Claves y OCID necesarios
Tanto si utiliza un cliente de Oracle (consulte Software development kits e interfaz de línea de comandos) como un cliente que haya creado usted mismo, debe hacer lo siguiente:
- Cree un usuario en IAM para la persona o sistema que llamará a la API y colóquelo al menos en un grupo IAM con los permisos necesarios. Consulte Agregación de usuarios. Puede omitir este paso si el usuario ya existe.
-
Obtenga estos elementos:
- Par de claves de RSA en formato PEM (2048 bits como mínimo). Consulte Cómo generar una clave de firma de API.
- Huella de la clave pública. Consulte Cómo obtener la huella de la clave.
- OCID del arrendamiento y OCID del usuario. Consulte Dónde obtener el OCID del arrendamiento y el OCID del usuario.
- Cargue la clave pública del par de claves en la consola. Consulte Cómo cargar la clave pública. Nota
Recomendamos agregar una etiqueta a cada clave privada. - Si va a utilizar uno de los SDK o herramientas de Oracle, proporcione las credenciales necesarias enumeradas anteriormente en un archivo de configuración o un objeto de configuración en el código. Consulte Archivo de configuración de SDK y CLI. Si, en su lugar, va a crear su propio cliente, consulte Firmas de solicitud.
Este par de claves no es la clave SSH que utiliza para acceder a las instancias informáticas. Consulte Credenciales de seguridad.
Tanto la clave privada como la clave pública deben estar en formato PEM (no en formato SSH-RSA). La clave pública en formato PEM tiene un aspecto similar al siguiente:
-----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQE... ... -----END PUBLIC KEY-----Para aumentar la seguridad de sus claves de API, le recomendamos que agregue una línea adicional con "OCI_API_KEY" al final de la clave privada. Si usted o alguien de su organización confirma accidentalmente la clave privada en un repositorio GitHub público, OCI le notificará que debe realizar acciones correctivas. La clave privada en formato PEM con la etiqueta tiene un aspecto similar al siguiente:
-----BEGIN PRIVATE KEY----- MIIBIjANBgkqhkiG9w0BAQE... ... -----END PRIVATE KEY----- OCI_API_KEY
Cómo generar una clave de firma de API
Puede utilizar las herramientas de la consola o línea de comandos disponibles para Linux, Mac OS o Windows para generar una clave de firma de API.
Generación de una clave de firma de API (consola)
Puede utilizar la consola para generar su par de claves privada/pública. Si ya tiene un par de claves, puede elegir cargar la clave pública. Al utilizar la consola para agregar el par de claves, dicha consola también le genera un fragmento de vista previa del archivo de configuración.
Los siguientes procedimientos funcionan para un usuario normal o un administrador. Los administradores pueden gestionar claves de API para otro usuario o para ellos mismos.
Acerca del fragmento del archivo de configuración
Cuando se utiliza la consola para agregar el par de claves de firma de API, se genera un fragmento de vista previa del archivo de configuración con la siguiente información:
user
: OCID del usuario para el que se agrega el par de claves.fingerprint
: huella de la clave que se acaba de agregar.tenancy
: OCID de su arrendamiento.region
: región seleccionada actualmente en la consola.key_file
: ruta de acceso al archivo de clave privada descargado. Debe actualizar este valor con la ruta de acceso de su sistema de archivos donde guardó el archivo de clave privada.
Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:
- Sustituir el perfil existente y su contenido.
- Cambiar el nombre del perfil existente.
- Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
Puede copiar este fragmento en el archivo de configuración para ayudarle a empezar. Si aún no tiene un archivo de configuración, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno. También puede recuperar el fragmento del archivo de configuración de una clave de firma de API más tarde, cuando lo necesite. Consulte: Para obtener el fragmento del archivo de configuración de una clave de firma de API.
Para generar un par de claves de firma de API
Requisito: antes de generar un par de claves, cree el directorio .oci
en el directorio raíz para almacenar las credenciales. Consulte Archivo de configuración de SDK y CLI para obtener más información.
- Vea los detalles del usuario:
- Si va a agregar una clave de API para usted mismo:
Abra el menú Perfil y haga clic en Mi perfil.
- Si es un administrador que va a agregar una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- Si va a agregar una clave de API para usted mismo:
- En la sección Recursos de la parte inferior izquierda, haga clic en Claves de API.
