查看根密钥与已加密的 IBM Cloud 资源之间的关联
您可以使用 IBM Cloud® Hyper Protect Crypto Services 密钥管理服务 API 来查看根密钥与其他云资源 (例如 IBM Cloud Object Storage 存储区) 之间的关联。
使用根密钥通过包络加密保护静态数据时,使用该密钥的云服务可以在密钥与其保护的资源之间创建注册。 注册是密钥与云资源之间的关联,可帮助您全面了解哪些加密密钥可保护 IBM Cloud上的哪些数据。
优点 | 描述 |
---|---|
受保护资源的集中视图 | 作为 Hyper Protect Crypto Services 实例的管理员,您希望快速了解哪些云资源受根密钥保护。 |
安全性和合规性 | 作为安全管理员,您需要一种方法来确定 销毁根密钥 所涉及的风险。 您希望检查哪些密钥正在主动保护哪些数据,以便您可以根据组织的安全性或合规性需求来评估风险。 |
仅当云服务将其作为与 Hyper Protect Crypto Services集成的一部分启用时,密钥注册才是可用的额外功能。 要确定 集成服务 是否支持密钥注册,请参阅服务文档以获取更多信息。
使用 UI 查看受保护资源
您可以使用 Hyper Protect Crypto Services GUI 来浏览 Hyper Protect Crypto Services 密钥与云资源之间可用的注册。
查看与根密钥关联的受保护资源
-
去菜单>资源列表查看您的资源列表。
-
从 IBM Cloud 资源列表,选择 Hyper Protect Crypto Services 的已供应实例。
-
在 KMS 密钥页面,使用按键表来浏览您的服务中的密钥。
-
要查看特定根密钥的受保护资源,请单击 操作 图标
以打开该密钥的选项列表,然后选择 查看关联资源 以浏览受该密钥保护的所有资源。
表 2. 描述查看关联资源的表 列 描述 Resource name
与密钥关联的云资源 (例如 Cloud Object Storage 存储区) 的名称。 Service name
资源所在的 IBM Cloud 服务实例的名称。 Retention policy
云资源是否具有保留时间策略。 如果值为 True
,那么将为云资源启用保留时间策略,并且无法删除与该云资源相关联的密钥。 如果值为False
,那么不会启用保留时间策略。 -
要查看每个资源的详细信息,请通过单击
Resource name
列下的插入标记 (^) 图标展开资源详细信息。下表描述了注册的详细信息。
表 3. 描述与资源关联的属性 字段 描述 Created
资源首次与密钥关联的日期和时间。 Last updated
更新注册的日期和时间。 Description
注册的描述。 Key version ID
用于保护云资源的根密钥的版本。 Key version date
更新根密钥版本的日期和时间。 Cloud resource name
表示与密钥关联的云资源,包括云资源名称 (CRN), version
,cname
和ctype
等。
您可以使用搜索字段来搜索与具有资源名称或密钥版本标识的根密钥相关联的任何资源。
查看实例中的资源
-
去菜单>资源列表查看您的资源列表。
-
从 IBM Cloud 资源列表,选择 Hyper Protect Crypto Services 的已供应实例。
-
在“KMS 关联资源”页面上,使用 密钥管理服务关联资源 表来浏览服务中的注册。
表 4. 描述关联资源的表 列 描述 Resource name
与密钥关联的云资源 (例如 Cloud Object Storage 存储区) 的名称。 Key name
用于标识与指定云资源关联的根密钥的人类可读名称。 Key ID
标识与指定云资源关联的根密钥的标识。 Service name
资源所在的 IBM Cloud 服务实例的名称。 Retention policy
指示是否可以擦除云资源。 如果值为 Enabled
,那么无法擦除云资源,并且无法删除与云资源相关联的密钥。 如果值为Disabled
,那么可以擦除云资源。 如果需要,可以删除与云资源关联的密钥。 -
单击
Resource name
列下的插入标记 (^) 图标以查看特定注册的详细信息列表。下表描述了注册的详细信息。
表 5. 描述与资源关联的属性 字段 描述 Created
资源首次与密钥关联的日期和时间。 Last updated
更新注册的日期和时间。 Description
注册的描述。 Key version ID
用于保护云资源的根密钥的版本。 Key version date
更新根密钥版本的日期和时间。 Cloud resource name
表示与密钥关联的云资源,包括云资源名称 (CRN), version
,cname
和ctype
等。
除了搜索资源外,还可以按资源名称,密钥标识和保留时间策略来查找资源。 要执行此操作,请单击 Filter
按钮,从列表中选择过滤器选项,然后单击 应用。
使用 API 查看受保护资源
您还可以使用 Hyper Protect Crypto Services 密钥管理服务 API 来浏览 Hyper Protect Crypto Services 密钥与云资源之间可用的注册。
例如,当您调用 GET api/v2/keys/{id}/registrations
时,Hyper Protect Crypto Services 将返回有关密钥注册的详细信息。 以下 JSON 输出表示密钥与云资源之间的注册。
{
"metadata": {
"collectionType": "application/vnd.ibm.kms.registration+json",
"collectionTotal": 1
},
"resources": [
{
"keyId": "string",
"resourceCrn": "crn:v1:bluemix:public:<service-name>:<region>:a/<account-id>:<service-instance>:bucket:<bucket-name>",
