编辑与外部密钥库的连接

您可以使用 Unified Key Orchestrator 通过 Unified Key Orchestrator UI 或通过 Unified Key Orchestrator API 以编程方式编辑与外部密钥库的连接。

您可以编辑与 IBM Cloud®上服务实例外部的密钥库的连接，也可以编辑与其他云提供者 (例如 Microsoft Azure Key Vault，Amazon Web Services (AWS) Key Management Service (KMS) 和 Google Cloud KMS) 的连接。

使用 UI 编辑与外部密钥库的连接

只能逐个更改密钥库名称和连接属性。

要使用 UI 编辑与外部密钥库的连接，请完成以下步骤:

登录到 Hyper Protect Crypto Services 实例。
从导航中单击 密钥库 以查看所有可用的密钥库。
单击要编辑的外部密钥库。这样会显示“详细信息”侧面板。

单击每个属性卡中的编辑以更新密钥库属性。

由于已建立密钥库连接，因此无法更改使用“锁定”图标标记的标识属性。

表 1. AWS 密钥管理服务属性
属性	描述
密钥库名称	便于识别密钥库的唯一人类可读名称，长度为 1-100 个字符。第一个字符必须是字母 (区分大小写) 或数字 (0-9)。其余部分也可以是符号 (.-_) 或空格。
描述	(可选) 密钥库的扩展描述，长度最多为 200 个字符。
AWS 上的区域	只读。 AWS 密钥库所在的地理位置。在连接密钥库后，无法编辑此属性。
AWS 上的访问密钥标识	对 AWS KMS 的所有请求都必须使用访问密钥标识和访问密钥进行签名。有关更多信息，请参阅了解并获取 AWS 凭证。
AWS 上的访问密钥	对 AWS KMS 的所有请求都必须使用访问密钥标识和访问密钥进行签名。仅当您创建密钥访问密钥时，该密钥才可供下载。

表 2. Azure Key Vault 属性
属性	描述
密钥库名称	便于识别密钥库的唯一人类可读名称，长度为 1-100 个字符。第一个字符必须是字母 (区分大小写) 或数字 (0-9)。其余部分也可以是符号 (.-_) 或空格。
描述	(可选) 密钥库的扩展描述，长度最多为 200 个字符。
Azure 上的服务名称	只读。该名称必须与 Azure中的密钥保险库文件的名称相匹配。在连接密钥库后，无法编辑此属性。
Azure 上的资源组名称	只读。将多个资源分组在一起的逻辑构造。从 Azure 门户网站获取。在连接密钥库后，无法编辑此属性。
Azure 上的服务主体密码	服务主体仅支持基于密码的认证。
Azure 上的服务主体客户机标识	用于标识服务主体的应用程序的应用程序标识。
Azure 上的预订标识	只读。用于唯一地标识预订以使用 Azure 服务的 GUID。在连接密钥库后，无法编辑此属性。
Azure 上的租户标识	只读。租户是拥有和管理特定 Microsoft 云服务实例的组织。使用 Microsoft Entra ID 对密钥保险库的请求进行认证。在连接密钥库后，无法编辑此属性。

表 3。 Google Cloud KMS 密钥库属性
属性	描述
密钥库名称	便于识别密钥库的唯一人类可读名称，长度为 1-100 个字符。第一个字符必须是字母 (区分大小写) 或数字 (0-9)。其余部分也可以是符号 (.-_) 或空格。
密钥库描述	(可选) 密钥库的扩展描述，长度最多为 200 个字符。
上载 JSON 密钥文件	在在 Google Cloud KMS 中设置必需的用户访问权的步骤 2 中从 Google Cloud 上的服务帐户下载的专用密钥文件。文件类型必须为 `.json`，最大文件大小为 4 KB。
Google Cloud 上的项目	只读。 Google Cloud 项目的名称。它将自动从您上载的 JSON 密钥文件中抽取。在连接密钥库后，无法编辑此属性。
Google Cloud 上的位置	要用于存储 Google Cloud KMS 资源的地理区域。在连接密钥库后，无法编辑此属性。有关该位置的更多详细信息，请参阅 Google Cloud KMS 位置。
Google Cloud 上的密钥环	组织密钥的密钥环的人类可读名称。该名称在位置中必须唯一。在连接密钥库后，无法编辑此属性。有关密钥环的更多信息，请参阅密钥环。
Google Cloud 上的专用密钥标识	只读。 Google中公用/专用 RSA 密钥对的标识。它用于建立与 Google Cloud Platform 的安全连接。它将自动从您上载的 JSON 密钥文件中抽取。在连接密钥库后，无法编辑此属性。

