Visualización de asociaciones entre claves raíz y recursos cifrados de IBM Cloud
Puede ver las asociaciones entre claves raíz y otros recursos de nube, como por ejemplo cubos de Cloud Object Storage o despliegues de Cloud Databases, utilizando la API de IBM Key Protect.
Cuando utiliza una clave raíz para proteger los datos en reposo con el cifrado de sobre, los servicios en la nube que utilizan la clave pueden crear un registro entre la clave y el recurso que protege.
Los registros son asociaciones entre claves y recursos de nube que le ayudan a obtener una vista completa de las claves de cifrado que protegen los datos de IBM Cloud.
Beneficio | Descripción |
---|---|
Vista centralizada de los recursos protegidos | Como administrador de la instancia de Key Protect, desea comprender rápidamente qué recursos de la nube están protegidos por una clave raíz. |
Seguridad y conformidad | Como administrador de seguridad, necesita una forma de determinar el riesgo que implica destruir una clave raíz. Desea examinar qué claves están protegiendo activamente qué datos de forma que pueda evaluar las exposiciones en función de las necesidades de seguridad o de conformidad de la organización. |
El registro de claves es una característica adicional que sólo está disponible si el servicio de nube lo ha habilitado como parte de su integración con Key Protect. Para determinar si un servicio integrado admite el registro de claves, consulte la documentación del servicio para obtener más información.
Visualización de recursos protegidos en la consola
Puede examinar los registros que están disponibles entre las claves y los recursos de nube de Key Protect utilizando la consola de Key Protect IBM Cloud.
Visualización de recursos protegidos en la instancia
-
Vaya a Menú > Lista de recursos para ver una lista de sus recursos.
-
Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Key Protect.
-
Seleccione el enlace
Associated resources
en el menú de la izquierda. -
En la página Recursos asociados, utilice la tabla Recursos asociados para examinar los registros del servicio.
-
Pulse el icono
^
bajo la columnaDetails
para ver una lista de detalles de un registro específico. -
Pulse el botón
Filter
para filtrar os recursos por ID de clave, nombre de recurso de nube (CRN) y política de retención.
Visualización de los recursos protegidos asociados con la clave
-
Vaya a Menú > Lista de recursos para ver una lista de sus recursos.
-
Desde la lista de recursos de IBM Cloud seleccione su instancia suministrada de Key Protect.
-
En la página de detalles de la aplicación, utilice la tabla de Claves tabla para examinar las claves en el servicio.
-
Pulse el icono ⋯ para abrir una lista de opciones para la clave.
-
En el menú de opciones, pulse Recursos asociados a la clave para ver los registros asociados de la clave.
Visualización de recursos protegidos con la API
Puede examinar los registros que están disponibles entre las claves y los recursos de nube Key Protect utilizando la API de Key Protect.
Por ejemplo, cuando hace la llamada GET api/v2/keys/{id}/registrations
, Key Protect devuelve detalles sobre el registro de claves. La salida JSON siguiente representa un registro entre una clave y un recurso de nube.
{
"metadata": {
"collectionType": "application/vnd.ibm.kms.registration+json",
"collectionTotal": 1
},
"resources": [
{
"keyId": "02fd6835-6001-4482-a892-13bd2085f75d",
"resourceCrn": "crn:v1:bluemix:public:<service-name>:<region>:a/<account-id>:<service-instance>:bucket:<bucket-name>",
"createdBy": "IBMid-25555555",
"creationDate": "2010-01-12T05:23:19+0000",
"updatedBy": "IBMid-25555555",
"lastUpdated": "2010-01-12T05:23:19+0000",
"description": "A description of the registration",
"preventKeyDeletion": true,
"keyVersion": {
"id": "02fd6835-6001-4482-a892-13bd2085f75d",
"creationDate": "2010-01-12T05:23:19+0000"
}
}
]
}
En la tabla siguiente se describen las propiedades de un registro.
