IBM Cloud Docs
Visualización de asociaciones entre claves raíz y recursos cifrados de IBM Cloud

Visualización de asociaciones entre claves raíz y recursos cifrados de IBM Cloud

Puede ver las asociaciones entre claves raíz y otros recursos de nube, como por ejemplo cubos de Cloud Object Storage o despliegues de Cloud Databases, utilizando la API de IBM Key Protect.

Cuando utiliza una clave raíz para proteger los datos en reposo con el cifrado de sobre, los servicios en la nube que utilizan la clave pueden crear un registro entre la clave y el recurso que protege.

Los registros son asociaciones entre claves y recursos de nube que le ayudan a obtener una vista completa de las claves de cifrado que protegen los datos de IBM Cloud.

Describe las ventajas del registro de claves.
Beneficio Descripción
Vista centralizada de los recursos protegidos Como administrador de la instancia de Key Protect, desea comprender rápidamente qué recursos de la nube están protegidos por una clave raíz.
Seguridad y conformidad Como administrador de seguridad, necesita una forma de determinar el riesgo que implica destruir una clave raíz.
Desea examinar qué claves están protegiendo activamente qué datos de forma que pueda evaluar las exposiciones en función de las necesidades de seguridad o de conformidad de la organización.

El registro de claves es una característica adicional que sólo está disponible si el servicio de nube lo ha habilitado como parte de su integración con Key Protect. Para determinar si un servicio integrado admite el registro de claves, consulte la documentación del servicio para obtener más información.

Visualización de recursos protegidos en la consola

Puede examinar los registros que están disponibles entre las claves y los recursos de nube de Key Protect utilizando la consola de Key Protect IBM Cloud.

Visualización de recursos protegidos en la instancia

  1. Inicie sesión en la consola IBM Cloud.

  2. Vaya a Menú > Lista de recursos para ver una lista de sus recursos.

  3. Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Key Protect.

  4. Seleccione el enlace Associated resources en el menú de la izquierda.

  5. En la página Recursos asociados, utilice la tabla Recursos asociados para examinar los registros del servicio.

  6. Pulse el icono ^ bajo la columna Details para ver una lista de detalles de un registro específico.

  7. Pulse el botón Filter para filtrar os recursos por ID de clave, nombre de recurso de nube (CRN) y política de retención.

Visualización de los recursos protegidos asociados con la clave

  1. Inicie sesión en la consola IBM Cloud.

  2. Vaya a Menú > Lista de recursos para ver una lista de sus recursos.

  3. Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Key Protect.

  4. En la página de detalles de la aplicación, utilice la tabla de Claves tabla para examinar las claves en el servicio.

  5. Pulse el icono ⋯ para abrir una lista de opciones para la clave.

  6. En el menú de opciones, pulse Recursos asociados a la clave para ver los registros asociados de la clave.

Visualización de recursos protegidos con la API

Puede examinar los registros que están disponibles entre las claves y los recursos de nube Key Protect utilizando la API de Key Protect.

Por ejemplo, cuando hace la llamada GET api/v2/keys/{id}/registrations, Key Protect devuelve detalles sobre el registro de claves. La salida JSON siguiente representa un registro entre una clave y un recurso de nube.

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.registration+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "keyId": "02fd6835-6001-4482-a892-13bd2085f75d",
            "resourceCrn": "crn:v1:bluemix:public:<service-name>:<region>:a/<account-id>:<service-instance>:bucket:<bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "02fd6835-6001-4482-a892-13bd2085f75d",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        }
    ]
}

En la tabla siguiente se describen las propiedades de un registro.

Propiedades asociadas a un registro.
Parámetro Descripción
keyID El ID que identifica la clave raíz que está asociada con el recurso de nube.
resourceCrn El nombre de recurso de nube (CRN) que representa el recurso de la nube, como por ejemplo un grupo de Cloud Object Storage, que está asociado con la clave.
createdBy El identificador exclusivo del recurso que ha creado el registro.
creationDate La fecha en que se ha creado el registro.
lastUpdated La fecha en que se ha actualizado el registro.
descripción Una descripción del registro.
preventKeyDeletion Un valor booleano que determina si Key Protect debe evitar la supresión de la clave raíz. Si es true, el recurso asociado no se puede borrar debido a una política de retención y la clave Key Protect que está cifrando el recurso no se puede suprimir.
keyVersion La versión de la clave raíz que protege el recurso de nube.

Listado de registros de una clave raíz específica

Puede recuperar los detalles de los registros que están asociados con una clave raíz específica realizando una llamada GET al siguiente punto final.

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations
  1. Recupere sus credenciales de autenticación para trabajar con la API.

  2. Vea los registros que están asociados con una clave raíz ejecutando el siguiente mandato curl.

    $ curl -X GET \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>"
    

    Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.

