IBM Cloud Docs
查看根密钥与已加密的 IBM Cloud 资源之间的关联

查看根密钥与已加密的 IBM Cloud 资源之间的关联

您可以查看根密钥与其他云资源之间的关联,例如 Cloud Object Storage 存储区或 Cloud Databases 部署,通过使用 IBM Key Protect API。

使用根密钥通过包络加密保护静态数据时,使用该密钥的云服务可以在密钥与其保护的资源之间创建注册。

注册是密钥与云资源之间的关联,可帮助您全面了解哪些加密密钥可保护哪些数据 IBM Cloud.

介绍密钥注册的好处。
优点 描述
受保护资源的集中视图 作为 Key Protect 实例的管理员,您希望快速了解哪些云资源受根密钥保护。
安全性和合规性 作为安全管理员,您需要一种方法来确定 销毁根密钥 所涉及的风险。
您希望检查哪些密钥正在主动保护哪些数据,以便可以根据组织的安全性或合规性需求来评估风险。

密钥注册是一项额外功能,仅当云服务在其集成过程中启用了此功能时才可用。 Key Protect. 确定 集成服务 支持密钥注册,请参阅其服务文档以获取更多信息。

在控制台中查看受保护资源

您可以浏览在您的 Key Protect 密钥和云资源 (通过使用 Key Protect IBM Cloud 控制台)。

查看实例中的受保护资源

  1. 登录到 IBM Cloud 控制台

  2. 转到菜单>资源清单查看资源列表。

  3. 从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。

  4. 选择左侧菜单上的 Associated resources 链接。

  5. 在“关联资源”页面上,使用 关联资源 表来浏览服务中的注册。

  6. 单击 Details 列下的 ^ 图标以查看特定注册的详细信息列表。

  7. 单击 Filter 按钮以按密钥标识,云资源名称 (CRN) 和保留时间策略过滤资源。

查看与密钥关联的受保护资源

  1. 登录到 IBM Cloud 控制台

  2. 转到菜单>资源清单查看资源列表。

  3. 从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。

  4. 在应用程序详细信息页面中,使用密钥表来浏览服务中的密钥。

  5. 点击 ⋯ 图标,打开按键选项列表。

  6. 从选项菜单中,单击 密钥关联资源 以查看密钥的关联注册。

使用 API 查看受保护资源

您可以浏览在您的 Key Protect 密钥和云资源 (通过使用 Key Protect API)。

例如,当您调用 GET api/v2/keys/{id}/registrations 时, Key Protect 返回有关密钥注册的详细信息。 以下 JSON 输出表示密钥与云资源之间的注册。

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.registration+json",
        "collectionTotal": 1
    },
    "resources": [
        {
            "keyId": "02fd6835-6001-4482-a892-13bd2085f75d",
            "resourceCrn": "crn:v1:bluemix:public:<service-name>:<region>:a/<account-id>:<service-instance>:bucket:<bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "02fd6835-6001-4482-a892-13bd2085f75d",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        }
    ]
}

下表描述了注册的属性。

与注册相关联的属性。
参数 描述
keyID 标识与云资源关联的根密钥的标识。
resourceCrn 表示与密钥关联的云资源 (例如,Cloud Object Storage 存储区) 的云资源名称 (CRN)。
createdBy 创建注册的资源的唯一标识。
creationDate 登记创建日期。
lastUpdated 更新注册的日期。
描述 注册的描述。
preventKeyDeletion 一个布尔值,用于确定 Key Protect 是否必须阻止删除根密钥。 如果为 true,那么由于保留时间策略,关联的资源不可擦除,并且无法删除加密该资源的 Key Protect 密钥。
keyVersion 用于保护云资源的根密钥的版本。

列出特定根密钥的注册

您可以通过对以下端点进行 GET 调用来检索与特定根密钥关联的注册详细信息。

https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations
  1. 检索认证凭证以使用 API

  2. 通过运行以下 curl 命令来查看与根密钥关联的注册。

    $ curl -X GET \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>"
    

    根据下表替换示例请求中的变量。

描述了列出与根密钥相关的所有注册所需的变量。
变量 描述
区域 需要。 地区缩写,如 us-southeu-gb,表示您的Key Protect实例所在的地理区域

For more information, see 区域服务终端.
keyID_or_alias 需要。 与要查看的云资源相关联的根密钥的标识或别名。

有关更多信息,请参阅 查看密钥
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在curl请求中包含IAM令牌的全部内容,包括承载器值

For more information, see 读取访问令牌.
instance_ID 需要。 分配给Key Protect服务实例的唯一标识符

For more information, see 检索实例 ID.