- Haga clic en Agregar clave de API en la parte superior izquierda de la lista Claves de API. Se muestra el cuadro de diálogo Agregar clave de API.
-
Haga clic en Descargar clave privada y guarde la clave en el directorio
.oci
. En la mayoría de los casos, no es necesario que descargue la clave pública.Nota: si su explorador descarga la clave privada en un directorio diferente, asegúrese de moverla al directorio
.oci
. - Haga clic en Agregar.
Se agrega la clave y se muestra la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo
~/.oci/config
. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno).Después de pegar el contenido del archivo, tendrá que actualizar el parámetro
key_file
con la ubicación en la que guardó el archivo de clave privada.Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:- Sustituir el perfil existente y su contenido.
- Cambiar el nombre del perfil existente.
- Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
- Actualice los permisos del archivo de clave privada descargado para que solo pueda verlo usted:
- Vaya al directorio
.oci
donde colocó el archivo de clave privada. - Utilice el comando
chmod go-rwx ~/.oci/<oci_api_keyfile>.pem
para definir los permisos en el archivo.
- Vaya al directorio
Para cargar o pegar una clave de API
Requisito: ha generado una clave RSA pública en formato PEM (mínimo 2048 bits). El formato PEM es similar al siguiente:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
- Vea los detalles del usuario:
- Si va a agregar una clave de API para usted mismo:
Abra el menú Perfil y haga clic en Mi perfil.
- Si es un administrador que va a agregar una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- Si va a agregar una clave de API para usted mismo:
- En la sección Recursos de la parte inferior izquierda, haga clic en Claves de API.
- Haga clic en Agregar clave de API en la parte superior izquierda de la lista Claves de API. Se muestra el cuadro de diálogo Agregar clave de API.
- En el cuadro de diálogo, seleccione Seleccionar archivo de clave pública para cargar el archivo o Pegar clave pública si prefiere pegarla en un cuadro de texto.
- Haga clic en Agregar.
Se agrega la clave y se muestra la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo
~/.oci/config
. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno).Después de pegar el contenido del archivo, tendrá que actualizar el parámetro
key_file
con la ubicación en la que guardó el archivo de clave privada.Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:
- Sustituir el perfil existente y su contenido.
- Cambiar el nombre del perfil existente.
- Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
- Vea los detalles del usuario:
- Si va a obtener un fragmento del archivo de configuración de una clave de API para usted mismo:
Abra el menú Perfil y haga clic en Mi perfil.
- Si es un administrador que va a obtener un fragmento del archivo de configuración de una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
- Si va a obtener un fragmento del archivo de configuración de una clave de API para usted mismo:
- En la sección Recursos de la parte inferior izquierda, haga clic en Claves de API
- En la parte izquierda de la página, haga clic en Claves de API. Se muestra la lista de huellas de claves de API.
- Haga clic en el
Aparece la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo
~/.oci/config
. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno). Después de pegar el contenido del archivo, tendrá que actualizar el parámetrokey_file
con la ubicación en la que guardó el archivo de clave privada.Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:- Sustituir el perfil existente y su contenido.
- Cambiar el nombre del perfil existente.
- Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
de la huella y seleccione Ver archivo de configuración.
Generación de una clave de firma de API (Linux y Mac OS X)
Utilice los siguientes comandos de OpenSSL para generar el par de claves en el formato PEM necesario.
-
Si aún no lo ha hecho, cree un directorio
.oci
para almacenar las credenciales:mkdir ~/.oci
-
Genere la clave privada con uno de los siguientes comandos.
-
Para generar la clave, cifrada con una frase de contraseña que deberá proporcionar cuando se le solicite:Nota
Le recomendamos que utilice una frase de contraseña para su clave.openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048
-
Para generar la clave sin contraseña:
openssl genrsa -out ~/.oci/oci_api_key.pem 2048
-
-
Cambie el permiso de archivo para asegurarse de que solo usted puede leer el archivo de clave privada:
chmod go-rwx ~/.oci/oci_api_key.pem
-
Genere la clave pública a partir de su nueva clave privada:
openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem
-
Copie el contenido de la clave pública en el portapapeles con pbcopy, xclip o una herramienta similar (tendrá que pegar el valor en la consola más tarde). Por ejemplo:
cat ~/.oci/oci_api_key_public.pem | pbcopy
Las solicitudes de API se firmarán con su clave privada y Oracle utilizará la clave pública para verificar la autenticidad de la solicitud. Debe cargar la clave pública en IAM (instrucciones a continuación).