"createdBy": "string",
"creationDate": "2010-01-12T05:23:19+0000",
"updatedBy": "string",
"lastUpdated": "2010-01-12T05:23:19+0000",
"description": "string",
"preventKeyDeletion": true,
"keyVersion": {
"id": "string",
"creationDate": "2010-01-12T05:23:19+0000"
}
}
]
}
下表描述了注册的属性。
参数 | 描述 |
---|---|
keyID |
标识与云资源关联的根密钥的标识。 |
resourceCrn |
表示与密钥关联的云资源 (例如,Cloud Object Storage 存储区) 的云资源名称 (CRN)。 |
createdBy |
创建注册的资源的唯一标识。 |
creationDate |
注册创建的日期。 |
updatedBy |
更新注册的资源的唯一标识。 |
lastUpdatedDate |
注册创建的日期。 |
description |
注册的描述。 |
preventKeyDeletion |
一个布尔值,用于确定 Hyper Protect Crypto Services 是否必须阻止删除根密钥。 如果 true ,那么由于保留时间策略,关联的资源不可擦除,并且无法删除加密该资源的 Hyper Protect Crypto Services 密钥。 |
keyVersion |
用于保护云资源的根密钥的版本。 |
使用 API 列出特定根密钥的注册
您可以通过对以下端点进行 GET
调用来检索与特定根密钥关联的注册详细信息。
https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/registrations
-
通过运行以下 cURL 命令来查看与根密钥关联的注册。
curl -X GET \ https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/<key_ID>/registrations \ -H 'authorization: Bearer <IAM_token>' \ -H 'bluemix-instance: <instance_ID>'
根据下表替换示例请求中的变量。
表 7. 描述列出与根密钥关联的所有注册所需的变量 变量 描述 region
必需。 地区缩写,例如 us-south
或者eu-de
,代表您的Hyper Protect Crypto Services实例驻留。 有关更多信息,请参阅区域服务端点。port
必需。 API 端点的端口号。 IAM_token
必需。 您的 IBM Cloud 访问令牌。 在 cURL 请求中包含 IAM
令牌的完整内容,包括 Bearer 值。 有关详细信息,请参阅For more information, see 检索访问令牌。instance_ID
必需。 指定给您的 Hyper Protect Crypto Services 服务实例的唯一标识。 有关详细信息,请参阅For more information, see 检索实例 ID。 成功的
GET api/v2/keys/<key_ID>/registrations
请求将返回映射到指定密钥标识的注册的集合。{ "metadata": { "collectionType": "application/vnd.ibm.kms.registration+json", "collectionTotal": 2 }, "resources": [ { "keyId": "string", "resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<bucket-name>", "createdBy": "string", "creationDate": "2010-01-12T05:23:19+0000", "updatedBy": "string", "lastUpdated": "2010-01-12T05:23:19+0000", "description": "string", "preventKeyDeletion": true, "keyVersion": { "id": "string", "creationDate": "2010-01-12T05:23:19+0000" } }, { "keyId": "string", "resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<other-bucket-name>", "createdBy": "string", "creationDate": "2010-01-12T05:23:19+0000", "updatedBy": "string", "lastUpdated": "2010-01-12T05:23:19+0000", "description": "string", "preventKeyDeletion": true, "keyVersion": { "id": "string", "creationDate": "2010-01-12T05:23:19+0000" } } ] }
resourceCrn
值表示由keyId
加密的云资源的唯一标识。 与注册关联的元数据 (例如创建日期) 也会在响应主体中返回。默认情况下,
GET api/v2/keys/registrations
返回前 200 个注册,但您可以使用limit
查询时的参数。
使用 API 列出任何根密钥的注册
您还可以通过对以下端点进行 GET
调用来检索与任何云资源关联的注册的列表。
https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/registrations?urlEncodedResourceCRNQuery=<url_encoded_CRN_query>
