IBM Cloud Docs
Creación de claves estándar

Creación de claves estándar

Puede crear una clave de cifrado estándar con la consola Key Protect.

Puede crear una clave de cifrado estándar mediante programación con la API Key Protect.

Creación de claves estándares en la consola

Después de crear una instancia del servicio, siga los siguientes pasos para crear una clave estándar en la consola de IBM Cloud.

Si habilita los valores de autorización dual para la instancia de Key Protect, tenga en cuenta que cualquier clave que añada al servicio necesita una autorización de dos usuarios para suprimir claves.

  1. Inicie sesión en la consola IBM Cloud.

  2. Vaya a Menú > Lista de recursos para ver una lista de sus recursos.

  3. Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Key Protect.

  4. Para crear una clave nueva, pulse Añadir y deje seleccionada la opción Crear una clave.

    Especifique los detalles de la clave:

Descripciones de los ajustes para crear una clave.
Valor Descripción
Tipo El Tipo de clave que desea gestionar en Key Protect. Las claves raíz se seleccionan de forma predeterminada. Seleccione el botón Clave estándar para crear una clave estándar.
Nombre de clave Un nombre de visualización legible por el usuario para facilitar la identificación de la clave. La longitud debe tener entre 2 - 90 caracteres (inclusive). Para proteger su privacidad, asegúrese de que el nombre de clave no contiene información de identificación personal (PII), como el nombre o la ubicación. Tenga en cuenta que los nombres de clave no necesitan ser exclusivos.
Alias de clave Opcional. Los alias de clave son una forma de describir una clave que permite identificarlas y agruparlas más allá de los límites de un nombre de visualización. Las claves pueden tener hasta cinco alias.
Conjunto de claves Opcional. Los conjuntos de claves son agrupaciones de claves que permiten que esas agrupaciones se gestionen de forma independiente, según sea necesario. Cada tecla debe formar parte de un conjunto de claves. Si no se selecciona ningún conjunto de claves, las claves se colocan en el conjunto de claves default. Tenga en cuenta que para colocar la clave que está creando en un anillo de claves, debe tener el rol de Gestor sobre ese anillo de claves. Para obtener más información sobre los roles, consulte Gestión del acceso de usuario.

Cuando haya terminado de cumplimentar los detalles de la clave, pulse Crear una clave para confirmar.

Si sabe en qué anillo de claves quiere que se coloque una clave y es un Gestor de ese anillo de claves, también puede ir al panel de anillos de claves, seleccionar ⋯ y pulsar Añadir clave a anillo de claves. Esto abrirá el mismo panel que ve pulsando Añadir en la página Claves con la variable Conjuntos de claves rellenada con el nombre del conjunto de claves.

Creación de claves estándar con la API

Cree una clave estándar realizando una llamada POST al siguiente punto final.

https://<region>.kms.cloud.ibm.com/api/v2/keys
  1. Recupere sus credenciales de servicio y de autenticación para trabajar con claves en el servicio.

  2. Llame a la Key Protect API con el siguiente curl comando.

    $ curl -X POST \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>" \
        -H "content-type: application/vnd.ibm.kms.key+json" \
        -H "x-kms-key-ring: <key_ring_ID" \
        -H "correlation-id: <correlation_ID>" \
        -H "prefer: <return_preference>" \
        -d '{
                "metadata": {
                    "collectionType": "application/vnd.ibm.kms.key+json",
                    "collectionTotal": 1
                },
                "resources": [
                    {
                        "type": "application/vnd.ibm.kms.key+json",
                        "name": "<key_name>",
                        "aliases": [alias_list],
                        "description": "<key_description>",
                        "expirationDate": "<expiration_date>",
                        "extractable": <key_type>
                    }
                ]
            }'
    

    Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.

Describe las variables necesarias para añadir una llave estándar.
Variable Descripción
región Obligatorio. La abreviatura de la región, como us-south o eu-gb, que representa la zona geográfica donde reside la instancia de Key Protect. Para obtener más información, consulte Puntos finales de servicio regionales.
IAM_token Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl. Para obtener más información, consulte Recuperación de una señal de acceso.
instance_ID Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect. Para obtener más información, consulte Recuperación de un ID de instancia.
ID_conjunto_claves Opcional. El identificador exclusivo del conjunto de claves de destino del que desea que forme parte la clave recién creada. Si no se especifica, la cabecera se establece automáticamente en 'default' (predeterminado) y la clave se colocará en el conjunto de claves predeterminado en la instancia de servicio Key Protect especificada. Para obtener más información, consulte Agrupación de claves.
correlation_ID Opcional. El identificador exclusivo que se utiliza para realizar un seguimiento y correlacionar transacciones.
return_preference Cabecera que altera el comportamiento del servidor para las operaciones POST y DELETE. Cuando establece la variable return_preference en return=minimal, el servicio sólo devuelve los metadatos de clave, como el nombre de clave y el valor de ID, en el entity-body de la respuesta. Cuando establece la variable en return=representation, el servicio devuelve tanto el material de la clave como los metadatos de la clave.
key_name Obligatorio. Un nombre legible por el usuario para una identificación conveniente de su clave. Para proteger su privacidad, no almacene datos personales como metadatos para la clave.
lista_alias Opcional.Uno o más alias exclusivos legibles por el usuario asignados a su clave. Importante: Para proteger su privacidad, no almacene datos personales como metadatos para la clave. Cada alias debe ser alfanumérico, sensible a las mayúsculas y minúsculas y no puede contener espacios ni caracteres especiales que no sean - o _. El alias no puede ser un UUID de la versión 4 y no debe ser un nombre reservado de Key Protect: allowed_ip, key, keys, metadata, policy, policies, registration, registrations, ring, rings, rotate, wrap, unwrap, rewrap, version, versions. El tamaño del alias puede tener entre 2 y 90 caracteres (inclusive).
key_description Opcional.Una descripción ampliada de la clave. Para proteger su privacidad, no almacene datos personales como metadatos para la clave.
expiration_date Opcional.La fecha y hora en que la clave caduca en el sistema, en formato RFC 3339 (AAAA-MM-DD HH:MM: SS.SS, por ejemplo 2019-10-12T07:20:50.52Z). La clave pasará al estado desactivado en un plazo de una hora tras la fecha de caducidad de la clave. Si se omite el atributo expirationDate, la clave no caduca.
key_type Opcional.Valor booleano que determina si el material de la clave puede dejar el servicio. Cuando establece el atributo extractable en true, el servicio crea una clave estándar que puede almacenar en sus aplicaciones o servicios.

Para proteger la confidencialidad de sus datos personales, evite especificar información de identificación personal (PII), como el nombre o la ubicación, cuando añades claves al servicio.

Una respuesta POST api/v2/keys satisfactoria devuelve el valor del ID para la clave, junto con otros metadatos. El ID es un identificador exclusivo que se asigna a su clave y que posteriores llamadas lo utilizan para la API de Key Protect.

Opcional: Verifique que la clave se ha creado ejecutando la llamada siguiente para obtener las claves en la instancia de servicio Key Protect.

$ curl -X GET \
    "https://<regon>.kms.cloud.ibm.com/api/v2/keys" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Qué hacer a continuación