Claves y OCID necesarios

Tanto si utiliza un cliente de Oracle (consulte Software development kits e interfaz de línea de comandos) como un cliente que haya creado usted mismo, debe hacer lo siguiente:

  1. Cree un usuario en IAM para la persona o sistema que llamará a la API y colóquelo al menos en un grupo IAM con los permisos deseados. Consulte Adición de usuarios. Puede omitir este paso si el usuario ya existe.
  2. Obtenga estos elementos:

  3. Cargue la clave pública del par de claves en la consola. Consulte Cómo cargar la clave pública.
  4. Si va a utilizar uno de los SDK o herramientas de Oracle, proporcione las credenciales necesarias enumeradas anteriormente en un archivo de configuración o un objeto de configuración en el código. Consulte Archivo de configuración de SDK y CLI. Si, en su lugar, va a crear su propio cliente, consulte Firmas de solicitud.
Importante

Este par de claves no es la clave SSH que utiliza para acceder a las instancias informáticas. Consulte Credenciales de seguridad.

Tanto la clave privada como la clave pública deben estar en formato PEM (no en formato SSH-RSA). La clave pública en formato PEM tiene un aspecto similar al siguiente:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQE...
...
-----END PUBLIC KEY-----

Cómo generar una clave de firma de API

Nota

Puede utilizar las herramientas de la consola o línea de comandos disponibles para Linux, Mac OS o Windows para generar una clave de firma de API.

Generación de una clave de firma de API (consola)

Puede utilizar la consola para generar su par de claves privada/pública. Si ya tiene un par de claves, puede elegir cargar la clave pública. Al utilizar la consola para agregar el par de claves, dicha consola también le genera un fragmento de vista previa del archivo de configuración.

Los siguientes procedimientos funcionan para un usuario normal o un administrador. Los administradores pueden gestionar claves de API para otro usuario o para ellos mismos.

Acerca del fragmento del archivo de configuración

Cuando se utiliza la consola para agregar el par de claves de firma de API, se genera un fragmento de vista previa del archivo de configuración con la siguiente información:

  • user: OCID del usuario para el que se agrega el par de claves.
  • fingerprint: huella de la clave que se acaba de agregar.
  • tenancy: OCID de su arrendamiento.
  • region: región seleccionada actualmente en la consola.
  • key_file: ruta de acceso al archivo de clave privada descargado. Debe actualizar este valor con la ruta de acceso de su sistema de archivos donde guardó el archivo de clave privada.

Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:

  • Sustituir el perfil existente y su contenido.
  • Cambiar el nombre del perfil existente.
  • Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.

Puede copiar este fragmento en el archivo de configuración para ayudarle a empezar. Si aún no tiene un archivo de configuración, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno. También puede recuperar el fragmento del archivo de configuración de una clave de firma de API más tarde, cuando lo necesite. Consulte: Para obtener el fragmento del archivo de configuración de una clave de firma de API.

Para generar un par de claves de firma de API

Requisito: antes de generar un par de claves, cree el directorio .oci en el directorio raíz para almacenar las credenciales. Consulte Archivo de configuración de SDK y CLI para obtener más información.

  1. Vea los detalles del usuario:
    • Si va a agregar una clave de API para usted mismo:

      Abra el menú Perfil (Icono de menú de usuario) y haga clic en Configuración de usuario.

    • Si es un administrador que va a agregar una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
  2. Haga clic en Agregar clave de API.
  3. En el cuadro de diálogo, seleccione Generar par de claves de API.
  4. Haga clic en Descargar clave privada y guarde la clave en el directorio .oci. En la mayoría de los casos, no es necesario que descargue la clave pública.

    Nota: si su explorador descarga la clave privada en un directorio diferente, asegúrese de moverla al directorio .oci.

  5. Haga clic en Agregar.

    Se agrega la clave y se muestra la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo ~/.oci/config. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno).

    Después de pegar el contenido del archivo, tendrá que actualizar el parámetro key_file con la ubicación en la que guardó el archivo de clave privada.

    Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:
    • Sustituir el perfil existente y su contenido.
    • Cambiar el nombre del perfil existente.
    • Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
  6. Actualice los permisos del archivo de clave privada descargado para que solo pueda verlo usted:
    1. Vaya al directorio .oci donde colocó el archivo de clave privada.
    2. Utilice el comando chmod go-rwx ~/.oci/<oci_api_keyfile>.pem para definir los permisos en el archivo.
Para cargar o pegar una clave de API

Requisito: ha generado una clave RSA pública en formato PEM (mínimo 2048 bits). El formato PEM es similar al siguiente:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
  1. Vea los detalles del usuario:
    • Si va a agregar una clave de API para usted mismo:

      Abra el menú Perfil (Icono de menú de usuario) y haga clic en Configuración de usuario.

    • Si es un administrador que va a agregar una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
  2. Haga clic en Agregar clave de API.
  3. En el cuadro de diálogo, seleccione Seleccionar archivo de clave pública para cargar el archivo o Pegar clave pública si prefiere pegarla en un cuadro de texto.
  4. Haga clic en Agregar.

    Se agrega la clave y se muestra la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo ~/.oci/config. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno).

    Después de pegar el contenido del archivo, tendrá que actualizar el parámetro key_file con la ubicación en la que guardó el archivo de clave privada.

    Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:

    • Sustituir el perfil existente y su contenido.
    • Cambiar el nombre del perfil existente.
    • Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.
Para obtener el fragmento del archivo de configuración de una clave de firma de API
El siguiente procedimiento funciona para un usuario normal o un administrador.
  1. Vea los detalles del usuario:
    • Si va a obtener un fragmento del archivo de configuración de una clave de API para usted mismo:

      Abra el menú Perfil (Icono de menú de usuario) y haga clic en Configuración de usuario.

    • Si es un administrador que va a obtener un fragmento del archivo de configuración de una clave de API para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
  2. En la parte izquierda de la página, haga clic en Claves de API. Se muestra la lista de huellas de claves de API.
  3. Haga clic en el menú Acciones de la huella y seleccione Ver archivo de configuración.

    Aparece la Vista previa del archivo de configuración. El fragmento de archivo incluye los parámetros y valores necesarios para crear el archivo de configuración. Copie y pegue el fragmento del archivo de configuración del cuadro de texto en el archivo ~/.oci/config. (Si aún no ha creado este archivo, consulte Archivo de configuración de SDK y CLI para obtener más información sobre cómo crear uno). Después de pegar el contenido del archivo, tendrá que actualizar el parámetro key_file con la ubicación en la que guardó el archivo de clave privada.

    Si el archivo de configuración ya tiene un perfil DEFAULT, deberá realizar una de las siguientes acciones:
    • Sustituir el perfil existente y su contenido.
    • Cambiar el nombre del perfil existente.
    • Cambiar el nombre de este perfil a uno diferente después de pegarlo en el archivo de configuración.

Generación de una clave de firma de API (Linux y Mac OS X)

Utilice los siguientes comandos de OpenSSL para generar el par de claves en el formato PEM necesario.

  1. Si aún no lo ha hecho, cree un directorio .oci para almacenar las credenciales:

    mkdir ~/.oci                
  2. Genere la clave privada con uno de los siguientes comandos.

    • Para generar la clave, cifrada con una frase de contraseña que deberá proporcionar cuando se le solicite:
      Nota

      Le recomendamos que utilice una frase de contraseña para su clave.
      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048                    
    • Para generar la clave sin contraseña:

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048                        
  3. Cambie el permiso de archivo para asegurarse de que solo usted puede leer el archivo de clave privada:

    chmod go-rwx ~/.oci/oci_api_key.pem               
  4. Genere la clave pública a partir de su nueva clave privada:

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem             
  5. Copie el contenido de la clave pública en el portapapeles con pbcopy, xclip o una herramienta similar (tendrá que pegar el valor en la consola más tarde). Por ejemplo:

    cat ~/.oci/oci_api_key_public.pem | pbcopy           

Las solicitudes de API se firmarán con su clave privada y Oracle utilizará la clave pública para verificar la autenticidad de la solicitud. Debe cargar la clave pública en IAM (instrucciones a continuación).

Generación de una clave de firma de API (Windows)

Si va a utilizar Windows, necesitará instalar Git Bash para Windows antes de ejecutar los siguientes comandos.
Nota

Asegúrese de incluir el binario openssl en la ruta de acceso de Windows. En instalaciones por defecto, el archivo openssl.exe se puede encontrar en C:\Program Files\Git\mingw64\bin.