成功的 GET api/v2/keys/<keyID_or_alias>/registrations 请求将返回映射到指定密钥标识的注册的集合。

{
    "metadata": {
        "collectionType": "application/vnd.ibm.kms.registration+json",
        "collectionTotal": 2
    },
    "resources": [
        {
            "keyId": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
            "resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        },
        {
            "keyId": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
            "resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<other-bucket-name>",
            "createdBy": "IBMid-25555555",
            "creationDate": "2010-01-12T05:23:19+0000",
            "updatedBy": "IBMid-25555555",
            "lastUpdated": "2010-01-12T05:23:19+0000",
            "description": "A description of the registration",
            "preventKeyDeletion": true,
            "keyVersion": {
                "id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
                "creationDate": "2010-01-12T05:23:19+0000"
            }
        }
    ]
}

resourceCrn 值表示由 keyId 加密的云资源的唯一标识。 与注册关联的元数据 (例如其创建日期) 也会在响应主体中返回。

默认情况下,GET api/v2/keys/registrations 返回前 200 个 注册,但您可以在查询时使用 limit 参数来调整这一限制。 参数来调整这一限制。

过滤特定根密钥的注册

您可以通过指定 preventKeyDeletionurlEncodedResourceCRNQuery 来过滤与根密钥关联的一组注册 参数。

例如,您可能总共有 25 个注册存储在您的 Key Protect 实例,但您只想检索具有与特定云资源名称 (CRN) 关联的保留时间策略的注册。

您可以使用下面的请求示例来检索一组经过筛选的 注册。

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

根据下表替换请求中的 preventKeyDeletionurlEncodedResourceCRNQuery 变量。 变量。

描述preventKeyDeletion和urlEncodedResourceCRNQuery变量。
变量 描述
preventKeyDeletion 一个布尔值,用于根据已注册资源是否具有保留时间策略来过滤注册。

For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true, use ../registrations?preventKeyDeletion=true.

You can also pair preventKeyDeletion with offest, limit, and urlEncodedResourceCRNQuery to search through your available resources.
urlEncodedResourceCRNQuery 要根据其过滤注册的资源 CRN。

例如,如果在实例中有多个注册,并且只想查看与特定云资源名称 (CRN) 关联的注册,请使用 ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN"

有关更多信息,请参阅 CRN 查询示例

You can also pair urlEncodedResourceCRNQuery with offest, limit, and preventKeyDeletion to search through your available resources.

您还可以通过指定 limit 和 查询时的 offset 参数。

您可以使用下面的请求示例来检索一组经过筛选的 注册。

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?offset=<offset>&limit=<limit>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

根据下表替换请求中的 limitoffset 变量。

描述限值和偏移变量。
变量 描述
offset 要跳过的注册次数

For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25.

You can also pair offset with limit to page through your available resources.
limit 要检索的注册数

For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10. 限值的最大值为 5000

You can also pair offset with limit to page through your available resources.

列出任何根密钥的注册

您还可以通过对以下端点进行 GET 调用来检索与任何云资源关联的注册列表。

https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations
  1. 检索认证凭证以使用 API

  2. 通过运行以下 curl 命令来查看与您指定的 CRN 查询匹配的注册。

    $ curl -X GET \
        "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations" \
        -H "authorization: Bearer <IAM_token>" \
        -H "bluemix-instance: <instance_ID>"
    

    根据下表替换示例请求中的变量。

描述列出Key Protect实例中任意密钥的注册所需的变量。
变量 描述
区域 需要。 地区缩写,如 us-southeu-gb,表示您的Key Protect实例所在的地理区域

For more information, see 区域服务终端.
IAM_token 需要。 您的 IBM Cloud 访问令牌。 在curl请求中包含IAM令牌的全部内容,包括承载器值

For more information, see 读取访问令牌.
instance_ID 需要。 分配给Key Protect服务实例的唯一标识符

For more information, see 检索实例 ID.

