IBM Cloud Docs
ルート鍵と暗号化された IBM Cloud リソースとの間の関連の表示

ルート鍵と暗号化された IBM Cloud リソースとの間の関連の表示

ルート鍵と、Cloud Object Storage バケットまたは Cloud Databases デプロイメントなどの他のクラウド・リソースとの間の関連付けを表示できます。(以下を使用) IBM Key Protect API。

ルート鍵を使用してエンベロープ暗号化で保存中データを保護する場合、その鍵を使用するクラウド・サービスは、鍵とそれが保護するリソースとの間の登録を作成できます。

登録は、どの暗号鍵が以下のどのデータを保護しているかを完全に把握するのに役立つ、鍵とクラウド・リソースの間の関連付けです。 IBM Cloud.

メリット 説明
保護リソースの集中ビュー Key Protect インスタンスの管理者は、
  ルート鍵によって保護されているのが
  どのクラウド・リソースなのかを素早く把握する
  必要があります。 |

| セキュリティーおよびコンプライアンス | セキュリティー管理者は、ルート鍵の破棄に関係するリスクを判別する方法を必要とします。
組織のセキュリティーまたはコンプライアンスのニーズに基づいて機密漏れを評価できるように、どの鍵がどのデータをアクティブに保護しているのかを調べたい場合があります。 |

鍵登録は、クラウド・サービスが以下との統合の一部として鍵登録を有効にした場合にのみ使用可能な追加機能です。 Key Protect. 統合されたサービスが鍵登録をサポートしているかどうかを判別するには、そのサービスの資料を参照して詳細を確認してください。

コンソールでの保護リソースの表示

以下の間で使用可能な登録を参照できます。 Key Protect 鍵とクラウド・リソース。(Key Protect IBM Cloud コンソールを使用)

インスタンス内の保護リソースの表示

  1. IBM Cloudコンソールにログインする

  2. 「メニュー」>**「リソース・リスト」**に移動し、リソースのリストを表示します。

  3. IBM Cloud リソース・リストで、Key Protect のプロビジョン済みインスタンスを選択します。

  4. 左側のメニューでAssociated resourcesリンクを選択します。

  5. 「関連リソース (Associated resources)」ページの**「関連リソース (Associated Resources)」**テーブルを使用して、サービス内の登録を参照します。

  6. 特定の登録の詳細のリストを表示するには、^列の下にあるDetailsアイコンをクリックします。

  7. 鍵 ID、クラウド・リソース名 (CRN)、保存ポリシーでリソースをフィルタリングするには、Filterボタンをクリックします。

鍵に関連付けられた保護リソースの表示

  1. IBM Cloudコンソールにログインする

  2. 「メニュー」>**「リソース・リスト」**に移動し、リソースのリストを表示します。

  3. IBM Cloud リソース・リストで、Key Protect のプロビジョン済みインスタンスを選択します。

  4. アプリケーションの詳細ページで、**「鍵 (Keys)」**テーブルを使用して、サービス内の鍵を参照します。

  5. 「⋯」アイコンをクリックして、鍵のオプションのリストを開きます。

  6. オプション・メニューから、**「鍵の関連リソース (Key associated resources)」**をクリックして、鍵の関連登録を表示します。

API を使用した保護リソースの表示

以下の間で使用可能な登録を参照できます。 Key Protect 鍵とクラウド・リソース。(Key Protect APIを使用)

例えば、GET api/v2/keys/{id}/registrationsを呼び出すと、 Key Protect は、鍵登録に関する詳細を返します。 以下の JSON 出力は、鍵とクラウド・リソースとの間の登録を表します。

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.registration+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "keyId": "02fd6835-6001-4482-a892-13bd2085f75d",
            "resourceCrn": "crn:v1:bluemix:public:<service-name>:<region>:a/<account-id>:<service-instance>:bucket:<bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "02fd6835-6001-4482-a892-13bd2085f75d",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        }
    ]
}

登録のプロパティーの説明を以下の表に示します。

登録に関連するプロパティ。
パラメーター 説明
keyID クラウド・リソースと関連付けられているルート鍵を識別する ID。
resourceCrn 鍵と関連付けられているクラウド・リソース (Cloud Object Storage バケットなど) を表すクラウド・リソース名 (CRN)。
createdBy 登録を作成したリソースの固有 ID。
creationDate 登録が作成された日付。
lastUpdated 登録が更新された日付。
説明 登録の説明。
preventKeyDeletion Key Protect がルート鍵の削除を防止する必要があるかどうかを決定するブール値。 true の場合、関連付けられたリソースは保存ポリシーが存在するため消去不能であり、リソースを暗号化している Key Protect 鍵を削除することはできません。
keyVersion クラウド・リソースを保護しているルート鍵のバージョン。

特定のルート鍵の登録のリスト

以下のエンドポイントへの GET 呼び出しを行うことによって、特定のルート鍵と関連付けられている登録の詳細を取得できます。

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations
  1. API の処理を行うために、認証資格情報を取得します

  2. 以下の curl コマンドを実行して、ルート鍵と関連付けられている登録を表示します。

    $ curl -X GET \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>"
    

    次の表に従って、例の要求内の変数を置き換えてください。

ルート・キーに関連付けられているすべての登録を一覧表示するために必要な変数が説明されています。
変数 説明
リージョン 必須。 The region abbreviation, such as us-south or eu-gb, that represents the geographic area where your Key Protect instance resides.

