查看根密钥与已加密的 IBM Cloud 资源之间的关联
您可以查看根密钥与其他云资源之间的关联,例如 Cloud Object Storage 存储区或 Cloud Databases 部署,通过使用 IBM Key Protect API。
使用根密钥通过包络加密保护静态数据时,使用该密钥的云服务可以在密钥与其保护的资源之间创建注册。
注册是密钥与云资源之间的关联,可帮助您全面了解哪些加密密钥可保护哪些数据 IBM Cloud.
优点 | 描述 |
---|---|
受保护资源的集中视图 | 作为 Key Protect 实例的管理员,您希望快速了解哪些云资源受根密钥保护。 |
安全性和合规性 | 作为安全管理员,您需要一种方法来确定 销毁根密钥 所涉及的风险。 您希望检查哪些密钥正在主动保护哪些数据,以便可以根据组织的安全性或合规性需求来评估风险。 |
密钥注册是一项额外功能,仅当云服务在其集成过程中启用了此功能时才可用。 Key Protect. 确定 集成服务 支持密钥注册,请参阅其服务文档以获取更多信息。
在控制台中查看受保护资源
您可以浏览在您的 Key Protect 密钥和云资源 (通过使用 Key Protect IBM Cloud 控制台)。
查看实例中的受保护资源
-
转到菜单>资源清单查看资源列表。
-
从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。
-
选择左侧菜单上的
Associated resources
链接。 -
在“关联资源”页面上,使用 关联资源 表来浏览服务中的注册。
-
单击
Details
列下的^
图标以查看特定注册的详细信息列表。 -
单击
Filter
按钮以按密钥标识,云资源名称 (CRN) 和保留时间策略过滤资源。
查看与密钥关联的受保护资源
-
转到菜单>资源清单查看资源列表。
-
从 IBM Cloud 资源列表中,选择您供应的 Key Protect 实例。
-
在应用程序详细信息页面中,使用密钥表来浏览服务中的密钥。
-
点击 ⋯ 图标,打开按键选项列表。
-
从选项菜单中,单击 密钥关联资源 以查看密钥的关联注册。
使用 API 查看受保护资源
您可以浏览在您的 Key Protect 密钥和云资源 (通过使用 Key Protect API)。
例如,当您调用 GET api/v2/keys/{id}/registrations
时, Key Protect 返回有关密钥注册的详细信息。 以下 JSON 输出表示密钥与云资源之间的注册。
{
"metadata": {
"collectionType": "application/vnd.ibm.kms.registration+json",
"collectionTotal": 1
},
"resources": [
{
"keyId": "02fd6835-6001-4482-a892-13bd2085f75d",
"resourceCrn": "crn:v1:bluemix:public:<service-name>:<region>:a/<account-id>:<service-instance>:bucket:<bucket-name>",
"createdBy": "IBMid-25555555",
"creationDate": "2010-01-12T05:23:19+0000",
"updatedBy": "IBMid-25555555",
"lastUpdated": "2010-01-12T05:23:19+0000",
"description": "A description of the registration",
"preventKeyDeletion": true,
"keyVersion": {
"id": "02fd6835-6001-4482-a892-13bd2085f75d",
"creationDate": "2010-01-12T05:23:19+0000"
}
}
]
}
下表描述了注册的属性。
参数 | 描述 |
---|---|
keyID | 标识与云资源关联的根密钥的标识。 |
resourceCrn | 表示与密钥关联的云资源 (例如,Cloud Object Storage 存储区) 的云资源名称 (CRN)。 |
createdBy | 创建注册的资源的唯一标识。 |
creationDate | 登记创建日期。 |
lastUpdated | 更新注册的日期。 |
描述 | 注册的描述。 |
preventKeyDeletion | 一个布尔值,用于确定 Key Protect 是否必须阻止删除根密钥。 如果为 true,那么由于保留时间策略,关联的资源不可擦除,并且无法删除加密该资源的 Key Protect 密钥。 |
keyVersion | 用于保护云资源的根密钥的版本。 |
列出特定根密钥的注册
您可以通过对以下端点进行 GET
调用来检索与特定根密钥关联的注册详细信息。
https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations
-
通过运行以下
curl
命令来查看与根密钥关联的注册。$ curl -X GET \ "https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>"
根据下表替换示例请求中的变量。
变量 | 描述 |
---|---|
区域 | 需要。 地区缩写,如 us-south 或 eu-gb ,表示您的Key Protect实例所在的地理区域For more information, see 区域服务终端. |
keyID_or_alias | 需要。 与要查看的云资源相关联的根密钥的标识或别名。 有关更多信息,请参阅 查看密钥。 |
IAM_token | 需要。 您的 IBM Cloud 访问令牌。 在curl请求中包含IAM令牌的全部内容,包括承载器值 For more information, see 读取访问令牌. |
instance_ID | 需要。 分配给Key Protect服务实例的唯一标识符 For more information, see 检索实例 ID. |
成功的 GET api/v2/keys/<keyID_or_alias>/registrations
请求将返回映射到指定密钥标识的注册的集合。
{
"metadata": {
"collectionType": "application/vnd.ibm.kms.registration+json",
"collectionTotal": 2
},
"resources": [
{
"keyId": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
"resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<bucket-name>",
"createdBy": "IBMid-25555555",
"creationDate": "2010-01-12T05:23:19+0000",
"updatedBy": "IBMid-25555555",
"lastUpdated": "2010-01-12T05:23:19+0000",
"description": "A description of the registration",
"preventKeyDeletion": true,
