使用应用程序接口创建导入令牌

调用以下端点 POST 创建与Key Protect实例相关联的导入令牌。

https://<region>.kms.cloud.ibm.com/api/v2/import_token

1. 检索服务和认证凭证以与服务中的密钥一起使用。

2. 通过调用 Key Protect API.

   $ curl -X POST \
       "https://<region>.kms.cloud.ibm.com/api/v2/import_token" \
       -H "authorization: Bearer <IAM_token>" \
       -H "bluemix-instance: <instance_ID>" \
       -H "content-type: application/json" \
       -d '{
               "expiration": <expiration_time>,
               "maxAllowedRetrievals": <use_count>
           }'
   

   根据下表替换示例请求中的变量。

成功 POST api/v2/import_token 请求将为您的Key Protect实例创建导入令牌。 响应体包含与导入令牌相关的元数据，如创建日期和策略详细信息。 以下代码段显示了输出示例。

在任何时候，您的Key Protect实例只能关联 1 个导入标记。 任何后续的创建导入令牌请求都将覆盖之前的导入令牌。

{
    "creationDate": "2019-04-08T16:58:29Z",
    "expirationDate": "2019-04-08T17:18:29Z",
    "maxAllowedRetrievals": 1,
    "remainingRetrievals": 1
}

使用应用程序接口检索导入令牌

调用以下端点 GET 获取与Key Protect实例相关联的导入标记。

https://<region>.kms.cloud.ibm.com/api/v2/import_token

1. 检索服务和认证凭证以与服务中的密钥一起使用。

2. 通过调用 Key Protect API.Active.ID，读取与您的Key Protect实例相关联的导入令牌。

   $ curl -X GET \
       "https://<region>.kms.cloud.ibm.com/api/v2/import_token" \
       -H "authorization: Bearer <IAM_token>" \
       -H "bluemix-instance: <instance_ID>"
   

   根据下表替换示例请求中的变量。

成功 GET api/v2/import_token 请求将检索Key Protect实例的导入令牌。 响应体包含与导入令牌相关的元数据，如创建日期和策略详细信息。

检索到的导入令牌可重复用于导入一个或多个密钥，直到导入令牌过期为止。

下面的代码段显示了截断值的输出示例。

{
    "creationDate": "2019-04-08T16:58:29Z",
    "expirationDate": "2019-04-08T17:18:29Z",
    "maxAllowedRetrievals": 1,
    "remainingRetrievals": 0,
    "payload": "Rm91ciBzY29yZSBhbmQgc2V2ZW4geWVhcnMgYWdv",
    "nonce": "8zJE9pKVdXVe/nLb"
}

响应体还包含公开加密密钥，您可以在将密钥材料上传到Key Protect实例之前，使用该密钥 对根密钥进行加密。

在示例中，payload 值代表与导入令牌相关联的公钥。 该值已进行base64编码。 为提高安全性，Key Protect还提供了一个 nonce 值，用于验证向服务提出的密钥导入请求的原始性。 要进一步了解如何使用这些值，请参阅 教程：创建和导入加密密钥

下一步

• 要了解有关使用导入令牌将加密密钥安全导入IBM Cloud 的更多信息，请查看 导入根密钥。
• 有关在Key Protect 中使用导入令牌的指导教程，请参阅 教程：创建和导入加密密钥。