IBM Cloud Docs
Creación de claves raíz

Creación de claves raíz

Utilice IBM® Key Protect for IBM Cloud® para crear claves raíz con la consola IBM Cloud.

Utilice IBM® Key Protect for IBM Cloud® para crear claves raíz mediante programación con la API Key Protect.

Las claves raíz son claves para envolver claves simétricas que se utilizan para proteger la seguridad de los datos cifrados en la nube. Para obtener información sobre las claves raíz, consulte Protección de datos con cifrado de sobre.

Las claves de cifrado que se crean en una región se pueden utilizar para cifrar almacenes de datos ubicados en cualquier región dentro de IBM Cloud.

Creación de claves en la consola

Después de crear una instancia del servicio, complete los pasos siguientes para crear una clave raíz en la consola de IBM Cloud.

Si habilita los valores de autorización dual para la instancia de Key Protect, tenga en cuenta que cualquier clave que añada al servicio necesita una autorización de dos usuarios para suprimir claves.

  1. Acceda a la consola IBM Cloud.

  2. Vaya a Menú > Lista de recursos para ver una lista de sus recursos.

  3. Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Key Protect.

  4. Para crear una clave nueva, pulse Añadir. Se abrirá un panel lateral. Asegúrese de que la opción Crear una clave esté seleccionada. Tenga en cuenta que para establecer un Alias de clave, Conjunto de claves o Política de rotación para esta clave, debe pulsar la pestaña Opciones avanzadas para mostrarlos.

Si no es un Manager (o tiene un nivel equivalente de permisos), la opción Política de rotación no aparece.

Specify the key's details:
Describe la configuración de Crear una llave.
Valor Descripción
Tipo El Tipo de clave que desea gestionar en Key Protect. Las claves raíz se seleccionan de forma predeterminada.
Nombre de clave Un nombre de visualización legible por el usuario para facilitar la identificación de la clave. La longitud debe tener entre 2 - 90 caracteres (inclusive). Para proteger su privacidad, asegúrese de que el nombre de clave no contiene información de identificación personal (PII), como el nombre o la ubicación. Tenga en cuenta que los nombres de clave no necesitan ser exclusivos.
Descripción de clave Opcional. Las descripciones son una forma útil de añadir información sobre una clave (por ejemplo, una frase que describe su propósito) de una manera que no es posible hacer utilizando un alias o su nombre. Esta descripción debe tener al menos dos caracteres y no más de 240, y no se puede cambiar más tarde. Para proteger su privacidad, no utilice datos personales, como su nombre o su ubicación, como descripción de su llave.
Alias de clave Opcional. Un alias de clave también es una forma de describir una clave. Las claves pueden tener hasta cinco alias.
Conjunto de claves Opcional. Los conjuntos de claves son agrupaciones de claves que permiten que esas agrupaciones se gestionen de forma independiente, según sea necesario. Cada tecla debe formar parte de un conjunto de claves. Si no se selecciona ningún conjunto de claves, las claves se colocan en el conjunto de claves default. Tenga en cuenta que para colocar la clave que está creando en un anillo de claves, debe tener el rol de Gestor sobre ese anillo de claves. Para obtener más información sobre los roles, consulte Gestión del acceso de usuario.
Política de rotación Opcional. Si tiene el rol de_Gestor_, puede establecer una política de rotación para la clave en el momento de la creación de la clave. Si existe una política de instancia para crear políticas de rotación en claves de forma predeterminada, también puede sobrescribir dicha política durante la creación de claves en un intervalo diferente. Tenga en cuenta que si la instancia tiene una política de rotación habilitada y inhabilita la política de rotación en el momento de la creación de la clave, la política se sigue grabando en la clave en un estado Inhabilitado. Si desea habilitar esta política más adelante, puede hacerlo. Consulte Establecer una política de rotación después de crear la clave para obtener más información.

Cuando haya terminado de cumplimentar los detalles de la clave, pulse Crear una clave para confirmar.

