Abrufen einer Liste von Key Protect Schlüsseln
IBM® Key Protect for IBM Cloud® stellt ein zentrales System zum Anzeigen, Verwalten und Prüfen Ihrer Verschlüsselungsschlüssel bereit. Prüfen Sie Ihre Schlüssel und Zugriffsbeschränkungen für Schlüssel, um die Sicherheit Ihrer Ressourcen sicherzustellen.
Sie können zwar einem einzelnen Schlüssel einen fein abgestuften Zugriff zuweisen, aber beachten Sie, dass ein Aufruf der API list keys keine Schlüssel zurückgibt, denen Sie einen individuellen Zugriff zugewiesen haben (auf die also nur Sie zugreifen können). Wenn Sie diese API aufrufen, werden jedoch die Schlüssel in den Schlüsselringen zurückgegeben, auf die Sie Zugriff haben (wenn Sie Zugriff auf alle Schlüssel in einer Instanz haben, werden alle Schlüssel angezeigt). Sie können jedoch die Schlüssel anzeigen, auf die nur Sie Zugriff haben, indem Sie die Anweisungen unter Anzeigen von differenzierten Zugriffsschlüsseln über IAM befolgen, um den Schlüssel über IAM anzuzeigen, oder indem Sie die API verwenden, um die spezifische Schlüssel-ID zu übergeben.
Es ist ein bewährtes Verfahren, Ihre Schlüsselkonfiguration regelmäßig zu prüfen:
-
Untersuchen Sie, wann die Schlüssel erstellt wurden, und entscheiden Sie, ob es an der Zeit ist, den Schlüssel zu wechseln.
-
Überwachen Sie API-Aufrufe an Key Protect mit IBM Cloud Logs.
-
Untersuchen Sie, welche Benutzer auf Schlüssel zugreifen können und ob entsprechende Zugriffsberechtigungen erteilt wurden.
Weitere Informationen zum Prüfen des Zugriffs auf Ihre Ressourcen finden Sie in Benutzerzugriff verwalten.
Schlüssel in der Konsole anzeigen
Wenn Sie die Überprüfung von Verschlüsselungsschlüssel über eine grafische Oberfläche bevorzugen, dann können Sie hierzu das Key Protect-Dashboard verwenden.
Nach dem Erstellen oder Importieren der vorhandenen Schlüssel in den Service müssen Sie die folgenden Schritte ausführen, um Ihre Schlüssel anzuzeigen.
-
Rufen Sie Menü > Ressourcenliste auf, um eine Liste Ihrer Ressourcen anzuzeigen.
-
Wählen Sie in der IBM Cloud-Ressourcenliste die bereitgestellte Instanz von Key Protect aus.
-
Klicken Sie auf Schlüssel, die eine Liste aller Schlüssel in Ihrer Serviceinstanz anzeigt. Schlüssel können nach ihrem Schlüsselstatus gefiltert werden (z. B. um nur Schlüssel im Status Aktiviert anzuzeigen) oder durch ihre Schlüsselring-ID mithilfe der Dropdown-Listen. Darüber hinaus können die einzelnen Werte (z. B. Letztes rotiertes Datum) sortiert werden. Die Suchleiste kann verwendet werden, um nach dem Anzeigenamen, der Schlüssel-ID und dem Alias nach Schlüsseln zu suchen. Beachten Sie, dass die schnellste Möglichkeit, einen Schlüssel zu finden, die Suche nach seiner Schlüssel-ID ist. Die in der Tabelle gefundenen Felder können mithilfe der Schaltfläche Einstellungen angepasst werden. Standardmäßig können Sie sehen:
Spalte | Beschreibung |
---|---|
Name | Der Anzeigename, den Sie Ihrem Schlüssel gegeben haben. |
Schlüssel-ID | Eine eindeutige Schlüssel-ID, die Ihrem Schlüssel vom Key Protect-Service zugewiesen wurde. Sie können den ID-Wert verwenden, um den Dienst über die API Key Protect aufzurufen. |
Schlüsselring-ID | Der Schlüsselring , dem die Schlüssel zugeordnet sind. Zu diesen Status gehören Deaktiviert, Gelöscht, Inaktiviert und Aktiviert. |
Letzte Rotation | Das Datum, an dem der Schlüssel zum letzten Mal gedreht wurde. |
Schlüsselaliasname | Der Schlüsselalias (oder Aliasnamen) des Schlüssels. |
Typ | Der Schlüsseltyp des Schlüssels (entweder ein Rootschlüssel oder ein Standardschlüssel). |
Status | Die Schlüsselstatus des Schlüssels, entweder Deaktiviert, Gelöscht, Inaktiviert oder Aktiviert. |
Weitere verfügbare Felder in der Tabelle sind:
- Letzte Änderung: Gibt an, wann der Schlüssel zuletzt geändert wurde.