For more information, see 地域サービス・エンドポイント.
keyID_or_alias 必須。 閲覧したいクラウドリソースに関連するルートキーの識別子またはエイリアス

詳しくは、 View Keys を参照してください。
IAM_token 必須。 IBM Cloud アクセス・トークン。 Bearer 値を含む、IAM トークンの全コンテンツを cURL 要求に組み込みます。

For more information, see アクセストークンの取得.
instance_ID 必須。 Key Protect サービス・インスタンスに割り当てられた固有 ID。

For more information, see インスタンスIDの取得.

GET api/v2/keys/<keyID_or_alias>/registrations 要求が成功すると、指定されたキー ID にマップされた登録のコレクションが返されます。

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.registration+json",
        "collectionTotal": 2
    },
    "resources": [
        {
            "keyId": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
            "resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        },
        {
            "keyId": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
            "resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<other-bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        }
    ]
}

resourceCrn 値は、keyId によって暗号化されたクラウド・リソースの固有 ID を表します。 登録に関連付けられているメタデータ (作成日など) も応答本体で返されます。

デフォルトでは、GET api/v2/keys/registrations は最初の 200 個の登録を返しますが、照会時に limit パラメーターを使用してこの制限を調整できます。

特定のルート鍵に関連する登録のフィルタリング

You can filter for a set of registrations that are associated with a root key by specifying the preventKeyDeletion and urlEncodedResourceCRNQuery 照会時のパラメーター。

例えば、以下に保存されている合計 25 個の登録があるが (Key Protect インスタンス)、特定のクラウド・リソース名 (CRN) に関連付けられた保存ポリシーを持つ登録のみを取得したい場合があります。

次の要求例を使用して、フィルタリングされた登録のセットを取り出すことができます。

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

次の表に従って、要求内の preventKeyDeletion 変数と urlEncodedResourceCRNQuery 変数を置き換えてください。

preventKeyDeletionとurlEncodedResourceCRNQuery変数について説明します。
変数 説明
preventKeyDeletion 登録されているリソースに保存ポリシーがあるかどうかに基づいて登録をフィルタリングするブール値。

For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true, use ../registrations?preventKeyDeletion=true.

preventKeyDeletion を offest、limit、urlEncodedResourceCRNQuery と組み合わせて、使用可能なリソース全体を検索することもできます。
urlEncodedResourceCRNQuery 登録のフィルター基準にするリソース CRN 。

For example, if you have multiple registrations in your instance, and you want to only view registrations that are associated with a specific Cloud Resource Name (CRN), use ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN".

詳細については、CRNクエリーの例 を参照してください

urlEncodedResourceCRNQuery を offest、limit、preventKeyDeletion と組み合わせて、使用可能なリソース全体を検索することもできます。

limit を指定して、登録のサブセットをフィルタリングすることもできます。 offset パラメーター。

次の要求例を使用して、フィルタリングされた登録のセットを取り出すことができます。

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?offset=<offset>&limit=<limit>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

次の表に従って、要求内の limit 変数と offset 変数を置き換えてください。

リミット変数とオフセット変数を説明する。
変数 説明
offset スキップする登録の数。

For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25.

offset を limit と組み合わせて、使用可能なリソースの一部を取り出すこともできます。
limit 取得する登録の数。

For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10. limit の最大値は 5000 です。

offset を limit と組み合わせて、使用可能なリソースの一部を取り出すこともできます。

任意のルート鍵の登録のリスト

以下のエンドポイントへの GET 呼び出しを行うことによって、任意のクラウド・リソースと関連付けられた登録のリストを取得することもできます。

https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations
  1. API の処理を行うために、認証資格情報を取得します

  2. 以下の curl コマンドを実行して、指定する CRN 照会に一致する登録を表示します。

    $ curl -X GET \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>"
    

    次の表に従って、例の要求内の変数を置き換えてください。

Key Protectインスタンス内の任意のキーの登録をリストするために必要な変数を記述します。
変数 説明
リージョン 必須。 The region abbreviation, such as us-south or eu-gb, that represents the geographic area where your Key Protect instance resides.

For more information, see 地域サービス・エンドポイント.
IAM_token 必須。 IBM Cloud アクセス・トークン。 Bearer 値を含む、IAM トークンの全コンテンツを cURL 要求に組み込みます。

For more information, see アクセストークンの取得.
instance_ID 必須。 Key Protect サービス・インスタンスに割り当てられた固有 ID。

For more information, see インスタンスIDの取得.

