IBM Cloud Docs
同步关联的资源

同步关联的资源

您可以使用 IBM® Key Protect APIIBM Cloud 控制台,在根密钥与其他云资源 (例如,IBM Cloud Object Storage 存储区或部署 Cloud Databases) 之间启动手动数据同步请求。或 Key Protect CLI 插件

执行密钥生命周期操作 (例如,rotaterestore) 时, disableenabledelete) 与其他密钥关联的根密钥 IBM Cloud 服务,这些 IBM Cloud 服务将收到密钥生命周期事件的通知,并鼓励其相应响应。 如果 云服务未响应密钥生命周期通知时,您可以 使用同步 API 启动密钥生命周期事件的重新通知 重新通知相关云服务。

服务最多需要 4 个小时来响应事件和同步请求。

例如,您可以删除与 IBM Cloud Object Storage (COS) 关联的根密钥。 在等待 4 小时以使更改生效后,您会注意到您仍然能够访问密钥的资源,尽管期望阻止您访问这些资源。 在这种情况下,您应该调用同步 API 以将已删除的密钥生命周期事件通知 COS,以便他们可以阻止对密钥资源的访问。

同步 API 仅发起同步请求。 与密钥关联的 IBM Cloud 服务负责管理所有相关的关联资源,并确保密钥状态和密钥版本是最新的。

将关联的资源与 Key Protect 控制台同步

  1. 登录到 IBM Cloud 控制台

  2. 转到菜单>资源清单查看资源列表。

  3. 从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。

  4. 单击 关联资源 选项卡以查看资源列表。

  5. 单击 手动同步资源图标。

  6. 在“手动同步关联资源”对话框中,单击标记为 手动同步 的按钮以执行同步。

将关联资源与 Key Protect CLI 插件同步

此示例显示如何同步密钥并显示结果。 开始之前,请确保完成 Key Protect CLI 插件的 必需配置

# synchronize the associated resources for a given key
$ ibmcloud kp key sync 94c06f9c-a07a-4961-8548-553cf7431f18

Synchronizing key...
OK
Key's associated resources are synchronized successfully

必需参数

  • keyID_or_alias

    要同步的密钥的 ID 或别名。

  • -i, --instance-id

    标识您的IBM Cloud实例的Key Protect实例 ID。

    您可以使用以下命令来设置环境变量,而不是指定 -i : $ export KP_INSTANCE_ID=<INSTANCE_ID>

可选参数

  • -o, --output

    设置 CLI 输出格式。 缺省情况下,会以表格式打印所有命令。 要将输出格式更改为 JSON,请使用 --output json

  • --key-ring

    钥匙圈的唯一、可读名称。 如果用户没有对缺省密钥环的许可权,那么这是必需的。

将关联的资源与 API 同步

您可以通知关联的 IBM 云服务 Key Protect 根密钥的生命周期事件 (通过使用 Key Protect API)。

您可以通过执行以下操作来启动密钥生命周期事件的重新通知: POST 调用以下端点。

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/sync

  1. 检索认证凭证以使用 API

  2. 通过运行以下 curl 命令来启动手动数据同步请求。

    $ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/actions/sync" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

    根据下表替换示例请求中的变量。

描述了启动关键生命周期事件重新通知所需的变量
变量 描述
区域 需要。 地区缩写,如 us-south or eu-gb,表示您的Key Protect实例所在的地理区域

For more information, see Regional service endpoints](/docs/key-protect?topic=key-protect-regions#service-endpoints).
keyID_or_alias 需要。 与要查看的云资源相关联的根密钥的标识或别名。

有关更多信息,请参阅 查看密钥
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在curl请求中包含IAM令牌的全部内容,包括承载器值

For more information, see 读取访问令牌.
instance_ID 需要。 分配给Key Protect服务实例的唯一标识符

For more information, see 检索实例 ID.

成功的 GET api/v2/keys/<keyID_or_alias>/actions/sync 请求将返回 HTTP 204 No Content 响应,指示已通知与指定密钥关联的 IBM 云服务。

同步注意事项

仅当自上次通知密钥的关联云服务以来已超过一个小时时,才能初始化同步 API。 如果向此 API 发送请求,并且密钥已同步或在过去一小时内执行了密钥生命周期操作,那么 API 将返回 409 Conflict 响应。

您可以 查看关联资源 以确定哪些服务与同步相关。