- Erstellt: das Datum, an dem der Schlüssel erstellt wurde.
- Gelöscht: Zeigt an, ob sich ein Schlüssel im Status 'Gelöscht' befindet (auf Bereinigung wartet).
- Importiert: Gibt an, ob der Schlüssel mit vom Benutzer bereitgestellten Schlüsselinformationen erstellt wurde.
- Rotationsrichtlinie: Zeigt an, ob diesem Schlüssel eine Rotationsrichtlinie zugeordnet ist
- Zugeordnete Ressourcen: Zeigt an, ob der Schlüssel Ressourcen schützt
Die Suchfunktion ist auf ein Volumen von 5.000 Schlüsseln begrenzt. Wenn Sie über mehr als 5.000 Schlüssel verfügen und Sie die Anzahl der zu durchsuchenden Schlüssel nicht auf weniger als 5.000 filtern können (z. B. durch Filtern nach Schlüsselstatus,
um nur nach Enabled
-Schlüsseln zu suchen), schlägt Ihre Suche fehl, wenn sie nicht genau mit einer Schlüssel-ID oder einem Alias übereinstimmt. Weitere Informationen zur API-Spezifikation für die Schlüsselsuche finden Sie unter
GET /Schlüssel.
Wenn Sie die Anzahl der von einer Suche zurückgegebenen Ergebnisse eingrenzen möchten, versuchen Sie, einen oder eine Kombination der folgenden Parameter zu verwenden:
not:
kehrt bei Angabe die Logik um, die von der Suche verwendet wird (not:foo
sucht beispielsweise nach Schlüsseln, die Aliasnamen oder Namen enthalten, diefoo
nicht enthalten).escape:
Alles nach dieser Option wird als Klartext verwendet (Beispiel:escape:not:
sucht nach Schlüsseln, die einen Aliasnamen oder einen Namen mit der Unterzeichenfolgenot:
enthalten).exact:
sucht nur nach exakten Übereinstimmungen.alias:
sucht nur nach Schlüsselaliasnamen.name:
sucht nur nach Schlüsselnamen.
Beachten Sie, dass not:exact:foobar
nach Schlüsseln sucht, deren Schlüsselname oder -alias Nicht genau foobar
ist, während exact:not:foobar
nach Schlüsseln sucht, deren Schlüsselname oder -alias
genau not:foobar
ist.
Suchbereiche verhalten sich auf ODER -Weise. Dies bedeutet, dass bei Verwendung mehrerer Suchbereiche eine Übereinstimmung in mindestens einem der Bereiche dazu führt, dass der Schlüssel zurückgegeben wird. Standardmäßig (wenn keine
Bereiche angegeben werden) wird die Suche sowohl im Bereich name
als auch im Bereich alias
ausgeführt.
Wird nicht die vollständige Liste der Schlüssel angezeigt, die in Ihrer Key Protect-Instanz gespeichert sind? Überprüfen Sie mit dem zuständigen Administrator, ob Ihnen die korrekte Rolle für die betreffende Key Protect-Instanz oder den einzelnen Schlüssel zugewiesen ist. Weitere Informationen zu Rollen finden Sie in Rollen und Berechtigungen.
