创建标准密钥
您可以使用Key Protect控制台创建标准加密密钥。
您可以使用Key ProtectAPI 以编程方式创建标准加密密钥。API 创建标准加密密钥。
在控制台中创建标准键
创建服务实例后,请完成以下步骤在IBM Cloud控制台中创建标准密钥。
如果启用 dual authorization settings for your Key Protect instance,请记住您添加到服务中的任何密钥都需要两个用户的授权才能删除。
-
转到菜单>资源清单查看资源列表。
-
从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。
-
要创建新密钥,请单击“添加”并选中“创建密钥”选项。
指定密钥的详细信息:
设置 | 描述 |
---|---|
Type | 您希望在Key Protect 中管理的 密钥类型。 默认选择根键。 选择标准密钥按钮创建标准密钥。 |
密钥名称 | 可读的显示名称,便于识别您的密钥。 长度必须在 2 - 90 个字符(含)之间。 为保护隐私,请确保密钥名称不包含个人可标识信息 (PII),例如,姓名或位置。 请注意,键名不需要唯一。 |
密钥别名 | 可选。 密钥别名 是描述密钥的一种方法,它使密钥的识别和分组超出了显示名称的限制。 密钥最多可以有五个别名。 |
密钥环 | 可选。 钥匙圈 是钥匙的分组,可根据需要对这些分组进行独立管理。 每把钥匙都必须是钥匙圈的一部分。 如果没有选择钥匙圈,钥匙将放入 default 钥匙圈。 请注意,要将您创建的钥匙放入钥匙圈,您必须拥有该钥匙圈的_管理器_角色。 有关角色的更多信息,请查看 管理用户访问。 |
填写完密钥详细信息后,单击创建密钥以进行确认。
如果您知道要将钥匙放入哪个钥匙圈,而且您是该钥匙圈的_经理_,也可以导航到钥匙圈面板,选择 ⋯ 并单击将钥匙插入钥匙圈。 这将打开与点击“钥匙”页面上的“添加”相同的面板,其中的“钥匙圈”变量已填入钥匙圈名称。
使用 API 创建标准密钥
通过对以下端点执行 POST
调用来创建标准密钥。
https://<region>.kms.cloud.ibm.com/api/v2/keys
-
Call the Key Protect API with the following
curl
command.$ curl -X POST \ "https://<region>.kms.cloud.ibm.com/api/v2/keys" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>" \ -H "content-type: application/vnd.ibm.kms.key+json" \ -H "x-kms-key-ring: <key_ring_ID" \ -H "correlation-id: <correlation_ID>" \ -H "prefer: <return_preference>" \ -d '{ "metadata": { "collectionType": "application/vnd.ibm.kms.key+json", "collectionTotal": 1 }, "resources": [ { "type": "application/vnd.ibm.kms.key+json", "name": "<key_name>", "aliases": [alias_list], "description": "<key_description>", "expirationDate": "<expiration_date>", "extractable": <key_type> } ] }'
根据下表替换示例请求中的变量。
变量 | 描述 |
---|---|
区域 | 需要。 地区缩写,如 us-south 或 eu-gb,表示Key Protect实例所在的地理区域。 有关更多信息,请参阅区域服务端点。 |
IAM_token | 需要。 您的 IBM Cloud 访问令牌。 在 curl 请求中包含 IAM 令牌的全部内容,包括承载器值。 更多信息,请参阅 检索访问令牌。 |
instance_ID | 需要。 指定给您的 Key Protect 服务实例的唯一标识。 更多信息,请参阅 检索实例 ID。 |
键环 ID | 可选。 您希望新创建的密钥作为目标密钥环一部分的唯一标识符。 如果未指定,标头将自动设置为“默认”,密钥将位于指定Key Protect服务实例的默认密钥环中。 更多信息,请参阅 分组按键。 |
correlation_ID | 可选。用于跟踪和关联交易的唯一标识符。 |
返回首选项 | 改变 POST 和 DELETE 操作服务器行为的标头。 将 return_preference 变量设置为 return=minimal 时,服务只会在响应 entity-body 中返回键元数据,如键名和 ID 值。 将变量设置为 return=representation 时,服务会同时返回密钥材料和密钥元数据。 |
key_name | 需要。 方便识别密钥的可读名称。 为保护隐私,请不要将个人数据存储为密钥的元数据。 |
别名列表 | 可选:为密钥指定一个或多个唯一的、人类可读的别名。 重要信息:为保护隐私,请勿将个人数据存储为密钥的元数据。 每个别名必须是字母数字,区分大小写,不能包含空格或 - 或 _ 以外的特殊字符。 别名不能是 UUID,也不能是Key Protect保留名称:allowed_ip、key、keys、metadata、policy、policy、registration、registrations、ring、rings、rotate、wrap、unwrap、rewrap、version、version。
别名大小可为 2 - 90 个字符(含)。 |
key_description | 可选项:对密钥的扩展描述。 为保护隐私,请不要将个人数据存储为密钥的元数据。 |
过期日期 | 可选:密钥在系统中过期的日期和时间,采用 RFC 3339 格式(YYYY-MM-DDHH:MM:SS.SS,例如2019-10-12T07:20:50.52Z)。 密钥将在过期一小时后过渡到停用状态。 如果省略expirationDate属性,密钥不会过期。 |
key_type | 可选项。一个布尔值,用于确定关键材料是否可以离开服务。 如果将可提取属性设置为 true,服务就会创建一个标准密钥,您可以将其存储到您的应用程序或服务中。 |
为保护个人数据的机密性,在向服务添加密钥时,避免输入个人可标识信息 (PII),例如,姓名或位置。
成功的 POST api/v2/keys
响应会返回密钥的标识值以及其他元数据。 标识是指定给密钥的唯一标识,用于后续调用 Key Protect API。
可选:运行以下调用以获取Key Protect服务实例中的密钥,从而验证密钥是否已创建。
$ curl -X GET \
"https://<regon>.kms.cloud.ibm.com/api/v2/keys" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
下一步
- 欲了解更多有关按程序管理按键的信息,请 查看Key Protect应用程序接口参考文档。