-
通过运行以下 cURL 命令来查看与您指定的 CRN 查询匹配的注册。
curl -X GET \ https://<instance_ID>.api.<region>.hs-crypto.appdomain.cloud/api/v2/keys/registrations?urlEncodedResourceCRNQuery=<url_encoded_CRN_query> \ -H 'authorization: Bearer <IAM_token>' \ -H 'bluemix-instance: <instance_ID>'
根据下表替换示例请求中的变量。
表 8. 描述按 CRN 查询列出注册所需的变量。 变量 描述 region
必需。 地区缩写,例如 us-south
或者eu-de
,代表您的Hyper Protect Crypto Services实例驻留。 有关更多信息,请参阅区域服务端点。port
必需。 API 端点的端口号。 url_encoded_CRN_query
通过使用 URL 编码的通配符 ( *
) 来过滤与指定的 云资源名称(CRN) 相关联的资源。该参数需要包含所有 CRN 段,并且必须进行 URL 编码。 要查看示例,请参阅 CRN 查询示例。IAM_token
必需。 您的 IBM Cloud 访问令牌。 在 cURL 请求中包含 IAM
令牌的完整内容,包括 Bearer 值。 有关详细信息,请参阅For more information, see 检索访问令牌。instance_ID
必需。 指定给您的 Hyper Protect Crypto Services 服务实例的唯一标识。 有关详细信息,请参阅For more information, see 检索实例 ID。
CRN 查询示例
使用包含所有 CRN 段的 URL 编码的 CRN 查询。 要了解有关 CRN 段和格式的更多信息,请参阅 云资源名称。
当集成服务调用 Hyper Protect Crypto Services 密钥管理服务 API 时,Hyper Protect Crypto Services 会将给定的 CRN 查询 (最多 service-instance
段) 替换为调用服务的 CRN。 这意味着使用 Hyper Protect Crypto Services 代表您将密钥与资源关联的服务只能查看或查询与其服务 CRN 的前八个段匹配的 CRN。
-
要搜索是否存在 CRN 段,请使用冒号后跟星号 (
*
)。crn:v1:bluemix:public:databases-for-redis:us-south:a/274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
此查询将返回与部署标识 _29caf0e7-120f-4da8-9551-3abf57ebcfc7_的所有资源类型和名称相关联的 Databases for Redis 注册。
-
要搜索以
<string>
为前缀的 CRN 段,请在 CRN 查询的最后一个段上使用冒号后跟<string>*
。crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
此查询将返回帐户 e1bb63d6a20dc57c87501ac4c4c99dcb 中以
prod
为前缀的所有 Cloud Object Storage 存储区注册。crn:v1:bluemix:public:databases-for-postgresql:us-south:a/e1bb63d6a20dc57c87501ac4c4c99dcb:76b98bfd-f730-47b8-b163-515187e070a7:*:<string>*
此查询将返回所有以
<string>
为前缀的部署标识 76b98bfd-f730-47b8-b163-515187e070a7 的 Cloud Databases 注册。
下表提供了 URL 编码前后的 CRN 查询示例列表。 要查看 URL 编码值,请单击 URL 编码 选项卡。
值 |
---|
crn:v1:bluemix:public:databases-for-redis:us-south:a/274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:* |
crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod* |
crn:v1:bluemix:public:cloudantnosqldb:us-south:a/f586c28d154d4c65a4a4a34cf75f55d0:94255ea3-af1c-41b7-9805-61f775e20702:*:prod* . |
值 |
---|
crn%3Av1%3Abluemix%3Apublic%3Adatabases-for-redis%3Aus-south%3Aa%2F274074dce64e9c423ffc238516c755e1%3A29caf0e7-120f-4da8-9551-3abf57ebcfc7%3A*%3A* |
crn%3Av1%3Abluemix%3Apublic%3Acloud-object-storage%3Aglobal%3Aa%2Fe1bb63d6a20dc57c87501ac4c4c99dcb%3A*%3Abucket%3Aprod* |
crn%3Av1%3Abluemix%3Apublic%3Acloudantnosqldb%3Aus-south%3Aa%2Ff586c28d154d4c65a4a4a34cf75f55d0%3A94255ea3-af1c-41b7-9805-61f775e20702%3A%2A%3Aprod%2A |
下一步
要了解有关查看注册的更多信息,请 查看 Hyper Protect Crypto Services 密钥管理服务 API 参考文档。