Schlüssel nach Status abrufen
Wenn Sie den Status bestimmter Schlüssel in Ihrer Key Protect -Instanz filtern, können Sie Schlüssel abrufen, die sich in den von Ihnen angegebenen Status befinden.
Sie können beispielsweise Schlüssel in Ihrer Key Protect Instanz haben, die sich in den aktiven, ausgesetzten und zerstörten Status befinden. Sie möchten jedoch nur die Schlüssel im aktiven Status abrufen, wenn Sie eine Liste mit Schlüsseln durchsehen.
Weitere Informationen zu Schlüsselstatus finden Sie in Schlüsselstatus und -übergänge.
Nachdem Sie Ihre Schlüssel erstellt oder Ihre vorhandenen in den Service importiert haben, haben Sie zwei Möglichkeiten, Ihre Schlüssel anzuzeigen. Die erste Option, Schlüssel über die Ressourcenliste anzeigen, funktioniert für alle Schlüssel mit Ausnahme derjenigen, denen Sie differenzierten Zugriff auf zugewiesen haben. Informationen zum Anzeigen von Schlüsseln mit differenziertem Zugriff finden Sie unter Schlüssel mit differenziertem Zugriff anzeigen (IAM).
Schlüssel über die Ressourcenliste anzeigen
-
Rufen Sie Menü > Ressourcenliste auf, um eine Liste Ihrer Ressourcen anzuzeigen.
-
Wählen Sie in der IBM Cloud-Ressourcenliste die bereitgestellte Instanz von Key Protect aus.
-
Klicken Sie auf der Seite mit den Anwendungsdetails auf das Filtersymbol, und wählen Sie die Dropdown-Liste im Menü Status aus.
-
Wählen Sie den Schlüsselstatus der Schlüssel aus, die abgerufen werden sollen.
-
Klicken Sie auf die Schaltfläche Anwenden.
-
Außerdem können Sie in den Tabellenzeilenüberschriften auf
Last Updated
klicken, um die Liste nach dem Datum zu sortieren, an dem die Schlüssel in der Tabelle zuletzt aktualisiert wurden, oder aufType
, um alle Rootschlüssel und Standardschlüssel als Gruppen aufzulisten.
Differenzierte Zugriffsschlüssel über IAM anzeigen
-
Klicken Sie in der Menüleiste auf Verwalten > **Zugriff (IAM)**und wählen Sie Benutzer aus, um die vorhandenen Benutzer in Ihrem Account zu durchsuchen.
-
Wählen Sie eine Tabellenzeile aus und klicken Sie auf das Fragezeichensymbol (?), um eine Liste mit Optionen für diesen Benutzer zu öffnen. Wählen Sie anschließend Zugriff verwalten aus der Dropdown-Liste aus.
-
Hier sehen Sie alle IAM-Informationen für diesen Benutzer, einschließlich der Zugriffsgruppen, zu denen er gehört. Klicken Sie auf die Registerkarte Zugriffsrichtlinien , um die Zugriffsrichtlinien für diesen Benutzer anzuzeigen.
Ein Kontoeigner oder Benutzer mit den entsprechenden Berechtigungen kann alle Richtlinien anzeigen, die diesem Benutzer zugeordnet sind, einschließlich differenzierter Zugriffe auf Schlüssel.
Schlüssel mit API anzeigen
Sie können den Inhalt Ihrer Schlüssel abrufen, indem Sie die Key Protect-API verwenden.
Liste mit Schlüsseln abrufen
Für eine übergeordnete Ansicht können Sie die Schlüssel durchsuchen, die in Ihrer bereitgestellten Instanz von Key Protect verwaltet werden, indem Sie einen GET
-Aufruf an den folgenden Endpunkt absetzen.
https://<region>.kms.cloud.ibm.com/api/v2/keys
-
Rufen Sie Ihre Authentifizierungsnachweise ab, um mit den Schlüsseln im Service zu arbeiten.
