clássica
- Chaves API específicas do serviço
Também é possível usar as chaves API associadas aos IDs de serviço criados. Os IDs de serviço são usados para conectar um aplicativo dentro ou fora do IBM Cloud a um serviço IBM Cloud. As chaves de API de ID de serviço herdam todo o acesso que é designado ao ID de serviço específico. Para obter mais informações sobre como criar chaves API associadas a um ID de serviço, veja Gerenciando chaves API do ID de serviço.
Chaves de API de infraestrutura clássica são usadas para chamar as APIs para serviços de infraestrutura clássica. É possível criar somente uma chave de API de infraestrutura clássica por vez. É possível criar uma chave de API de infraestrutura clássica para si mesmo na página de chaves de API ou na página de detalhes do usuário.
As chaves de API do IBM Cloud também podem ser usadas para acessar APIs de infraestrutura clássica.
Alguns serviços no IBM Cloud podem fornecer uma chave de API quando você trabalha com o serviço que é uma chave de API gerada automaticamente associada a um ID de serviço. Por exemplo, se você estiver visualizando os detalhes do produto de um serviço Watson indo para a página da lista de Recursos, você pode criar uma credencial que inclui uma chave API e secreta que é específica para esse serviço na página de credenciais do Serviço.
Trabalhando com chaves API
Para gerenciar as chaves de API do IBM Cloud que estão associadas à sua identidade de usuário ou aquelas que você tem acesso para gerenciar para outros usuários na conta, acesse Gerenciar > Acesso (IAM) > Chaves de API no console do IBM Cloud.
Na página de chaves de API do IBM Cloud, é possível criar, editar ou excluir chaves de API do IBM Cloud você mesmo e é possível gerenciar todas as chaves de API da infraestrutura clássica para os usuários para os quais você é um antecessor na hierarquia do usuário. Isso significa que é possível gerenciar chaves de API para todos os usuários que você convidou para a conta ou que os seus usuários filhos convidaram para a conta e assim por diante. Além disso, se você for o proprietário da conta ou um usuário com o acesso necessário para gerenciar as chaves de API de outro usuário na conta, será possível usar o filtro Visualizar para listar e gerenciar essas chaves de API.
Acesso necessário para gerenciar chaves de API
Por padrão, você sempre tem acesso para criar suas próprias chaves de API e, então, atualizar e excluí-las, conforme necessário. Também é possível gerenciar sua própria chave de API de infraestrutura clássica e quaisquer chaves de API de infraestrutura clássica de quaisquer usuários do qual você é um antecessor na hierarquia do usuário da infraestrutura clássica, o que significa que você convidou o usuário ou alguém que você convidou para a conta convidou o usuário e assim por diante.
Se a configuração de conta Restringir criação de chave de API do IAM estiver ativada, todos na conta serão impedidos de criar chaves de API, incluindo o proprietário da conta, a menos que tenham acesso explícito atribuído. Para obter mais informações, consulte Restringindo a criação de chaves de API pelos usuários.
Se você for o proprietário da conta ou um usuário com o acesso necessário, poderá acessar as chaves de API do usuário ou as chaves de API do ID de serviço usando o filtro Visualizar na página de chaves de API. É possível editar ou excluir as chaves de API, dependendo de seu acesso designado. Você vê apenas as opções de filtro para o tipo de chaves de API que você tem acesso para visualizar e gerenciar.
| Opções de filtro | Chaves de API exibidas | Acesso Necessário | Ações Permitidas |
|---|---|---|---|
| Minhas chaves de API do IBM Cloud | Suas chaves de API do IBM Cloud | Nenhum acesso necessário | Visualizar, criar, editar, excluir |
| Todas as chaves de API do usuário do IBM Cloud | Todas as chaves de API do IBM Cloud criadas por todos os usuários na conta | Função de administrador no serviço de Identidade do IAM | Visualizar, editar e excluir |
| Todas as chaves de API do ID de serviço | Todas as chaves de API criadas para IDs de serviço na conta | Função de administrador no serviço de Identidade do IAM | Visualizar, editar e excluir |
| Chaves de API de infraestrutura clássica | Sua chave de API de infraestrutura clássica e quaisquer chaves de API de infraestrutura clássicas para usuários dos quais você é antecessor na hierarquia do usuário | Nenhum acesso necessário além de ser um antecessor na hierarquia do usuário | Visualizar detalhes e excluir |