Describe las variables necesarias para listar todos los registros que están asociados a una clave raíz.
Variable Descripción
región Obligatorio. La abreviatura de la región, como us-south o eu-gb, que representa la zona geográfica en la que reside su instancia Key Protect

For more information, see Puntos finales de servicio regionales.
keyID_or_alias Obligatorio. El identificador o alias de la clave raíz asociada a los recursos de la nube que desea ver

Para obtener más información, consulte Ver claves.
IAM_token Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl.

For more information, see Recuperación de un token de acceso.
instance_ID Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect.

For more information, see Recuperación de un ID de instancia.

Una solicitud GET api/v2/keys/<keyID_or_alias>/registrations satisfactoria devuelve una colección de registros correlacionados con el ID de clave especificado.

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.registration+json",
        "collectionTotal": 2
    },
    "resources": [
        {
            "keyId": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
            "resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        },
        {
            "keyId": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
            "resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<other-bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        }
    ]
}

El valor de resourceCrn representa el identificador exclusivo del recurso de nube que cifra keyId. Los metadatos asociados con el registro, como por ejemplo la fecha de creación, también se devuelven en el cuerpo de la respuesta.

De forma predeterminada, GET api/v2/keys/registrations devuelve las primeras 200 claves, pero puede ajustar este límite utilizando el parámetro limit en el momento de la consulta.

Filtrado de registros de una clave raíz específica

Puede filtrar un conjunto de registros asociados a una clave raíz especificando los caracteres preventKeyDeletion y urlEncodedResourceCRNQuery parámetros en el momento de la consulta.

Por ejemplo, puede tener un total de 25 registros almacenados en su instancia de Key Protect, pero desear recuperar solo los registros que tengan una política de retención que esté asociada a un nombre de recurso de nube (CRN) específico.

Puede utilizar la siguiente solicitud de ejemplo para solicitar la recuperación de un conjunto filtrado de registros.

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Sustituya las variables preventKeyDeletion y urlEncodedResourceCRNQuery de la solicitud según la tabla siguiente.

Describe las variables preventKeyDeletion y urlEncodedResourceCRNQuery.
Variable Descripción
preventKeyDeletion Un valor booleano que filtra los registros en función de si un recurso registrado tiene una política de retención.

For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true, use ../registrations?preventKeyDeletion=true.

También puede emparejar previentKeyDeletion con offest, limit y urlEncodedResourceCRNQuery para buscar en los recursos disponibles.
urlEncodedResourceCRNQuery El CRN de recurso por el que desea filtrar los registros.

For example, if you have multiple registrations in your instance, and you want to only view registrations that are associated with a specific Cloud Resource Name (CRN), use ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN".

Para más información, consulte Ejemplos de consulta CRN

También puede emparejar urlEncodedResourceCRNQuery con offest, limit y preventKeyDeletion para buscar en los recursos disponibles.

También puede filtrar para un subconjunto de registros especificando limit y offset en el momento de la consulta.

Puede utilizar la siguiente solicitud de ejemplo para solicitar la recuperación de un conjunto filtrado de registros.

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?offset=<offset>&limit=<limit>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Sustituya las variables limit y offset en su solicitud de acuerdo con la tabla siguiente.

Describe las variables límite y offset.
Variable Descripción
desplazamiento El número de registros que se van a omitir.

For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25.

También puede emparejar el desplazamiento con límite de página a través de los recursos disponibles.
límite El número de registros que se van a recuperar.

For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10. El valor máximo para el límite es 5000.

También puede emparejar el desplazamiento con límite de página a través de los recursos disponibles.

Listado de registros de cualquier clave raíz

También puede recuperar una lista de los registros que están asociados con cualquier recurso de nube realizando una llamada GET al siguiente punto final.

https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations
  1. Recupere sus credenciales de autenticación para trabajar con la API.

  2. Vea los registros que coinciden con una consulta de CRN que especifique ejecutando el siguiente mandato curl.

    $ curl -X GET \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>"
    

    Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.

Describe las variables necesarias para listar los registros de cualquier clave en su instancia Key Protect.
Variable Descripción
región Obligatorio. La abreviatura de la región, como us-south o eu-gb, que representa la zona geográfica en la que reside su instancia Key Protect

For more information, see Puntos finales de servicio regionales.
IAM_token Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl.

For more information, see Recuperación de un token de acceso.
instance_ID Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect.

For more information, see Recuperación de un ID de instancia.

Filtrado de registros de cualquier clave raíz

Puede filtrar para obtener un conjunto de registros asociados a cualquier clave raíz gestionada en la instancia suministrada de Key Protect especificando preventKeyDeletion y urlEncodedResourceCRNQuery parámetros en el momento de la consulta.