Parámetro | Descripción |
---|---|
keyID | El ID que identifica la clave raíz que está asociada con el recurso de nube. |
resourceCrn | El nombre de recurso de nube (CRN) que representa el recurso de la nube, como por ejemplo un grupo de Cloud Object Storage, que está asociado con la clave. |
createdBy | El identificador exclusivo del recurso que ha creado el registro. |
creationDate | La fecha en que se ha creado el registro. |
lastUpdated | La fecha en que se ha actualizado el registro. |
descripción | Una descripción del registro. |
preventKeyDeletion | Un valor booleano que determina si Key Protect debe evitar la supresión de la clave raíz. Si es true, el recurso asociado no se puede borrar debido a una política de retención y la clave Key Protect que está cifrando el recurso no se puede suprimir. |
keyVersion | La versión de la clave raíz que protege el recurso de nube. |
Listado de registros de una clave raíz específica
Puede recuperar los detalles de los registros que están asociados con una clave raíz específica realizando una llamada GET
al siguiente punto final.
https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations
-
Recupere sus credenciales de autenticación para trabajar con la API.
-
Vea los registros que están asociados con una clave raíz ejecutando el siguiente mandato
curl
.$ curl -X GET \ "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>"
Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.
Variable | Descripción |
---|---|
región | Obligatorio. La abreviatura de la región, como us-south o eu-gb , que representa la zona geográfica en la que reside su instancia Key ProtectFor more information, see Puntos finales de servicio regionales. |
keyID_or_alias | Obligatorio. El identificador o alias de la clave raíz asociada a los recursos de la nube que desea ver Para obtener más información, consulte Ver claves. |
IAM_token | Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl. For more information, see Recuperación de un token de acceso. |
instance_ID | Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect. For more information, see Recuperación de un ID de instancia. |
Una solicitud GET api/v2/keys/<keyID_or_alias>/registrations
satisfactoria devuelve una colección de registros correlacionados con el ID de clave especificado.
{
"metadata": {
"collectionType": "application/vnd.ibm.kms.registration+json",
"collectionTotal": 2
},
"resources": [
{
"keyId": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
"resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<bucket-name>",
"createdBy": "IBMid-25555555",
"creationDate": "2010-01-12T05:23:19+0000",
"updatedBy": "IBMid-25555555",
"lastUpdated": "2010-01-12T05:23:19+0000",
"description": "A description of the registration",
"preventKeyDeletion": true,
"keyVersion": {
"id": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
"creationDate": "2010-01-12T05:23:19+0000"
}
},
{
"keyId": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
"resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<other-bucket-name>",
"createdBy": "IBMid-25555555",
"creationDate": "2010-01-12T05:23:19+0000",
"updatedBy": "IBMid-25555555",
"lastUpdated": "2010-01-12T05:23:19+0000",
"description": "A description of the registration",
"preventKeyDeletion": true,
"keyVersion": {
"id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
"creationDate": "2010-01-12T05:23:19+0000"
}
}
]
}
El valor de resourceCrn
representa el identificador exclusivo del recurso de nube que cifra keyId
. Los metadatos asociados con el registro, como por ejemplo la fecha de creación, también se devuelven en el cuerpo
de la respuesta.
De forma predeterminada, GET api/v2/keys/registrations
devuelve las primeras 200 claves, pero puede ajustar este límite utilizando el parámetro limit
en el momento de la consulta.
Filtrado de registros de una clave raíz específica
Puede filtrar un conjunto de registros asociados a una clave raíz especificando los caracteres preventKeyDeletion
y urlEncodedResourceCRNQuery
parámetros en el momento de la consulta.
Por ejemplo, puede tener un total de 25 registros almacenados en su instancia de Key Protect, pero desear recuperar solo los registros que tengan una política de retención que esté asociada a un nombre de recurso de nube (CRN) específico.
Puede utilizar la siguiente solicitud de ejemplo para solicitar la recuperación de un conjunto filtrado de registros.