Si sabe en qué anillo de claves quiere que se coloque una clave y es un Gestor de ese anillo de claves, también puede ir al panel de anillos de claves, seleccionar ⋯ y pulsar Añadir clave a anillo de claves. Esto abrirá el mismo panel que ve pulsando Añadir en la página Claves con la variable Conjuntos de claves rellenada con el nombre del conjunto de claves.

Las claves creadas en el servicio son claves simétricas de 256 bits, soportadas por el algoritmo AES-CBC-PAD. Para una mayor seguridad, las claves se generan con módulos de seguridad de hardware (HSM) con certificación FIPS 140-2 Nivel 3 que se ubican en centros de datos seguros de IBM Cloud.

Creación de claves raíz con la API

Cree una clave raíz realizando una llamada POST al siguiente punto final.

https://<region>.kms.cloud.ibm.com/api/v2/keys

  1. Recupere sus credenciales de autenticación para trabajar con claves en el servicio.

  2. Cree una clave raíz ejecutando el siguiente mandato curl.

    $ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.key+json" \
    -H "x-kms-key-ring: <key_ring_ID>" \
    -H "correlation-id: <correlation_ID>" \
    -d '{
            "metadata": {
                "collectionType": "application/vnd.ibm.kms.key+json",
                "collectionTotal": 1
            },
            "resources": [
                {
                    "type": "application/vnd.ibm.kms.key+json",
                    "name": "<key_name>",
                    "aliases": [alias_list],
                    "description": "<key_description>",
                    "expirationDate": "<expiration_date>",
                    "extractable": <key_type>
                }
            ]
        }'

    Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.

Describe las variables necesarias para añadir una clave raíz con la API Key Protect.
Variable Descripción
región Obligatorio. La abreviatura de la región, como us-south o eu-gb, que representa la zona geográfica donde reside la instancia de Key Protect. Para obtener más información, consulte Puntos finales de servicio regionales.
IAM_token Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl. Para obtener más información, consulte Recuperación de una señal de acceso.
instance_ID Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect. Para obtener más información, consulte Recuperación de un ID de instancia.
ID_conjunto_claves Opcional. El identificador exclusivo del conjunto de claves de destino del que desea que forme parte la clave recién creada. Si no se especifica, la cabecera se establece automáticamente en 'default' (predeterminado) y la clave se colocará en el conjunto de claves predeterminado en la instancia de servicio Key Protect especificada. Para obtener más información, consulte Agrupación de claves.
correlation_ID El identificador exclusivo que se ha utilizado para rastrear y correlacionar transacciones.
key_name Obligatorio. Un nombre legible por el usuario para una identificación conveniente de su clave. Importante: Para proteger su privacidad, no almacene datos personales como metadatos para la clave.
lista_alias Uno o varios alias exclusivos legibles asignados a su clave. Importante: Para proteger su privacidad, no almacene datos personales como metadatos para la clave. Cada alias debe ser alfanumérico, sensible a las mayúsculas y minúsculas y no puede contener espacios ni caracteres especiales excepto sean guiones (-) o subrayados (_). El alias no puede ser un UUID de la versión 4 y no puede ser un nombre reservado Key Protect: ip_permitida, clave, claves, metadatos, política, políticas, registro, registros, anillo, anillos, rotar, encapsular, desencapsular, reencapsular, versión, versiones. El tamaño del alias puede tener entre 2 y 90 caracteres (inclusive).
key_description Una descripción ampliada para su clave. Importante: Para proteger su privacidad, no almacene datos personales como metadatos para la clave.
expiration_date Opcional. La fecha y hora en que caduca la clave en el sistema, en formato RFC 3339 (AAAA-MM-DD HH:MM:SS.SS, por ejemplo 2019-10-12T07:20:50.52Z ). Tenga cuidado al establecer una fecha de caducidad, ya que las claves creadas con una fecha de caducidad pasan automáticamente al estado Desactivado una hora después de su caducidad. En este estado, las únicas acciones permitidas sobre la tecla son desenvolver, reenvolver, rotar y borrar. Las claves desactivadas no se pueden utilizar para cifrar (envolver) nuevos datos, incluso si se rotan mientras están desactivadas. La rotación no restablece ni amplía la fecha de caducidad, ni permite cambiar la fecha. Se recomienda que cualquier dato cifrado con una clave que caduque o haya caducado se vuelva a cifrar utilizando una nueva clave raíz de cliente (CRK) antes de que caduque la CRK original, para evitar interrupciones del servicio. Borrar y restaurar una llave desactivada no la devuelve al estado Activo. Si se omite el atributo expiration_date, la clave no caduca.
key_type Valor booleano que determina si el material de clave puede dejar el servicio. Cuando establece el atributo extractable en false, el servicio crea una clave raíz que puede utilizar para las operaciones de envolver o desenvolver.