任意のルート鍵に関連する登録のフィルタリング

プロビジョンされた以下のインスタンスで管理されているルート鍵に関連付けられている一連の登録をフィルタリングすることもできます。 Key Protect preventKeyDeletion および urlEncodedResourceCRNQuery を指定して 照会時のパラメーター。

例えば、以下に保存されている合計 25 個の登録があるが (Key Protect インスタンス)、特定のクラウド・リソース名 (CRN) に関連付けられた保存ポリシーを持つ登録のみを取得したい場合があります。

次の要求例を使用して、特定の登録のセットを取り出すことができます。

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

次の表に従って、要求内の preventKeyDeletion 変数と urlEncodedResourceCRNQuery 変数を置き換えてください。

preventKeyDeletionとurlEncodedResourceCRNQuery変数について説明します。
変数 説明
preventKeyDeletion 登録されているリソースに保存ポリシーがあるかどうかに基づいて登録をフィルタリングするブール値。

For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true, use ../registrations?preventKeyDeletion=true.

preventKeyDeletion を offest、limit、urlEncodedResourceCRNQuery と組み合わせて、使用可能なリソース全体を検索することもできます。
urlEncodedResourceCRNQuery 登録のフィルター基準にするリソース CRN 。

For example, if you have multiple registrations in your instance, and you want to only view registrations that are associated with a specific Cloud Resource Name (CRN), use ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN".

For more information, see CRNクエリー例.

urlEncodedResourceCRNQuery を offest、limit、preventKeyDeletion と組み合わせて、使用可能なリソース全体を検索することもできます。

limit を指定して、登録のサブセットをフィルタリングすることもできます。 offset パラメーター。

次の要求例を使用して、異なる登録のセットを取り出すことができます。

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?offset=<offset>&limit=<limit>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

次の表に従って、要求内の limit 変数と offset 変数を置き換えてください。

リミット変数とオフセット変数を説明する。
変数 説明
offset スキップする登録の数。

For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25.

offset を limit と組み合わせて、使用可能なリソースの一部を取り出すこともできます。
limit 取得する登録の数。

For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10. limit の最大値は 5000 です。

offset を limit と組み合わせて、使用可能なリソースの一部を取り出すこともできます。

CRN 照会例

URL エンコードされた CRN 照会を使用して、以下によって登録をフィルタリングします。 Key Protect インスタンス、リソース・タイプ、またはリソース名。 CRNセグメントとフォーマットの詳細については、以下を参照してください。 クラウド・リソース名.

Key Protect を使用して、 鍵をリソースに関連付けているクラウド・サービスは、サービス CRN の最初の 8 つセグメントに一致する CRN のみを表示または照会することができます。

  • 登録の存在の検索を、特定の CRN セグメントまで行うには、コロンとそれに続くアスタリスク (*) を使用します。

    crn:v1:bluemix:public:databases-for-redis:us-south:a/
    274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
    

    このクエリーは、デプロイメント ID 29caf0e7-120f-4da8-9551-3abf57ebcfc7 のすべてのリソース・タイプおよび名前に関連付けられた Databases for Redis 登録を返します。

  • <string> という接頭部が付いた特定の CRN セグメントまでの登録の存在を検索するには、CRN 照会の最後のセグメントでコロンの後に <string>* を使用します。

    crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
    

    このクエリーは、接頭部 prod が付いたアカウント e1bb63d6a20dc57c87501ac4c4c99dcb のすべての Cloud Object Storage バケット登録を返します。

どのルート・キーに ルート鍵に関連する登録をリストする場合、CRNクエリは、最初の8セグメントにアスタリスク(*)を含んではならない。

以下の表に、URL エンコードを行う前と後の CRN 照会の例を示します。 URL エンコードされた値を表示するには、**「URL エンコード」**タブをクリックします。

CRN 照会例
crn:v1:bluemix:public:databases-for-redis:us-south:a/274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
crn:v1:bluemix:public:cloudantnosqldb:us-south:a/f586c28d154d4c65a4a4a34cf75f55d0:94255ea3-af1c-41b7-9805-61f775e20702:*:prod*.
CRN 照会例
crn%3Av1%3Abluemix%3Apublic%3Adatabases-for-redis%3Aus-south%3Aa%2F274074dce64e9c423ffc238516c755e1%3A29caf0e7-120f-4da8-9551-3abf57ebcfc7%3A*%3A*
crn%3Av1%3Abluemix%3Apublic%3Acloud-object-storage%3Aglobal%3Aa%2Fe1bb63d6a20dc57c87501ac4c4c99dcb%3A*%3Abucket%3Aprod*
crn%3Av1%3Abluemix%3Apublic%3Acloudantnosqldb%3Aus-south%3Aa%2Ff586c28d154d4c65a4a4a34cf75f55d0%3A94255ea3-af1c-41b7-9805-61f775e20702%3A%2A%3Aprod%2A

次の作業

登録の閲覧についての詳細は Key Protectをチェックしてください。APIリファレンスドキュメントをご覧ください。