Por ejemplo, puede tener un total de 25 registros almacenados en su Instancia de Key Protect, pero desear recuperar solo los registros que tengan una política de retención asociada a un nombre de recurso de nube (CRN) específico.

Puede utilizar la siguiente solicitud de ejemplo para solicitar la recuperación de un conjunto específico de registros.

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Sustituya las variables preventKeyDeletion y urlEncodedResourceCRNQuery de la solicitud según la tabla siguiente.

Describe las variables preventKeyDeletion y urlEncodedResourceCRNQuery.
Variable Descripción
preventKeyDeletion Un valor booleano que filtra los registros en función de si un recurso registrado tiene una política de retención.

For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true, use ../registrations?preventKeyDeletion=true.

También puede emparejar previentKeyDeletion con offest, limit y urlEncodedResourceCRNQuery para buscar en los recursos disponibles.
urlEncodedResourceCRNQuery El CRN de recurso por el que desea filtrar los registros.

For example, if you have multiple registrations in your instance, and you want to only view registrations that are associated with a specific Cloud Resource Name (CRN), use ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN".

For more information, see Ejemplos de consulta CRN.

También puede emparejar urlEncodedResourceCRNQuery con offest, limit y preventKeyDeletion para buscar en los recursos disponibles.

También puede filtrar para un subconjunto de registros especificando limit y offset en el momento de la consulta.

Puede utilizar la siguiente solicitud de ejemplo para solicitar la recuperación de un conjunto diferente de registros.

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?offset=<offset>&limit=<limit>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

Sustituya las variables limit y offset en su solicitud de acuerdo con la tabla siguiente.

Describe las variables límite y offset.
Variable Descripción
desplazamiento El número de registros que se van a omitir.

For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25.

También puede emparejar el desplazamiento con límite de página a través de los recursos disponibles.
límite El número de registros que se van a recuperar.

For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10. El valor máximo para el límite es 5000.

También puede emparejar el desplazamiento con límite de página a través de los recursos disponibles.

Ejemplos de consulta de CRN

Utilice consultas CRN codificadas como URL para filtrar registros por instancia de Key Protect, tipo de recurso o nombre de recurso. Para obtener más información sobre los segmentos y el formato de CRN, consulte Nombres de recursos en la nube.

Servicios en la nube que utilizan Key Protect para asociar claves a recursos por usted sólo puede ver o consultar los CRN que coincidan con los primeros 8 segmentos de sus CRN de servicio.

  • Para buscar la existencia de un registro hasta un segmento de CRN específico, utilice un signo de dos puntos seguido de un asterisco (*).

    crn:v1:bluemix:public:databases-for-redis:us-south:a/
    274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
    

    Esta consulta devuelve los registros de Databases for Redis asociados a todos los tipos y nombres de recurso del ID de despliegue 29caf0e7-120f-4da8-9551-3abf57ebcfc7.

  • Para buscar si existe un registro hasta un segmento CRN específico con el prefijo <string>, utilice un signo de dos puntos seguido de <string>* en el último segmento de la consulta de CRN.

    crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
    

    Esta consulta devuelve todos los registros de grupo de Cloud Object Storage dentro de la cuenta e1bb63d6a20dc57c87501ac4c4c99dcb que tienen el prefijo prod.

En la lista de registros asociados a cualquier clave raíz, la consulta CRN no debe contener un asterisco (*) en los ocho primeros segmentos.

En las tablas siguientes se proporciona una lista de los ejemplos de consulta de CRN antes y después de la codificación de URL. Para ver los valores codificados en URL, pulse el separador Codificado en URL.

Ejemplos de consulta de CRN.
Valor
crn:v1:bluemix:public:databases-for-redis:us-south:a/274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
crn:v1:bluemix:public:cloudantnosqldb:us-south:a/f586c28d154d4c65a4a4a34cf75f55d0:94255ea3-af1c-41b7-9805-61f775e20702:*:prod*.
Ejemplos de consulta de CRN.
Valor
crn%3Av1%3Abluemix%3Apublic%3Adatabases-for-redis%3Aus-south%3Aa%2F274074dce64e9c423ffc238516c755e1%3A29caf0e7-120f-4da8-9551-3abf57ebcfc7%3A*%3A*
crn%3Av1%3Abluemix%3Apublic%3Acloud-object-storage%3Aglobal%3Aa%2Fe1bb63d6a20dc57c87501ac4c4c99dcb%3A*%3Abucket%3Aprod*
crn%3Av1%3Abluemix%3Apublic%3Acloudantnosqldb%3Aus-south%3Aa%2Ff586c28d154d4c65a4a4a34cf75f55d0%3A94255ea3-af1c-41b7-9805-61f775e20702%3A%2A%3Aprod%2A

Qué hacer a continuación

Para saber más sobre cómo ver las inscripciones consulte el Key Protect API reference doc.