表 4。 IBM Key Protect 密钥库属性
属性	描述
密钥库名称	便于识别密钥库的唯一人类可读名称，长度为 1-100 个字符。第一个字符必须是字母 (区分大小写) 或数字 (0-9)。其余部分也可以是符号 (.-_) 或空格。
描述	(可选) 密钥库的扩展描述，长度最多为 200 个字符。
Key Protect API 端点	只读。 Key Protect 实例的服务端点，格式为 `https://<region>.kms.cloud.ibm.com`。在连接密钥库后，无法编辑此属性。有关更多信息，请参阅区域和端点。
IBM Cloud Identity and Access Management 端点	只读。 IAM 的端点，即 `https://iam.cloud.ibm.com`。在连接密钥库后，无法编辑此属性。
IBM Cloud 上的服务实例标识	只读。指定给您的 Key Protect 服务实例的唯一标识。在连接密钥库后，无法编辑此属性。有关更多信息，请参阅检索实例标识和云资源名称。
服务标识 API 密钥	传递到 API 以标识调用应用程序的唯一代码。有关更多信息，请参阅管理服务标识 API 密钥。

表 5。IBM Cloud KMS 密钥库属性
属性	描述
密钥库名称	便于识别密钥库的唯一人类可读名称，长度为 1-100 个字符。第一个字符必须是字母 (区分大小写) 或数字 (0-9)。其余部分也可以是符号 (.-_) 或空格。
描述	(可选) 密钥库的扩展描述，长度最多为 200 个字符。
Hyper Protect Crypto Services API 端点	只读。 Hyper Protect Crypto Services 实例的服务端点，格式为 `https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud`。您可以通过概述 > 连接 > Unified Key Orchestrator 端点 URL 在供应的服务实例 UI 仪表板中获取 `<region>` 和 `<instance_ID>`。在连接密钥库后，无法编辑此属性。
IBM Cloud Identity and Access Management 端点	只读。 IAM 的端点，即 `https://iam.cloud.ibm.com`。在连接密钥库后，无法编辑此属性。
IBM Cloud 上的服务实例标识	只读。分配给服务实例的唯一标识。在连接密钥库后，无法编辑此属性。有关更多信息，请参阅检索实例标识。
服务标识 API 密钥	传递到 API 以标识调用应用程序的唯一代码。有关更多信息，请参阅管理服务标识 API 密钥。

单击保存以保存更改。

您可以使用搜索栏来搜索特定密钥库，或者通过单击 密钥库 表中的 过滤器 图标 "过滤器" 图标来根据需要对密钥库进行过滤。

使用 API 编辑与外部密钥库的连接

要通过 API 编辑与外部密钥库的连接，请执行以下步骤:

检索服务和认证凭证以使用服务中的密钥库。
通过对以下端点进行 PATCH 调用来编辑与外部密钥库的连接。
```
https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/keystores/<id>
```
将 <id> 替换为密钥库的标识。

有关使用 API 方法的详细指示信息和代码示例，请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档。

下一步

要了解如何连接到外部密钥库，请查看连接到外部密钥库。
要了解如何从外部密钥库断开连接，请查看从外部密钥库断开连接。