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Sustituya las variables preventKeyDeletion
y urlEncodedResourceCRNQuery
de la solicitud según la tabla siguiente.
Variable | Descripción |
---|---|
preventKeyDeletion | Un valor booleano que filtra los registros en función de si un recurso registrado tiene una política de retención. For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true , use ../registrations?preventKeyDeletion=true .También puede emparejar previentKeyDeletion con offest, limit y urlEncodedResourceCRNQuery para buscar en los recursos disponibles. |
urlEncodedResourceCRNQuery | El CRN de recurso por el que desea filtrar los registros. For example, if you have multiple registrations in your instance, and you want to only view registrations that are associated with a specific Cloud Resource Name (CRN), use ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN" .Para más información, consulte Ejemplos de consulta CRN También puede emparejar urlEncodedResourceCRNQuery con offest, limit y preventKeyDeletion para buscar en los recursos disponibles. |
También puede filtrar para un subconjunto de registros especificando limit
y
offset
en el momento de la consulta.
Puede utilizar la siguiente solicitud de ejemplo para solicitar la recuperación de un conjunto filtrado de registros.
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?offset=<offset>&limit=<limit>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Sustituya las variables limit
y offset
en su solicitud de acuerdo con la tabla siguiente.
Variable | Descripción |
---|---|
desplazamiento | El número de registros que se van a omitir. For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25 .También puede emparejar el desplazamiento con límite de página a través de los recursos disponibles. |
límite | El número de registros que se van a recuperar. For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10 . El valor máximo para el límite
es 5000.También puede emparejar el desplazamiento con límite de página a través de los recursos disponibles. |
Listado de registros de cualquier clave raíz
También puede recuperar una lista de los registros que están asociados con cualquier recurso de nube realizando una llamada GET
al siguiente punto final.
https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations
-
Recupere sus credenciales de autenticación para trabajar con la API.
-
Vea los registros que coinciden con una consulta de CRN que especifique ejecutando el siguiente mandato
curl
.$ curl -X GET \ "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>"
Sustituya las variables de la solicitud de ejemplo de acuerdo con la siguiente tabla.
Variable | Descripción |
---|---|
región | Obligatorio. La abreviatura de la región, como us-south o eu-gb , que representa la zona geográfica en la que reside su instancia Key ProtectFor more information, see Puntos finales de servicio regionales. |
IAM_token | Obligatorio. Su señal de acceso de IBM Cloud. Incluya el contenido completo de la señal IAM, incluido el valor Bearer, en la solicitud curl. For more information, see Recuperación de un token de acceso. |
instance_ID | Obligatorio. El único identificador que está asignado a su instancia de servicio de Key Protect. For more information, see Recuperación de un ID de instancia. |
Filtrado de registros de cualquier clave raíz
Puede filtrar para obtener un conjunto de registros asociados a cualquier clave raíz gestionada en la instancia suministrada de Key Protect especificando preventKeyDeletion
y urlEncodedResourceCRNQuery
parámetros
en el momento de la consulta.
Por ejemplo, puede tener un total de 25 registros almacenados en su Instancia de Key Protect, pero desear recuperar solo los registros que tengan una política de retención asociada a un nombre de recurso de nube (CRN) específico.
Puede utilizar la siguiente solicitud de ejemplo para solicitar la recuperación de un conjunto específico de registros.
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Sustituya las variables preventKeyDeletion
y urlEncodedResourceCRNQuery
de la solicitud según la tabla siguiente.