Tenga cuidado al establecer una fecha de caducidad, ya que las claves creadas con una fecha de caducidad pasan automáticamente al estado Desactivado una hora después de su caducidad. En este estado, las únicas acciones permitidas sobre la tecla son desenvolver, reenvolver, rotar y borrar. Las claves desactivadas no se pueden utilizar para cifrar (envolver) nuevos datos, incluso si se rotan mientras están desactivadas. La rotación no restablece ni amplía la fecha de caducidad, ni permite cambiar la fecha. Se recomienda que cualquier dato cifrado con una clave que caduque o haya caducado se vuelva a cifrar utilizando una nueva clave raíz de cliente (CRK) antes de que caduque la CRK original, para evitar interrupciones del servicio. Borrar y restaurar una llave desactivada no la devuelve al estado Activo. Si se omite el atributo expiration_date, la clave no caduca.

Puede supervisar el uso de claves con fecha de caducidad utilizando IBM Cloud Logs. Los registros indican la fecha de caducidad y el número de días restantes utilizando las propiedades JSON responseData.expirationDate y responseData.daysToKeyExpire para las claves que tienen fecha de caducidad y para los siguientes valores action : kms.secrets.wrap, kms.secrets.unwrap, kms.secrets.rewrap, kms.secrets.read, kms.secrets.readmetadata, kms.secrets.create, kms.secrets-with-policy-overrides.create y kms.secrets.expire. Además, una llamada REST correcta a GET /api/v2/keys devuelve la propiedad expirationDate para cada clave que tenga fecha de caducidad.

Para proteger la confidencialidad de sus datos personales, evite especificar información de identificación personal (PII), como el nombre o la ubicación, cuando añades claves al servicio.

Una respuesta POST api/v2/keys satisfactoria devuelve el valor del ID para la clave, junto con otros metadatos. El ID es un identificador exclusivo que se asigna a su clave y que posteriores llamadas lo utilizan para la API de Key Protect.

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.key+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "type": "application/vnd.ibm.kms.key+json",
            "id": "02fd6835-6001-4482-a892-13bd2085f75d",
            "name": "test-root-key",
            "aliases": [
                "alias-1",
                "alias-2"
              ],
            "description": "A test root key",
            "state": 1,
            "extractable": false,
            "crn": "crn:v1:bluemix:public:kms:us-south:a/f047b55a3362ac06afad8a3f2f5586ea:12e8c9c2-a162-472d-b7d6-8b9a86b815a6:key:02fd6835-6001-4482-a892-13bd2085f75d",
            "imported": false,
            "creationDate": "2020-03-12T03:37:32Z",
            "createdBy": "...",
            "algorithmType": "Deprecated",
            "algorithmMetadata": {
                "bitLength": "256",
                "mode": "Deprecated"
            },
            "algorithmBitSize": 256,
            "algorithmMode": "Deprecated",
            "lastUpdateDate": "2020-03-12T03:37:32Z",
            "keyVersion": {
                "id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
                "creationDate": "2020-03-12T03:37:32Z"
            },
            "dualAuthDelete": {
                "enabled": false
            },
            "deleted": false
        }
    ]
}

Para obtener una descripción detallada de los parámetros de respuesta, consulte el documento de referencia de la API REST Key Protect.

Qué hacer a continuación