"keyVersion": {
"id": "12e8c9c2-a162-472d-b7d6-8b9a86b815a6",
"creationDate": "2010-01-12T05:23:19+0000"
}
},
{
"keyId": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
"resourceCrn": "crn:v1:bluemix:public:cloud-object-storage:global:a/<account-id>:<service-instance>:bucket:<other-bucket-name>",
"createdBy": "IBMid-25555555",
"creationDate": "2010-01-12T05:23:19+0000",
"updatedBy": "IBMid-25555555",
"lastUpdated": "2010-01-12T05:23:19+0000",
"description": "A description of the registration",
"preventKeyDeletion": true,
"keyVersion": {
"id": "2291e4ae-a14c-4af9-88f0-27c0cb2739e2",
"creationDate": "2010-01-12T05:23:19+0000"
}
}
]
}
resourceCrn
值表示由 keyId
加密的云资源的唯一标识。 与注册关联的元数据 (例如其创建日期) 也会在响应主体中返回。
默认情况下,GET api/v2/keys/registrations
返回前 200 个 注册,但您可以在查询时使用 limit
参数来调整这一限制。 参数来调整这一限制。
过滤特定根密钥的注册
您可以通过指定 preventKeyDeletion
和 urlEncodedResourceCRNQuery
来过滤与根密钥关联的一组注册 参数。
例如,您可能总共有 25 个注册存储在您的 Key Protect 实例,但您只想检索具有与特定云资源名称 (CRN) 关联的保留时间策略的注册。
您可以使用下面的请求示例来检索一组经过筛选的 注册。
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
根据下表替换请求中的 preventKeyDeletion
和 urlEncodedResourceCRNQuery
变量。 变量。
变量 | 描述 |
---|---|
preventKeyDeletion | 一个布尔值,用于根据已注册资源是否具有保留时间策略来过滤注册。 For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true , use ../registrations?preventKeyDeletion=true .You can also pair preventKeyDeletion with offest, limit, and urlEncodedResourceCRNQuery to search through your available resources. |
urlEncodedResourceCRNQuery | 要根据其过滤注册的资源 CRN。 例如,如果在实例中有多个注册,并且只想查看与特定云资源名称 (CRN) 关联的注册,请使用 ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN" 。有关更多信息,请参阅 CRN 查询示例。 You can also pair urlEncodedResourceCRNQuery with offest, limit, and preventKeyDeletion to search through your available resources. |
您还可以通过指定 limit
和 查询时的 offset
参数。
您可以使用下面的请求示例来检索一组经过筛选的 注册。
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/<keyID_or_alias>/registrations?offset=<offset>&limit=<limit>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
根据下表替换请求中的 limit
和 offset
变量。
变量 | 描述 |
---|---|
offset | 要跳过的注册次数 For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25 .You can also pair offset with limit to page through your available resources. |
limit | 要检索的注册数 For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10 . 限值的最大值为 5000You can also pair offset with limit to page through your available resources. |
列出任何根密钥的注册
您还可以通过对以下端点进行 GET
调用来检索与任何云资源关联的注册列表。
https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations
-
通过运行以下
curl
命令来查看与您指定的 CRN 查询匹配的注册。$ curl -X GET \ "https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations" \ -H "authorization: Bearer <IAM_token>" \ -H "bluemix-instance: <instance_ID>"
根据下表替换示例请求中的变量。
变量 | 描述 |
---|---|
区域 | 需要。 地区缩写,如 us-south 或 eu-gb ,表示您的Key Protect实例所在的地理区域For more information, see 区域服务终端. |
IAM_token | 需要。 您的 IBM Cloud 访问令牌。 在curl请求中包含IAM令牌的全部内容,包括承载器值 For more information, see 读取访问令牌. |
instance_ID | 需要。 分配给Key Protect服务实例的唯一标识符 For more information, see 检索实例 ID. |
过滤任何根密钥的注册
您可以过滤与供应的实例中管理的任何根密钥相关联的一组注册 Key Protect 通过指定 preventKeyDeletion
和 urlEncodedResourceCRNQuery
参数。
例如,您可能总共有 25 个注册存储在您的 Key Protect 实例,但您只想检索具有与特定云资源名称 (CRN) 关联的保留时间策略的注册。
您可以使用下面的请求示例来检索一组特定的 注册。
