IBM Cloud Docs
建立標準金鑰

建立標準金鑰

您可以使用Key Protect控制台建立標準加密金鑰。

您可以使用Key Protect API 以程式設計方式建立標準加密金鑰。

在控制台中建立標準按鍵

建立服務實例後,請完成以下步驟以在IBM Cloud控制台中建立標準金鑰。

如果您 為Key Protect實例啟用雙重授權設置,請記住,您新增至服務的任何金鑰都需要兩個使用者的授權才能刪除金鑰。

  1. 登入IBM Cloud控制台

  2. 前往選單>資源清單查看您的資源清單。

  3. 從 IBM Cloud 資源清單,選取已佈建的 Key Protect 實例。

  4. 若要建立新金鑰,請按一下「新增」 並選取 「建立金鑰」選項。

    指定金鑰的詳細資料:

建立密鑰的設定說明。
設定 說明
類型 您想要在Key Protect中管理 的金鑰類型。 預設選擇根密鑰。 選擇標準密鑰按鈕以建立標準密鑰。
金鑰名稱 人類可讀的顯示名稱,可輕鬆識別您的金鑰。 長度必須在 2 - 90 個字元(含)之間。 若要保護您的隱私權,請確定金鑰名稱未包含個人識別資訊 (PII)(例如您的姓名或位置)。 請注意,鍵名稱不需要是唯一的。
金鑰別名 選用密鑰別名 是描述密鑰的方法,允許在顯示名稱的限制之外對密鑰進行識別和分組。 鍵最多可以有五個別名。
金鑰環 選用密鑰環 是密鑰的分組,允許根據需要獨立管理這些分組。 每把鑰匙都必須是鑰匙圈的一部分。 如果未選擇密鑰環,則鑰匙將放置在 default 密鑰環中。 請注意,要將您建立的金鑰放入金鑰環中,您必須具有該金鑰環的_管理員_角色。 有關角色的更多信息,請查看 管理用戶訪問權限

當您填寫完金鑰的詳細資料時,請按一下建立金鑰以便確認。

如果您知道要將金鑰放置在哪個金鑰環中,並且您是該金鑰環的_管理員_,您也可以導覽至 「金鑰環」 面板,選擇 ⋯ 並按一下 「將金鑰新增至密鑰環”。 這將開啟您透過點擊 「金鑰」 頁面上的 「新增」 所看到的相同面板,其中 「金鑰環」 變數填入金鑰環的名稱。

使用 API 建立標準金鑰

對下列端點發出 POST 呼叫來建立標準金鑰。

https://<region>.kms.cloud.ibm.com/api/v2/keys

  1. 擷取服務及鑑別認證以在服務中使用金鑰

  2. 使用以下 curl 指令呼叫 Key Protect API

    $ curl -X POST \
    "https://<region>.kms.cloud.ibm.com/api/v2/keys" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>" \
    -H "content-type: application/vnd.ibm.kms.key+json" \
    -H "x-kms-key-ring: <key_ring_ID" \
    -H "correlation-id: <correlation_ID>" \
    -H "prefer: <return_preference>" \
    -d '{
            "metadata": {
                "collectionType": "application/vnd.ibm.kms.key+json",
                "collectionTotal": 1
            },
            "resources": [
                {
                    "type": "application/vnd.ibm.kms.key+json",
                    "name": "<key_name>",
                    "aliases": [alias_list],
                    "description": "<key_description>",
                    "expirationDate": "<expiration_date>",
                    "extractable": <key_type>
                }
            ]
        }'

    根據下表取代範例要求中的變數。

描述新增標準密鑰所需的變數。
變數 說明
區域 必需的。 區域縮寫,例如 us-south 或 eu-gb,代表您的Key Protect實例所在的地理區域。 如需相關資訊,請參閱地區服務端點
IAM_token 必需的。 您的 IBM Cloud 存取記號。 在curl 請求中包含 IAM 令牌的完整內容,包括承載值。 有關更多信息,請參閱 檢索訪問令牌
instance_id 必需的。 指派給您 Key Protect 服務實例的唯一 ID。 有關更多信息,請參閱 檢索實例 ID
鑰匙環ID 選用。 您希望新建立的金鑰成為其一部分的目標金鑰環的唯一識別碼。 如果未指定,標頭將自動設定為“預設”,並且金鑰將位於指定的Key Protect服務實例中的預設金鑰環中。 有關詳細信息,請參閱 對鍵進行分組
關聯ID 可選
返回偏好 改變 POST 和 DELETE 操作的伺服器行為的標頭。 當您將 return_preference 變數設為 return=minimal 時,服務僅在回應中傳回鍵元數據,例如鍵名稱和 ID 值 entity-body。 當您將變數設定為 return=representation 時,服務將傳回金鑰材料和金鑰元資料。
key_name 必需的。 人類可讀的名稱,可輕鬆識別您的金鑰。 為了保護您的隱私權,請不要將個人資料儲存為金鑰的 meta 資料。
別名列表 可選。 重要事項:若要保護您的隱私權,請不要將個人資料儲存為金鑰的 meta 資料。 每個別名必須是字母數字、區分大小寫,且不能包含空格或除 -_ 之外的特殊字元。 別名不能是 UUID,也不能是Key Protect保留名稱:allowed_ip、key、keys、metadata、policy、policy、registration、registrations、ring、rings、rotate、wrap、unwrap,重新包裝,版本,版本。 別名大小可以在 2 - 90 個字元之間(含)。
按鍵描述 可選。 為了保護您的隱私權,請不要將個人資料儲存為金鑰的 meta 資料。
截止日期 可選HH:MM:SS.SS2019-10-12T07:20:50.52Z 密鑰將在密鑰過期日期後一小時內轉換為停用狀態。 如果省略expirationDate屬性,則金鑰不會過期。
key_type 可選。 當您將可提取屬性設為 true 時,該服務會建立標準金鑰,您可以將其儲存在應用程式或服務中。

若要保護您個人資料的機密性,請在將金鑰新增至服務時避免輸入個人識別資訊 (PII)(例如您的姓名或位置)。

成功的 POST api/v2/keys 回應會傳回您金鑰的 ID 值,以及其他 meta 資料。 ID 是指派給您金鑰的唯一 ID,並用於後續的 Key Protect API 呼叫。

可選:透過執行下列呼叫來取得Key Protect服務實例中的金鑰來驗證金鑰是否已建立。

$ curl -X GET \
    "https://<regon>.kms.cloud.ibm.com/api/v2/keys" \
    -H "accept: application/vnd.ibm.collection+json" \
    -H "authorization: Bearer <IAM_token>" \
    -H "bluemix-instance: <instance_ID>"

下一步