IBM Cloud Docs
创建保险库文件

创建保险库文件

您可以使用 Hyper Protect Crypto Services 为需要保险库文件中相同 Cloud Identity and Access Management (IAM) 访问许可权的用户的目标组创建一组密钥模板,密钥和密钥库。 您可以使用 UI 在 Unified Key Orchestrator 中创建保险库文件,也可以使用 Unified Key Orchestrator API 以编程方式创建保险库文件。

作为 保险库管理员,您可以将 Hyper Protect Crypto Services 实例中的密钥模板,密钥和密钥库捆绑到称为 _保险库_的组中。 保险库是需要相同 IAM 访问许可权的密钥模板,密钥,内部密钥库和外部密钥库的集合。 例如,如果您有一组团队成员需要特定类型的密钥模板,密钥和密钥库的特定组访问权,那么可以创建保险库文件并将相应的 IAM 访问策略分配给目标用户组。 分配有保险库访问权的用户可以创建和管理保险库中存在的资源。

当一个业务单位有权访问另一个业务单位无法拥有的一组密钥模板,密钥和密钥库时,保险库文件也很有用。 帐户管理员可以为每个业务单位创建保险库文件,并向相应用户 分配相应级别的访问权。 在帐户管理员希望将特定保险库文件的平台管理委派给其他人的情况下,他们可以为用户分配 保险库文件管理员角色。 然后,子管理员能够管理保险库并将访问权授予相应的用户。

在为 Hyper Protect Crypto Services 实例创建保险库文件之前,请记住以下注意事项:

  • 保险库可以保存密钥模板,KMS 密钥和密钥库。 不支持 EP11 密钥和密钥库。

    保险库文件中可以存在的密钥数量没有限制。 保险库文件不适用于企业 PKCS #11 (EP11) 密钥和密钥库。

  • 密钥模板,密钥或密钥库一次只能属于一个保险库文件。

    创建密钥模板,受管密钥或密钥库时,需要指定保险库文件。

  • 在主密钥轮换期间,您无法创建保险库文件。 但是,您可以在主密钥轮换过程完成后再次创建保险库文件。

有关授予访问权的更多信息,请参阅 授予对保险库的访问权

使用 UI 创建保险库文件

要使用 UI 创建保险库文件,请通过“保险库文件”页面完成以下步骤。 (可选) 可以在 创建密钥模板创建受管密钥添加密钥库 时创建保险库文件。

  1. 登录到 Hyper Protect Crypto Services 实例

  2. 从导航中单击 保险库 以查看所有可用的保险库。

  3. 要创建保险库,请单击 创建保险库

  4. 保险库文件名称中输入名称。 (可选) 可以在 描述 部分中向保险库文件添加扩展描述。

    保险库名称的长度必须为 1 到 100 个字符。 这些字符可以是字母 (区分大小写),数字 (0-9) 或符号 (#@! $% \ ' _-)。

  5. 单击 创建保险库 以确认。

您已成功创建保险库文件。

通过 API 创建保险库文件

要通过 API 创建保险库文件,请执行以下步骤:

  1. 检索服务和认证凭证以使用服务中的保险库文件

  2. 通过对以下端点进行 POST 调用来创建保险库文件。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/vaults
    
    

    有关使用 API 方法的详细指示信息和代码示例,请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档

下一步