IBM Cloud Docs
Gestión de alias de claves

Gestión de alias de claves

Puede utilizar Hyper Protect Crypto Services para gestionar los alias de clave con la API de Hyper Protect Crypto Services.

Los alias de clave son nombres exclusivos legibles que se pueden utilizar para identificar una clave. Los alias permiten que el servicio haga referencia a una clave mediante nombres personalizados reconocibles, en lugar del identificador generado automáticamente que proporciona Hyper Protect Crypto Services. Presuponga que crea una clave que tiene el ID 02fd6835-6001-4482-a892-13bd2085f75d y su alias se define como US-South-Test-Key. Puedes usar US-South-Test-Key para consultar su clave cuando realiza llamadas alHyper Protect Crypto Services API para recuperar una clave.

Antes de gestionar el alias de clave para las claves de Hyper Protect Crypto Services, tenga en cuenta las consideraciones siguientes:

  • Un alias es independiente de una clave.

    Un alias es su propio recurso y cualquier acción que se lleve a cabo en él no afecta a la clave asociada. Por ejemplo, la supresión de un alias no suprime la clave asociada.

  • Un alias se puede asociar a una sola clave cada vez.

    Un alias se puede asociar a una sola clave que se encuentra en la misma instancia y región. Si desea cambiar la clave con la que está asociado el alias, debe realizar los pasos siguientes:

    1. Suprima el alias.
    2. Espere hasta 10 minutos.
    3. Vuelva a crear el alias y correlaciónelo con la clave.

  • Puede crear un alias con el mismo nombre en una instancia o región diferente.

    Cada alias está asociado a una clave diferente en cada instancia o región, con lo cual, el código de la aplicación de servicio se puede reutilizar en instancias y regiones diferentes. Por ejemplo, si a un alias le asigna el nombre Application Key en las regiones us-south y us-east, y cada una de ellas está enlazada a una clave distinta.

Creación de alias de clave

Para crear un alias de clave para una clave, puede utilizar la interfaz de usuario o la API del servicio de administración de claves.

Cada clave puede tener hasta cinco alias. Está limitado a 1.000 alias por instancia.

Crear alias de clave con la interfaz de usuario

Cree un alias de clave con la interfaz de usuario completando los siguientes pasos:

  1. Inicie sesión en la interfaz de usuario.

  2. Vaya a Menú > Lista de recursos para ver una lista de sus recursos.

  3. Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Hyper Protect Crypto Services.

  4. Seleccione el separador Claves de KMS del menú lateral y busque la clave para la que desea crear el alias de clave.

  5. Pulse el icono Acciones Icono Acciones para abrir la lista de opciones para la clave y pulse Editar alias de clave.

  6. Especifique los alias de clave separados por una coma. Puede añadir hasta cinco alias para una clave.

    Cada alias debe ser alfanumérico, sensible a las mayúsculas y minúsculas y no puede contener espacios ni caracteres especiales que no sean guiones (-) o subrayados (_). El alias no puede ser un UUID de la versión 4 y no debe ser un nombre reservado de Hyper Protect Crypto Services: allowed_ip, key, keys, metadata, policy, policies, registration, registrations, ring, rings, rotate, wrap, unwrap, rewrap, version, versions. El tamaño de alias puede tener 2-90 caracteres (inclusive).

  7. Pulse Guardar.

Creación del alias de clave con la API

Cree un alias de clave realizando una llamada POST al punto final siguiente.

https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/aliases/<alias>

  1. Recupere sus credenciales de autenticación para trabajar con claves en el servicio.

    Para crear un alias de clave, debe tener asignado un rol de acceso de servicio de Gestor o Escritor. Para saber cómo se correlacionan los roles de IAM con las acciones de servicio de Hyper Protect Crypto Services, consulte Roles de acceso de servicio.

  2. Cree un alias de clave ejecutando el siguiente mandato curl.

    $ curl -X POST \
    "https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/aliases/<key_alias>" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.key+json" \
    -H "correlation-id: <correlation_ID>"

    Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.

    Tabla 1. Describe las variables necesarias para crear un alias de clave con la Hyper Protect Crypto Services
    Variable Descripción
    region Obligatorio. La abreviatura de la región, como us-south, que representa el área geográfica donde suHyper Protect Crypto Services reside la instancia. Para obtener más información, consulte Puntos finales de servicio regional.
    port Obligatorio. El número de puerto del punto final de API.
    key_ID Obligatorio. El identificador de la clave que desea asociar con un alias. Para recuperar un ID de clave, consulte la API Listar claves.
    key_alias Obligatorio. Nombre descriptivo exclusivo para identificar con facilidad su clave. Cada alias debe ser alfanumérico, distinguir entre mayúsculas y minúsculas y no puede contener espacios ni caracteres especiales distintos de guiones (-) o guiones bajos (_). El alias no puede ser un UUID versión 4 y no debe ser unHyper Protect Crypto Services nombre reservado:allowed_ip,key,keys,metadata,policy,policies,registration,registrations,ring,rings,rotate,wrap,unwrap,rewrap,version,versions. El tamaño del alias puede ser de 2 a 90 caracteres (inclusive).

