Creación de claves estándar
Puede crear una clave de cifrado estándar con la consola Key Protect.
Puede crear una clave de cifrado estándar mediante programación con la API Key Protect.
Creación de claves estándares en la consola
Después de crear una instancia del servicio, siga los siguientes pasos para crear una clave estándar en la consola de IBM Cloud.
Si habilita los valores de autorización dual para la instancia de Key Protect, tenga en cuenta que cualquier clave que añada al servicio necesita una autorización de dos usuarios para suprimir claves.
-
Vaya a Menú > Lista de recursos para ver una lista de sus recursos.
-
Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Key Protect.
-
Para crear una clave nueva, pulse Añadir y deje seleccionada la opción Crear una clave.
Especifique los detalles de la clave:
Valor | Descripción |
---|---|
Tipo | El Tipo de clave que desea gestionar en Key Protect. Las claves raíz se seleccionan de forma predeterminada. Seleccione el botón Clave estándar para crear una clave estándar. |
Nombre de clave | Un nombre de visualización legible por el usuario para facilitar la identificación de la clave. La longitud debe tener entre 2 - 90 caracteres (inclusive). Para proteger su privacidad, asegúrese de que el nombre de clave no contiene información de identificación personal (PII), como el nombre o la ubicación. Tenga en cuenta que los nombres de clave no necesitan ser exclusivos. |
Alias de clave | Opcional. Los alias de clave son una forma de describir una clave que permite identificarlas y agruparlas más allá de los límites de un nombre de visualización. Las claves pueden tener hasta cinco alias. |
Conjunto de claves | Opcional. Los conjuntos de claves son agrupaciones de claves que permiten que esas agrupaciones se gestionen de forma independiente, según sea necesario.
Cada tecla debe formar parte de un conjunto de claves. Si no se selecciona ningún conjunto de claves, las claves se colocan en el conjunto de claves default . Tenga en cuenta que para colocar la clave que está creando en
un anillo de claves, debe tener el rol de Gestor sobre ese anillo de claves. Para obtener más información sobre los roles, consulte Gestión del acceso de usuario. |
Cuando haya terminado de cumplimentar los detalles de la clave, pulse Crear una clave para confirmar.
Si sabe en qué anillo de claves quiere que se coloque una clave y es un Gestor de ese anillo de claves, también puede ir al panel de anillos de claves, seleccionar ⋯ y pulsar Añadir clave a anillo de claves. Esto abrirá el mismo panel que ve pulsando Añadir en la página Claves con la variable Conjuntos de claves rellenada con el nombre del conjunto de claves.
Creación de claves estándar con la API
Cree una clave estándar realizando una llamada POST
al siguiente punto final.
https://<region>.kms.cloud.ibm.com/api/v2/keys
-
Recupere sus credenciales de servicio y de autenticación para trabajar con claves en el servicio.
-
Llame a la Key Protect API con el siguiente
curl
comando.$ curl -X POST \ "https://<region>.kms.cloud.ibm.com/api/v2/keys" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>" \ -H "content-type: application/vnd.ibm.kms.key+json" \ -H "x-kms-key-ring: <key_ring_ID" \ -H "correlation-id: <correlation_ID>" \ -H "prefer: <return_preference>" \ -d '{ "metadata": { "collectionType": "application/vnd.ibm.kms.key+json", "collectionTotal": 1 }, "resources": [ { "type": "application/vnd.ibm.kms.key+json", "name": "<key_name>", "aliases": [alias_list], "description": "<key_description>", "expirationDate": "<expiration_date>", "extractable": <key_type> } ] }'
Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.
Variable | Descripción |
---|---|
región | Obligatorio. La abreviatura de la región, como us-south o eu-gb, que representa la zona geográfica donde reside la instancia de Key Protect. Para obtener más información, consulte Puntos finales de servicio regionales. |
IAM_token | Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl. Para obtener más información, consulte Recuperación de una señal de acceso. |
instance_ID | Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect. Para obtener más información, consulte Recuperación de un ID de instancia. |
ID_conjunto_claves | Opcional. El identificador exclusivo del conjunto de claves de destino del que desea que forme parte la clave recién creada. Si no se especifica, la cabecera se establece automáticamente en 'default' (predeterminado) y la clave se colocará en el conjunto de claves predeterminado en la instancia de servicio Key Protect especificada. Para obtener más información, consulte Agrupación de claves. |
correlation_ID | Opcional. El identificador exclusivo que se utiliza para realizar un seguimiento y correlacionar transacciones. |
return_preference | Cabecera que altera el comportamiento del servidor para las operaciones POST y DELETE. Cuando establece la variable return_preference en return=minimal , el servicio sólo devuelve los metadatos de clave, como el
nombre de clave y el valor de ID, en el entity-body de la respuesta. Cuando establece la variable en return=representation , el servicio devuelve tanto el material de la clave como los metadatos de la clave. |
key_name | Obligatorio. Un nombre legible por el usuario para una identificación conveniente de su clave. Para proteger su privacidad, no almacene datos personales como metadatos para la clave. |
lista_alias | Opcional.Uno o más alias exclusivos legibles por el usuario asignados a su clave. Importante: Para proteger su privacidad, no almacene datos personales como metadatos para la clave. Cada alias debe ser alfanumérico, sensible
a las mayúsculas y minúsculas y no puede contener espacios ni caracteres especiales que no sean - o _ . El alias no puede ser un UUID de la versión 4 y no debe ser un nombre reservado de Key Protect: allowed_ip,
key, keys, metadata, policy, policies, registration, registrations, ring, rings, rotate, wrap, unwrap, rewrap, version, versions. El tamaño del alias puede tener entre 2 y 90 caracteres (inclusive). |
key_description | Opcional.Una descripción ampliada de la clave. Para proteger su privacidad, no almacene datos personales como metadatos para la clave. |
expiration_date | Opcional.La fecha y hora en que la clave caduca en el sistema, en formato RFC 3339 (AAAA-MM-DD HH:MM: SS.SS, por ejemplo 2019-10-12T07:20:50.52Z). La clave pasará al estado desactivado en un plazo de una hora tras la fecha de caducidad de la clave. Si se omite el atributo expirationDate, la clave no caduca. |
key_type | Opcional.Valor booleano que determina si el material de la clave puede dejar el servicio. Cuando establece el atributo extractable en true, el servicio crea una clave estándar que puede almacenar en sus aplicaciones o servicios. |
Para proteger la confidencialidad de sus datos personales, evite especificar información de identificación personal (PII), como el nombre o la ubicación, cuando añades claves al servicio.
Una respuesta POST api/v2/keys
satisfactoria devuelve el valor del ID para la clave, junto con otros metadatos. El ID es un identificador exclusivo que se asigna a su clave y que posteriores llamadas lo utilizan para la API de Key
Protect.
Opcional: Verifique que la clave se ha creado ejecutando la llamada siguiente para obtener las claves en la instancia de servicio Key Protect.
$ curl -X GET \
"https://<regon>.kms.cloud.ibm.com/api/v2/keys" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Qué hacer a continuación
- Para saber más sobre la gestión programática de tus llaves, consulte el Key Protect documento de referencia de la API.