Utilice los siguientes comandos de OpenSSL para generar el par de claves en el formato PEM necesario.

  1. Si aún no lo ha hecho, cree un directorio .oci para almacenar las credenciales. Por ejemplo:

    mkdir %HOMEDRIVE%%HOMEPATH%\.oci                
  2. Genere la clave privada con uno de los siguientes comandos:

    • Para generar la clave que está cifrada con una frase de contraseña que deberá proporcionar cuando se le solicite:
      Nota

      Le recomendamos que utilice una frase de contraseña para su clave.
      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -aes128 -passout stdin 2048                 
    • Para generar la clave sin contraseña:

      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem 2048                        
  3. Genere la clave pública a partir de su nueva clave privada:

    openssl rsa -pubout -in %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key_public.pem             
  4. Copie el contenido de la clave pública en el portapapeles (tendrá que pegar el valor en la Consola más tarde). Por ejemplo:

    type \.oci\oci_api_key_public.pem     

Las solicitudes de API se firmarán con su clave privada y Oracle utilizará la clave pública para verificar la autenticidad de la solicitud. Debe cargar la clave pública en IAM (instrucciones a continuación).

Cómo obtener la huella de la clave

Puede obtener la huella de la clave con el siguiente comando de OpenSSL.

Para Linux y Mac OS X:

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Para Windows:
Nota

Si va a utilizar Windows, necesitará instalar Git Bash para Windows y ejecutar el comando con esa herramienta.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Al cargar la clave pública en la consola, la huella también se muestra allí automáticamente. Tiene un aspecto similar al siguiente: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

Dónde obtener el OCID del arrendamiento y el OCID del usuario

Ambos OCID se encuentran en la consola, a la que se puede acceder al conectarse desde aquí: https://cloud.oracle.com. Si no tiene una conexión y una contraseña para la consola, póngase en contacto con un administrador. Si no está familiarizado con los OCID, consulte Identificadores de recursos.

OCID del arrendamiento

Puede encontrar el OCID de arrendamiento en la consola de Oracle Cloud Infrastructure en la página Detalles de arrendamiento:

    1. Inicie sesión en la consola de Oracle Cloud Infrastructure.
    2. Abra el menú Región en la barra superior de la consola. La región principal se identifica en el menú:


      Menú Región que resalta la región principal
  1. El OCID de arrendamiento se muestra en Información de arrendamiento. Haga clic en Copiar para copiarlo en el portapapeles.

OCID del usuario

Obtenga el OCID del usuario en la consola en la página que muestra los detalles del usuario. Para acceder a esa página:

  • Si se ha conectado como usuario:

    Abra el menú Perfil (Icono de menú de usuario) y haga clic en Configuración de usuario.

  • Si es un administrador que va a realizar esta acción para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Seleccione el usuario de la lista.
  • El OCID de usuario se muestra en Información de usuario. Haga clic en Copiar para copiarlo en el portapapeles.

Cómo cargar la clave pública

Puede cargar la clave pública de PEM en la consola, a la que se puede acceder al conectarse desde aquí: https://cloud.oracle.com. Si no tiene una conexión y una contraseña para la consola, póngase en contacto con un administrador.

  1. Abra laconsola, e inicie sesión.
  2. Vea los detalles del usuario que llamará a la API con el par de claves:

    • Si se ha conectado como usuario:

      Abra el menú Perfil (Icono de menú de usuario) y haga clic en Configuración de usuario.

    • Si es un administrador que va a realizar esta acción para otro usuario: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Usuarios. Seleccione el usuario de la lista.
  3. Haga clic en Agregar clave pública.
  4. Pegue el contenido de la clave pública de PEM en el cuadro de diálogo y haga clic en Agregar.

Se muestra la huella de la clave (por ejemplo, 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef).

Tenga en cuenta que, después de cargar la primera clave pública, también puede utilizar la operación de API UploadApiKey para cargar claves adicionales. Puede tener hasta tres pares de claves de API por usuario. En una solicitud de API, especifique la huella de la clave para indicar qué clave va a utilizar para firmar la solicitud.