-
Zeigen Sie allgemeine Merkmale zu Ihren Schlüsseln an, indem Sie den folgenden Befehl
curl
ausführen.$ curl -X GET \ "https://<region>.kms.cloud.ibm.com/api/v2/keys" \ -H "accept: application/vnd.ibm.collection+json" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>" \ -H "x-kms-key-ring: <key_ring_ID>" \ -H "correlation-id: <correlation_ID>"
Ersetzen Sie die Variablen in der Beispielanforderung gemäß den Informationen in Tabelle 1. Weitere Informationen zu optionalen Parametern, die beim Anzeigen von Schlüsselobjektgruppen verfügbar sind, einschließlich der Möglichkeit, Ihre Schlüssel zu durchsuchen, finden Sie im API-Dokumentation zur Methode
List keys
.
Variable | Beschreibung |
---|---|
Bereich | Erforderlich. Die Regionsabkürzung (z. B. us-south oder eu-gb ) für den geografischen Bereich, in dem sich Ihre Key Protect-Instanz befindet. Weitere Informationen finden Sie unter Regionale Serviceendpunkte. |
keyID_or_alias | Erforderlich. Die eindeutige ID oder der Aliasname für den Schlüssel, den Sie untersuchen möchten. |
IAM_token | Erforderlich. Ihr IBM Cloud-Zugriffstoken. Fügen Sie den vollständigen Inhalt des IAM-Tokens, einschließlich des Träger-Wertes, in die Curl-Anforderung ein. Weitere Informationen finden Sie unter Zugriffstoken abrufen. |
instance_id | Erforderlich. Die eindeutige ID, die Ihrer Key Protect-Serviceinstanz zugewiesen ist. Weitere Informationen finden Sie unter Instanz-ID abrufen. |
key_ring_ID | Optional. Die eindeutige Kennung des Zielschlüsselrings. Wenn diese Option nicht angegeben ist, enthält die Antwort alle Ressourcen, auf die der Benutzer in der angegebenen Instanz zugreifen kann. Wenn diese Option bereitgestellt wird, enthält die Antwort nur Ressourcen, auf die der Benutzer im angegebenen Schlüsselring zugreifen kann. Weitere Informationen finden Sie unter Gruppierungsschlüssel. |
correlation_ID | OptionalDie eindeutige Kennung, mit der Transaktionen überwacht und korreliert werden. |
Eine erfolgreiche Anforderung GET api/v2/keys
gibt eine Gruppe von Schlüsseln zurück, die in Ihrer Key Protect-Serviceinstanz verfügbar sind.
{
"metadata": {
"collectionType": "application/vnd.ibm.kms.key+json",
"collectionTotal": 2
},
"resources": [
{
"id": "02fd6835-6001-4482-a892-13bd2085f75d",
"type": "application/vnd.ibm.kms.key+json",
"name": "Root-key",
"state": 1,
"crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
"createdBy": "...",
"creationDate": "2020-03-11T16:30:06Z",
"lastUpdateDate": "2020-03-11T16:30:06Z",
"algorithmMetadata": {
"bitLength": "256",
"mode": "Deprecated"
},
"extractable": false,
"imported": true,
"algorithmMode": "Deprecated",
"algorithmBitSize": 256,
"dualAuthDelete": {
"enabled": false
}
},
{
"id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
"type": "application/vnd.ibm.kms.key+json",
"name": "Standard-key",
"state": 1,
"expirationDate": "2020-03-14T03:50:12Z",
"crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:30372f20-d9f1-40b3-b486-a709e1932c9c:key:2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
"createdBy": "...",
"creationDate": "2020-03-12T03:50:12Z",
"lastUpdateDate": "2020-03-12T03:50:12Z",
"algorithmMetadata": {
"bitLength": "256",
"mode": "Deprecated"
},
"extractable": true,
"imported": false,
"algorithmMode": "Deprecated",
"algorithmBitSize": 256,
"dualAuthDelete": {
"enabled": false
}
}
]
}
Standardmäßig gibt die Anforderung GET api/v2/keys
die ersten 200 Schlüssel zurück. Sie können diese Begrenzung jedoch mithilfe des Parameters limit
bei der Abfrage anpassen. Weitere Informationen zu limit
und offset
finden Sie unter Untergruppe von Schlüsseln abrufen.