Variable | Descripción |
---|---|
preventKeyDeletion | Un valor booleano que filtra los registros en función de si un recurso registrado tiene una política de retención. For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true , use ../registrations?preventKeyDeletion=true .También puede emparejar previentKeyDeletion con offest, limit y urlEncodedResourceCRNQuery para buscar en los recursos disponibles. |
urlEncodedResourceCRNQuery | El CRN de recurso por el que desea filtrar los registros. For example, if you have multiple registrations in your instance, and you want to only view registrations that are associated with a specific Cloud Resource Name (CRN), use ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN" .For more information, see Ejemplos de consulta CRN. También puede emparejar urlEncodedResourceCRNQuery con offest, limit y preventKeyDeletion para buscar en los recursos disponibles. |
También puede filtrar para un subconjunto de registros especificando limit
y
offset
en el momento de la consulta.
Puede utilizar la siguiente solicitud de ejemplo para solicitar la recuperación de un conjunto diferente de registros.
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?offset=<offset>&limit=<limit>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
Sustituya las variables limit
y offset
en su solicitud de acuerdo con la tabla siguiente.
Variable | Descripción |
---|---|
desplazamiento | El número de registros que se van a omitir. For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25 .También puede emparejar el desplazamiento con límite de página a través de los recursos disponibles. |
límite | El número de registros que se van a recuperar. For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10 . El valor máximo para el límite
es 5000.También puede emparejar el desplazamiento con límite de página a través de los recursos disponibles. |
Ejemplos de consulta de CRN
Utilice consultas CRN codificadas como URL para filtrar registros por instancia de Key Protect, tipo de recurso o nombre de recurso. Para obtener más información sobre los segmentos y el formato de CRN, consulte Nombres de recursos en la nube.
Servicios en la nube que utilizan Key Protect para asociar claves a recursos por usted sólo puede ver o consultar los CRN que coincidan con los primeros 8 segmentos de sus CRN de servicio.
-
Para buscar la existencia de un registro hasta un segmento de CRN específico, utilice un signo de dos puntos seguido de un asterisco (
*
).crn:v1:bluemix:public:databases-for-redis:us-south:a/ 274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
Esta consulta devuelve los registros de Databases for Redis asociados a todos los tipos y nombres de recurso del ID de despliegue 29caf0e7-120f-4da8-9551-3abf57ebcfc7.
-
Para buscar si existe un registro hasta un segmento CRN específico con el prefijo
<string>
, utilice un signo de dos puntos seguido de<string>*
en el último segmento de la consulta de CRN.crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
Esta consulta devuelve todos los registros de grupo de Cloud Object Storage dentro de la cuenta e1bb63d6a20dc57c87501ac4c4c99dcb que tienen el prefijo
prod
.
En la lista de registros asociados a cualquier clave raíz, la consulta CRN no debe contener un asterisco (*) en los ocho primeros segmentos.
En las tablas siguientes se proporciona una lista de los ejemplos de consulta de CRN antes y después de la codificación de URL. Para ver los valores codificados en URL, pulse el separador Codificado en URL.
Valor |
---|
crn:v1:bluemix:public:databases-for-redis:us-south:a/274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:* |
crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod* |
crn:v1:bluemix:public:cloudantnosqldb:us-south:a/f586c28d154d4c65a4a4a34cf75f55d0:94255ea3-af1c-41b7-9805-61f775e20702:*:prod* . |
Valor |
---|
crn%3Av1%3Abluemix%3Apublic%3Adatabases-for-redis%3Aus-south%3Aa%2F274074dce64e9c423ffc238516c755e1%3A29caf0e7-120f-4da8-9551-3abf57ebcfc7%3A*%3A* |
crn%3Av1%3Abluemix%3Apublic%3Acloud-object-storage%3Aglobal%3Aa%2Fe1bb63d6a20dc57c87501ac4c4c99dcb%3A*%3Abucket%3Aprod* |
crn%3Av1%3Abluemix%3Apublic%3Acloudantnosqldb%3Aus-south%3Aa%2Ff586c28d154d4c65a4a4a34cf75f55d0%3A94255ea3-af1c-41b7-9805-61f775e20702%3A%2A%3Aprod%2A |
Qué hacer a continuación
Para saber más sobre cómo ver las inscripciones consulte el Key Protect API reference doc.