Creación de alias de clave

Puede utilizar IBM® Key Protect for IBM Cloud® para crear un alias de clave con la API Key Protect.

Puede utilizar IBM® Key Protect for IBM Cloud® para crear un alias de clave con la consola Key Protect.

Los alias de claves son nombres legibles únicos que son referencias a una clave que permite identificarlos y agruparlos más allá de los límites de un nombre de visualización. Los alias permiten que el servicio haga referencia a una clave por nombres personalizados reconocibles, en lugar del identificador generado automáticamente proporcionado por el servicio Key Protect. Por ejemplo, si crea una clave que tiene el ID 02fd6835-6001-4482-a892-13bd2085f75d y tiene US-South-Test-Key como alias, puede utilizar el alias US-South-Test-Key para hacer referencia a la clave cuando realiza llamadas a la API Key Protect para recuperar una clave o sus metadatos. El alias también se puede utilizar para organizar las claves en la consola Key Protect.

Creación y edición de alias de claves con la consola

Los alias de claves se pueden añadir a una clave durante el proceso de creación o importación de una clave.

Para obtener más información sobre la creación de una clave raíz o una clave estándar, consulte Creación de claves raíz o Creación de claves estándar.
Para obtener más información sobre cómo importar una clave raíz o una clave estándar, consulte Importación de claves raíz o Importación de claves estándar.

Para editar un alias de clave, pulse ... y seleccione Editar alias de clave. En la pestaña, verá cualquier alias existente asignado a la clave (y podrá suprimirlos) y podrá añadir más alias. Una clave puede tener hasta cinco alias.

Creación del alias de clave con la API

Cree un alias de clave realizando una llamada POST al punto final siguiente.

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/aliases/<alias>

Recupere sus credenciales de autenticación para trabajar con claves en el servicio.

Para crear un alias de clave, debe tener asignado un rol de acceso de servicio de Gestor o Escritor. Para saber cómo se correlacionan los roles de IAM con las acciones de servicio de Key Protect, consulte Roles de acceso al servicio.

Cree un alias de clave ejecutando el siguiente mandato curl.

$ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/aliases/<key_alias>" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.key+json" \
    -H "correlation-id: <correlation_ID>"

Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.

Describe las variables necesarias para crear un alias de clave con la Key Protect API API
Variable	Descripción
región	Obligatorio. La abreviatura de región, como `us-south` o `eu-gb`, que representa el área geográfica donde reside su instancia de Key Protect. For more information, see Puntos finales de servicio regionales.
keyID_or_alias	Obligatorio. El identificador o alias de la clave que desea asociar a un alias. Para recuperar un ID de clave, consulte la API Listar claves.
alias_clave	Obligatorio. Nombre descriptivo exclusivo para identificar con facilidad su clave. Alias must be alphanumeric, case sensitive, and cannot contain spaces or special characters other than dashes (-) or underscores (_). The alias cannot be a version 4 UUID and must not be a Key Protect reserved name: allowed_ip, key, keys, metadata, policy, policies, registration, registrations, ring, rings,rotate, wrap, unwrap, rewrap, version, versions.Alias size can be between 2 - 90 characters (inclusive). Note You cannot have duplicate alias names in your Key Protect instance.
IAM_token	Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl. For more information, see Recuperación de un token de acceso.
instance_ID	Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect. For more information, see Recuperación de un ID de instancia.
correlation_ID	Opcional. El identificador exclusivo que se utiliza para realizar un seguimiento y correlacionar transacciones.

Para proteger la confidencialidad de sus datos personales, evite especificar información de identificación personal (PII), como su nombre o ubicación, cuando cree un alias de clave. Para más ejemplos de IPI, véase la sección 2.2 de la Publicación Especial 800-122 del NIST.

Una respuesta POST api/v2/keys/<keyID_or_alias>/aliases/<key_alias> satisfactoria devuelve el alias de la clave, junto con otros metadatos. El alias es un nombre exclusivo que se asigna a la clave y se puede utilizar para recuperar más información sobre la clave asociada.

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "keyId": "02fd6835-6001-4482-a892-13bd2085f75d",
            "alias": "test-alias",
            "creationDate": "2020-03-12T03:37:32Z",
            "createdBy": "..."
        }
    ]
}

Para obtener una descripción detallada de los parámetros de respuesta, consulte el Key Protect Documento de referencia de la API REST.

Cada clave puede tener hasta cinco alias. Hay un límite de 1.000 alias por instancia.

Supresión del alias de clave con la API

Suprima un alias de clave realizando una llamada DELETE al punto final siguiente.

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/aliases/<alias>

Recupere sus credenciales de autenticación para trabajar con claves en el servicio.

Suprima un alias de clave ejecutando el mandato curl siguiente.

$ curl -X DELETE \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/aliases/<key_alias>" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.key+json" \
    -H "correlation-id: <correlation_ID>"

Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.

Describe las variables necesarias para eliminar un alias de clave con la API Key Protect API
Variable	Descripción
región	Obligatorio. La abreviatura de la región, como `us-south` `eu-gb`, que representa la zona geográfica donde reside su instancia Key Protect For more information, see Puntos finales de servicio regionales.
keyID_or_alias	Obligatorio. El identificador o alias de la clave que ha recuperado en el Paso 1.
alias_clave	Obligatorio. El nombre exclusivo legible por el usuario que identifica la clave.
IAM_token	Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl. For more information, see Recuperación de un token de acceso.
instance_ID	Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect. For more information, see Recuperación de un ID de instancia.
correlation_ID	Opcional. El identificador exclusivo que se utiliza para realizar un seguimiento y correlacionar transacciones.

Una solicitud DELETE api/v2/keys/<keyID_or_alias>/aliases/<key_alias> satisfactoria devuelve una respuesta HTTP 204 No Content, que indica que el alias asociado a la clave se ha suprimido.

Se tardan hasta cinco minutos en suprimir por completo un alias del servicio.

Preguntas más frecuentes de alias de clave

A continuación se muestran detalles adicionales sobre los alias de clave:

Un alias es independiente de una clave. Un alias es su propio recurso y las acciones que se realicen no afectarán a la clave asociada. Por ejemplo, la supresión de un alias no suprimirá la clave asociada.
Un alias sólo puede asociarse con una clave a la vez. Un alias sólo puede asociarse con una clave que se encuentra en la misma instancia y región. Si desea cambiar la clave con la que está asociado el alias, deberá suprimir el alias, esperar hasta cinco minutos y, a continuación, volver a crear el alias y correlacionarlo con la clave necesaria.
Puede crear un alias con el mismo nombre en una instancia o región diferente. Cada alias se asociará con una clave diferente en cada instancia o región. Esto permite que el código de aplicación de su servicio sea reutilizable en diferentes instancias o regiones. Por ejemplo, si tiene un alias llamado Application Key in both the US-South and US-East regions, with each linked to a different key.

Las API que utilizan alias de clave

En la tabla siguiente se enumeran las API que puede utilizar para crear y utilizar un alias de clave.

Describe las variables que son API que utilizan alias de clave.
API	Impacto del alias de clave
Crear claves raíz	Puede crear hasta 5 alias al crear una clave raíz.
Crear claves estándar	Puede crear hasta 5 alias al crear una clave estándar.
Recuperar una clave	Puede recuperar una clave por ID o alias.
Ver metadatos de clave	Puede recuperar los metadatos de una clave por ID o alias.