Wird nicht die vollständige Liste der Schlüssel angezeigt? Sie müssen möglicherweise die Parameter limit
und offset
verwenden oder zusammen mit dem Administrator sicherstellen, dass Ihnen die richtige Zugriffsebene
für Schlüssel in Ihrer Instanz zugewiesen ist. Weitere Informationen hierzu finden Sie unter Schlüssel können nicht angezeigt oder aufgelistet werden.
Untergruppe von Schlüsseln abrufen
Durch die Angabe der Parameter limit
und offset
bei der Abfrage können Sie eine Untergruppe Ihrer Schlüssel abrufen, die mit dem Wert beginnt, den Sie für offset
angeben.
Beispiel: In Ihrer Key Protect-Instanz sind insgesamt 3000 Schlüssel gespeichert und beim Absetzen einer Anforderung GET /keys
sollen nur die Schlüssel 200 - 300 abgerufen werden.
Sie können die folgende Beispielanforderung verwenden, um eine andere Gruppe von Schlüsseln abzurufen.
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys?offset=<offset>&limit=<limit>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Ersetzen Sie die Variablen limit
und offset
in der Anforderung, wie in der folgenden Tabelle beschrieben.
Variable | Beschreibung |
---|---|
offset | Die Anzahl der zu überspringenden Schlüssel. Beispiel: Wenn Sie über 50 Schlüssel in Ihrer Instanz verfügen und die Schlüssel 26 - 50 auflisten möchten, verwenden Sie ../keys?offset=25 . Sie können auch durch Ihre verfügbaren
Ressourcen einen Offset-Offset mit einer Begrenzung für die Seite kombinieren. |
limit | Die Anzahl der abzurufenden Schlüssel. Beispiel: Wenn Sie über 100 Schlüssel in Ihrer Instanz verfügen und nur 10 Schlüssel auflisten möchten, verwenden Sie ../keys?limit=10 . Der Maximalwert für den Grenzwert ist 5000. |
Mit dem Wert für 'offset' wird die relative Position eines bestimmten Schlüssels im Dataset angegeben. Der Wert für offset
wird mit der Basis null angegeben, d. h., dass sich der zehnte Verschlüsselungsschlüssel in einem Dataset
an der Position 9 befindet.
Schlüssel nach Status abrufen
Durch die Angabe des Parameters state
in der Abfrage können Sie Schlüssel abrufen, die die Statuswerte aufweisen, die Sie angeben.
Beispiel: Ihre Key Protect-Instanz enthält Schlüssel, die sich im Status 'Aktiv', 'Ausgesetzt' bzw. 'Gelöscht' befinden, und es sollen nur die Schlüssel mit dem Status 'Aktiv' abgerufen werden, wenn Sie eine Anforderung GET /keys
absetzen.
Die Abfrageparameter 'state' akzeptiert eine Liste ganzzahliger Werte von 0 bis 5, die durch Kommas getrennt und ohne Leerzeichen oder abschließendes Komma angegeben werden. Weitere Informationen zu Schlüsselstatus finden Sie in Schlüsselstatus und -übergänge.
Sie können die folgende Beispielanforderung verwenden, um eine andere Gruppe von Schlüsseln abzurufen.
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys?state=<state_integers>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Ersetzen Sie die Variable für den Parameter state
in Ihrer Anforderung anhand der Angaben in der folgenden Tabelle.