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?preventKeyDeletion=<true|false>&urlEncodedResourceCRNQuery=<url_encoded_CRN>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
根据下表替换请求中的 preventKeyDeletion
和 urlEncodedResourceCRNQuery
变量。 变量。
变量 | 描述 |
---|---|
preventKeyDeletion | 一个布尔值,用于根据已注册资源是否具有保留时间策略来过滤注册。 For example, if you have multiple registrations in your instance, and you want to list only registrations where preventKeyDeletion is true , use ../registrations?preventKeyDeletion=true .You can also pair preventKeyDeletion with offest, limit, and urlEncodedResourceCRNQuery to search through your available resources. |
urlEncodedResourceCRNQuery | 要根据其过滤注册的资源 CRN。 例如,如果实例中有多个注册,并且只想查看与特定云资源名称 (CRN) 关联的注册,请使用 ../registrations?urlEncodedResourceCRNQuery="url_encoded_CRN" 。有关更多信息,请参阅 CRN 查询示例。 You can also pair urlEncodedResourceCRNQuery with offest, limit, and preventKeyDeletion to search through your available resources. |
您还可以通过指定 limit
和 查询时的 offset
参数。
您可以使用下面的请求示例来检索一组不同的 注册。
$ curl -X GET \
"https://<region>.kms.cloud.ibm.com/api/v2/keys/registrations?offset=<offset>&limit=<limit>" \
-H "accept: application/vnd.ibm.collection+json" \
-H "authorization: Bearer <IAM_token>" \
-H "bluemix-instance: <instance_ID>"
根据下表替换请求中的 limit
和 offset
变量。
变量 | 描述 |
---|---|
offset | 要跳过的注册次数 For example, if you have 50 registrations in your instance, and you want to list registrations 26 - 50, use ../registrations?offset=25 .You can also pair offset with limit to page through your available resources. |
limit | 要检索的注册数 For example, if you have 100 registrations in your instance, and you want to list only 10 registrations, use ../registrations?limit=10 . 限值的最大值为 5000You can also pair offset with limit to page through your available resources. |
CRN 查询示例
使用 URL 编码的 CRN 查询来过滤注册 Key Protect 实例,资源类型或资源名称。 要了解有关 CRN 段和格式的更多信息,请参阅 云资源名称。
使用 Key Protect 的云服务 代表您将密钥与资源关联,只能查看或查询与其服务 CRN 的前 8 个分段匹配的 CRN。
-
要在特定 CRN 段之前搜索是否存在注册,请使用冒号后跟星号 (
*
)。crn:v1:bluemix:public:databases-for-redis:us-south:a/ 274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:*
此查询将返回与部署标识的所有资源类型和名称相关联的 Databases for Redis 注册 29caf0e7-120f-4da8-9551-3abf57ebcfc7。
-
要搜索以
<string>
为前缀的特定 CRN 细分市场是否存在注册,请在 CRN 查询的最后一个细分市场上使用冒号后跟<string>*
。crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod*
此查询将返回帐户 e1bb63d6a20dc57c87501ac4c4c99dcb 中以
prod
为前缀的所有 Cloud Object Storage 存储区注册。
当 列出与任何根密钥关联的注册,CRN 查询不应在前八个段中包含星号 (*)。
下表提供了 URL 编码前后 CRN 查询示例的列表。 要查看 URL 编码值,请单击 URL 编码 选项卡。
值 |
---|
crn:v1:bluemix:public:databases-for-redis:us-south:a/274074dce64e9c423ffc238516c755e1:29caf0e7-120f-4da8-9551-3abf57ebcfc7:*:* |
crn:v1:bluemix:public:cloud-object-storage:global:a/e1bb63d6a20dc57c87501ac4c4c99dcb:*:bucket:prod* |
crn:v1:bluemix:public:cloudantnosqldb:us-south:a/f586c28d154d4c65a4a4a34cf75f55d0:94255ea3-af1c-41b7-9805-61f775e20702:*:prod* . |
值 |
---|
crn%3Av1%3Abluemix%3Apublic%3Adatabases-for-redis%3Aus-south%3Aa%2F274074dce64e9c423ffc238516c755e1%3A29caf0e7-120f-4da8-9551-3abf57ebcfc7%3A*%3A* |
crn%3Av1%3Abluemix%3Apublic%3Acloud-object-storage%3Aglobal%3Aa%2Fe1bb63d6a20dc57c87501ac4c4c99dcb%3A*%3Abucket%3Aprod* |
crn%3Av1%3Abluemix%3Apublic%3Acloudantnosqldb%3Aus-south%3Aa%2Ff586c28d154d4c65a4a4a34cf75f55d0%3A94255ea3-af1c-41b7-9805-61f775e20702%3A%2A%3Aprod%2A |
下一步
要了解有关查看注册的更多信息, 请查看 Key Protect API 参考文档。