    Nota: No puedes tener nombres de alias duplicados en tuHyper Protect Crypto Services instancia.
    IAM_token Obligatorio. Su señal de acceso de IBM Cloud. Incluir el contenido completo del IAM token, incluido el valor al portador, en el curl pedido. Para obtener más información, consulte Recuperación de una señal de acceso.
    instance_ID Obligatorio. El identificador exclusivo que está asignado a su instancia de servicio de Hyper Protect Crypto Services. Para obtener más información, consulte Recuperación de un ID de instancia.
    correlation_ID El identificador exclusivo que se ha utilizado para rastrear y correlacionar transacciones.

    Para proteger la confidencialidad de sus datos personales, evite especificar información de identificación personal (PII), como su nombre o ubicación, cuando cree un alias de clave. Para más ejemplos de PII, consulte la sección2.2 del Publicación especial del NIST 800-122.

    Una respuesta POST api/v2/keys/<key_ID>/aliases/<key_alias> satisfactoria devuelve el alias de la clave, junto con otros metadatos. El alias es un nombre exclusivo que se asigna a la clave y se puede utilizar para recuperar más información sobre la clave asociada.

    {
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "keyId": "02fd6835-6001-4482-a892-13bd2085f75d",
            "alias": "test-alias",
            "creationDate": "2020-03-12T03:37:32Z",
            "createdBy": "..."
        }
    ]
}

    Para obtener una descripción detallada de los parámetros de respuesta, consulte laHyper Protect Crypto ServicesDocumento de referencia de la API REST.

Supresión del alias de clave

Para eliminar un alias de clave para una clave, puede utilizar la interfaz de usuario o la API del servicio de administración de claves.

Eliminar alias de claves con la interfaz de usuario

Elimine un alias de clave con la interfaz de usuario completando los siguientes pasos:

  1. Inicie sesión en la interfaz de usuario.
  2. Vaya a Menú > Lista de recursos para ver una lista de sus recursos.
  3. Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Hyper Protect Crypto Services.
  4. Seleccione el separador Claves de KMS del menú lateral y busque la clave para la que desea crear el alias de clave.
  5. Pulse el icono Acciones Icono Acciones para abrir la lista de opciones para la clave y pulse Editar alias de clave.
  6. Suprima el alias de clave que desea eliminar y pulse Guardar.

Supresión del alias de clave con la API

Suprima un alias de clave realizando una llamada DELETE al punto final siguiente.

https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/aliases/<alias>

  1. Recupere sus credenciales de autenticación para trabajar con claves en el servicio.

  2. Suprima un alias de clave ejecutando el mandato curl siguiente.

    $ curl -X DELETE \
    "https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/aliases/<key_alias>" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.key+json" \
    -H "correlation-id: <correlation_ID>"

    Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.

    Tabla 2. Describe las variables necesarias para suprimir un alias de clave con la Hyper Protect Crypto Services
    Variable Descripción
    region Obligatorio. La abreviatura de la región, como us-south, que representa el área geográfica donde suHyper Protect Crypto Services reside la instancia. Para obtener más información, consulte Puntos finales de servicio regional.
    port Obligatorio. El número de puerto del punto final de API.
    key_ID Obligatorio. El identificador exclusivo para la clave.
    key_alias Obligatorio. El nombre exclusivo legible por el usuario que identifica la clave.
    IAM_token Obligatorio. Su señal de acceso de IBM Cloud. Incluir el contenido completo del IAM token, incluido el valor al portador, en el curl pedido. Para obtener más información, consulte Recuperación de una señal de acceso.
    instance_ID Obligatorio. El identificador exclusivo que está asignado a su instancia de servicio de Hyper Protect Crypto Services. Para obtener más información, consulte Recuperación de un ID de instancia.
    correlation_ID El identificador exclusivo que se ha utilizado para rastrear y correlacionar transacciones.

    Una solicitud DELETE api/v2/keys/<key_ID>/aliases/<key_alias> satisfactoria devuelve una respuesta HTTP 204 No Content, que indica que el alias asociado a la clave se ha suprimido.

    La supresión de un alias de servicio tarda hasta 10 minutos.

Las API que utilizan alias de clave

La tabla siguiente lista las API en las que puede utilizar alias de clave.

Tabla 3. Describe las variables que son API que utilizan alias de clave.
API Impacto del alias de clave
Crear claves raíz. Puede crear hasta cinco alias cuando crea una clave raíz.
Crear claves estándar. Puede crear hasta cinco alias cuando crea una clave estándar.
Recupere una clave. Puede recuperar una clave por ID o alias.
Ver metadatos de clave Puede recuperar los metadatos de una clave por ID o alias.