Variable | Beschreibung |
---|---|
state | Die Statuswerte der Schlüssel, die abgerufen werden sollen. Zustände sind ganze Zahlen, wobei Voraktivierung = 0, Aktiv = 1, Ausgesetzt = 2, Inaktiviert = 3 und Gelöscht = 5 Werte ist. Beispiel: Wenn nur die Schlüssel mit dem Status
'Aktiv' in Ihrer Key Protect-Instanz aufgelistet werden sollen, verwenden Sie ../keys?state=1 . Außerdem können Sie Status mit Offsets und Begrenzungen für die Seite durch Ihre verfügbaren Ressourcen koppeln. |
Hinweise zur Verwendung können Sie den folgenden Beispielen für das Festlegen des Abfrageparameters state
entnehmen.
URL | Beschreibung |
---|---|
.../keys |
Listet alle Ihre verfügbaren Ressourcen bis zu den ersten 200 Schlüsseln auf. |
.../keys?state=5 |
Listet Schlüssel im gelöschten Status auf. |
.../keys?state=2,3 |
Listet Schlüssel im ausgesetzten und inaktivierten Status auf. |
Schlüssel nach Extractable-Wert abrufen
Wenn Sie den Parameter extractable
zur Abfragezeit angeben, können Sie Schlüssel abrufen, deren Material den Service verlassen kann.
Sie können z. B. sowohl Standard-als auch Rootschlüssel in Ihrer Key Protect -Instanz haben, aber Sie möchten nur Schlüssel mit extrahierbarem Schlüsselmaterial abrufen, wenn Sie eine Anforderung GET /keys
erstellen.
Der Parameter für die extrahierbare Abfrage verwendet einen booleschen Wert.
Sie können die folgende Beispielanforderung verwenden, um eine andere Gruppe von Schlüsseln abzurufen.
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys?extractable=<extractable>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Ersetzen Sie die Variable für den Parameter extractable
in Ihrer Anforderung anhand der Angaben in der folgenden Tabelle.
Variable | Beschreibung |
---|---|
extractable | Der Typ der Schlüssel, die abgerufen werden sollen. Filtert Schlüssel, die auf der extrahierbaren Eigenschaft basieren. Sie können diesen Abfrageparameter verwenden, um nach Schlüsseln zu suchen, deren Material den Service verlassen
kann. Wenn diese Option auf 'wahr' gesetzt ist, werden Standardschlüssel abgerufen. Wenn der Wert auf "falsch" gesetzt ist, werden die Rootschlüssel abgerufen. Wenn diese Option nicht angegeben wird, werden sowohl Root-als
auch Standardschlüssel abgerufen. Wenn Sie z. B. nur Schlüssel mit extrahierbarem Material in Ihrer Key Protect -Instanz auflisten möchten, verwenden Sie ../keys?extractable=true . Sie können auch die extrahierbare Tabelle
mit den verfügbaren Ressourcen mit offset , limit und state für die Seite kombinieren. |
Hinweise zur Verwendung können Sie den folgenden Beispielen für das Festlegen des Abfrageparameters extractable
entnehmen.
URL | Beschreibung |
---|---|
../keys |
Listet alle Ihre verfügbaren Ressourcen bis zu den ersten 200 Schlüsseln auf. |
../keys?extractable=true |
Listet Standardschlüssel auf. |
../keys?extractable=false |
Listet die Rootschlüssel auf. |
Sortieren einer Liste von Schlüsseln
Mit dem Parameter sort
in der Abfragezeichenfolge wird die Liste der Schlüssel, die zurückgegeben werden, basierend auf einer oder mehreren Schlüsseleigenschaften
sortiert. Um nach einer Eigenschaft in absteigender Reihenfolge zu sortieren, stellen Sie dem Begriff "-" voran. Verwenden Sie zum Sortieren nach mehreren Schlüsseleigenschaften ein Komma, um die einzelnen Eigenschaften voneinander
zu trennen. Die erste Eigenschaft in der durch Kommas getrennten Liste wird vor der nächsten ausgewertet.
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys?sort=<sort-value>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Variable | Beschreibung |
---|---|
sortierwert | Die Liste der Eigenschaften für die Sortierung. Die Schlüsseleigenschaften, die zu diesem Zeitpunkt sortiert werden können, sind
expirationDate |