Generación de una clave de firma de API (Windows)
Asegúrese de incluir el binario
openssl
en la ruta de acceso de Windows. En instalaciones por defecto, el archivo openssl.exe se puede encontrar en C:\Program Files\Git\mingw64\bin
.Utilice los siguientes comandos de OpenSSL para generar el par de claves en el formato PEM necesario.
-
Si aún no lo ha hecho, cree un directorio
.oci
para almacenar las credenciales. Por ejemplo:mkdir %HOMEDRIVE%%HOMEPATH%\.oci
-
Genere la clave privada con uno de los siguientes comandos:
-
Para generar la clave que está cifrada con una frase de contraseña que deberá proporcionar cuando se le solicite:Nota
Le recomendamos que utilice una frase de contraseña para su clave.openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -aes128 -passout stdin 2048
-
Para generar la clave sin contraseña:
openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem 2048
-
-
Genere la clave pública a partir de su nueva clave privada:
openssl rsa -pubout -in %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key_public.pem
-
Copie el contenido de la clave pública en el portapapeles (tendrá que pegar el valor en la Consola más tarde). Por ejemplo:
type \.oci\oci_api_key_public.pem
Las solicitudes de API se firmarán con su clave privada y Oracle utilizará la clave pública para verificar la autenticidad de la solicitud. Debe cargar la clave pública en IAM (instrucciones a continuación).
Cómo obtener la huella de la clave
Puede obtener la huella de la clave con el siguiente comando de OpenSSL.
Para Linux y Mac OS X:
openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Si está utilizando Windows, debe instalar Git Bash para Windows y ejecutar el comando con esa herramienta.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c
Al cargar la clave pública en la consola, la huella también se muestra allí automáticamente. Tiene un aspecto similar al siguiente: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef
Dónde obtener el OCID del arrendamiento y el OCID del usuario
Ambos OCID se encuentran en la consola, a la que se puede acceder al conectarse desde aquí: https://cloud.oracle.com. Si no tiene una conexión y una contraseña para la consola, póngase en contacto con un administrador. Si no está familiarizado con los OCID, consulte Identificadores de recursos.
OCID del arrendamiento
Puede encontrar el OCID de arrendamiento en Oracle Cloud InfrastructureConsole en la página Detalles de arrendamiento:
- Seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Arrendamiento: <your_tenancy_name>.
-
El OCID de arrendamiento se muestra en Información de arrendamiento. Haga clic en Copiar para copiarlo en el portapapeles.
OCID del usuario
Obtenga el OCID del usuario en la consola en la página que muestra los detalles del usuario. Para acceder a esa página:
- Si se ha conectado como usuario:
Abra el menú Perfil y haga clic en Mi perfil.
- Si es un administrador que va a realizar esta acción para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Seleccione el usuario de la lista.
- El OCID de usuario se muestra en Información de usuario. Haga clic en Copiar para copiarlo en el portapapeles.
Cómo cargar la clave pública
Si no tiene unos datos de inicio de sesión y una contraseña para la Consola o no ve el menú Perfil, póngase en contacto con un administrador.
- Abra laconsola, e inicie sesión.
-
Vea los detalles del usuario que llamará a la API con el par de claves:
- Si se ha conectado como usuario:
Abra el menú Perfil y haga clic en Mi perfil.
- Si es un administrador que va a realizar esta acción para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Seleccione el usuario de la lista.
- Si se ha conectado como usuario:
- En la sección Recursos de la parte inferior izquierda, haga clic en Claves de API.
- Haga clic en Agregar clave de API en la parte superior izquierda de la lista Claves de API. Se muestra el cuadro de diálogo Agregar clave de API.
- Seleccione el botón de radio Pegar una clave pública.
- Pegue el contenido de la clave pública de PEM en el cuadro de diálogo y haga clic en Agregar.
Se muestra la huella de la clave (por ejemplo, 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef).
Tenga en cuenta que, después de cargar la primera clave pública, también puede utilizar la operación de API UploadApiKey para cargar claves adicionales. Puede tener hasta tres pares de claves de API por usuario. En una solicitud de API, especifique la huella de la clave para indicar qué clave va a utilizar para firmar la solicitud.