过滤任何根密钥的注册

您可以过滤与供应的实例中管理的任何根密钥相关联的一组注册 Key Protect 通过指定 preventKeyDeletionurlEncodedResourceCRNQuery 参数。

例如,您可能总共有 25 个注册存储在您的 Key Protect 实例,但您只想检索具有与特定云资源名称 (CRN) 关联的保留时间策略的注册。

您可以使用下面的请求示例来检索一组特定的 注册。

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

根据下表替换请求中的 preventKeyDeletionurlEncodedResourceCRNQuery 变量。 变量。

描述preventKeyDeletion和urlEncodedResourceCRNQuery变量。
变量 描述
preventKeyDeletion 一个布尔值,用于根据已注册资源是否具有保留时间策略来过滤注册。

For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true, use ../registrations?preventKeyDeletion=true.

You can also pair preventKeyDeletion with offest, limit, and urlEncodedResourceCRNQuery to search through your available resources.
urlEncodedResourceCRNQuery 要根据其过滤注册的资源 CRN。

例如,如果实例中有多个注册,并且只想查看与特定云资源名称 (CRN) 关联的注册,请使用 ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN"

有关更多信息,请参阅 CRN 查询示例

You can also pair urlEncodedResourceCRNQuery with offest, limit, and preventKeyDeletion to search through your available resources.

您还可以通过指定 limit 和 查询时的 offset 参数。

您可以使用下面的请求示例来检索一组不同的 注册。

$ curl -X GET \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?offset=<offset>&limit=<limit>" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

根据下表替换请求中的 limitoffset 变量。

描述限值和偏移变量。
变量 描述
offset 要跳过的注册次数

For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25.

You can also pair offset with limit to page through your available resources.
limit 要检索的注册数

For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10. 限值的最大值为 5000

You can also pair offset with limit to page through your available resources.

CRN 查询示例

使用 URL 编码的 CRN 查询来过滤注册 Key Protect 实例,资源类型或资源名称。 要了解有关 CRN 段和格式的更多信息,请参阅 云资源名称

使用 Key Protect 的云服务 代表您将密钥与资源关联,只能查看或查询与其服务 CRN 的前 8 个分段匹配的 CRN。

  • 要在特定 CRN 段之前搜索是否存在注册,请使用冒号后跟星号 (*)。

    crn:v1:bluemix:public:databases-for-redis:us-south:a/
    274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
    

    此查询将返回与部署标识的所有资源类型和名称相关联的 Databases for Redis 注册 29caf0e7-120f-4da8-9551-3abf57ebcfc7

  • 要搜索以 <string> 为前缀的特定 CRN 细分市场是否存在注册,请在 CRN 查询的最后一个细分市场上使用冒号后跟 <string>*

    crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
    

    此查询将返回帐户 e1bb63d6a20dc57c87501ac4c4c99dcb 中以 prod 为前缀的所有 Cloud Object Storage 存储区注册。

列出与任何根密钥关联的注册,CRN 查询不应在前八个段中包含星号 (*)。

下表提供了 URL 编码前后 CRN 查询示例的列表。 要查看 URL 编码值,请单击 URL 编码 选项卡。

CRN 查询示例。
crn:v1:bluemix:public:databases-for-redis:us-south:a/274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
crn:v1:bluemix:public:cloudantnosqldb:us-south:a/f586c28d154d4c65a4a4a34cf75f55d0:94255ea3-af1c-41b7-9805-61f775e20702:*:prod*.
CRN 查询示例。
crn%3Av1%3Abluemix%3Apublic%3Adatabases-for-redis%3Aus-south%3Aa%2F274074dce64e9c423ffc238516c755e1%3A29caf0e7-120f-4da8-9551-3abf57ebcfc7%3A*%3A*
crn%3Av1%3Abluemix%3Apublic%3Acloud-object-storage%3Aglobal%3Aa%2Fe1bb63d6a20dc57c87501ac4c4c99dcb%3A*%3Abucket%3Aprod*
crn%3Av1%3Abluemix%3Apublic%3Acloudantnosqldb%3Aus-south%3Aa%2Ff586c28d154d4c65a4a4a34cf75f55d0%3A94255ea3-af1c-41b7-9805-61f775e20702%3A%2A%3Aprod%2A

下一步

要了解有关查看注册的更多信息, 请查看 Key Protect API 参考文档