Oracle Cloud Infrastructure - Dokumentation

Erforderliche Schlüssel und OCIDs

Unabhängig davon, ob Sie einen Oracle-Client (siehe SDKs und Befehlszeilenschnittstelle) oder einen von Ihnen erstellten Client verwenden, müssen Sie folgende Schritte ausführen:

  1. Erstellen Sie einen Benutzer in IAM für die Person oder das System, von der/dem die API aufgerufen wird, und ordnen Sie diesen Benutzer mindestens einer IAM-Gruppe mit den erforderlichen Berechtigungen zu. Siehe Benutzer hinzufügen. Sie können dies überspringen, wenn der Benutzer bereits vorhanden ist.

  2. Rufen Sie diese Elemente ab:

  3. Laden Sie den Public Key aus dem Schlüsselpaar in der Konsole hoch. Siehe So laden Sie den Public Key hoch.
    Hinweis

    Es wird empfohlen, jedem Private Key ein Tag hinzuzufügen.
  4. Wenn Sie eines der Oracle-SDKs oder -Tools verwenden, geben Sie die erforderlichen Zugangsdaten, die oben aufgeführt sind, in einer Konfigurationsdatei oder einem Konfigurationsobjekt im Code an. Siehe SDK- und CLI-Konfigurationsdatei. Wenn Sie stattdessen einen eigenen Client erstellen, lesen Sie Signaturen anfordern.
Wichtig

Dieses Schlüsselpaar ist nicht der SSH-Schlüssel, mit dem Sie auf Compute-Instanzen zugreifen. Siehe Sicherheitszugangsdaten.

Sowohl der Private Key als auch der Public Key müssen im PEM-Format vorliegen (nicht im SSH-RSA-Format). Der Public Key im PEM-Format sieht etwa folgendermaßen aus:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQE...
...
-----END PUBLIC KEY-----
OCI_PRIVATE_KEY

Es wird empfohlen, am Ende des Schlüssels ein Etikett anzugeben. Beispiel: OCI_PRIVATE_KEY.

So generieren Sie einen API-Signaturschlüssel

Hinweis

Mit der Konsole oder den Befehlszeilentools, die für Linux, Mac OS oder Windows verfügbar sind, können Sie einen API-Signaturschlüssel generieren.

API-Signaturschlüssel generieren (Konsole)

Mit der Konsole können Sie Ihr eigenes Private/Public-Key-Paar generieren. Wenn Sie bereits ein Schlüsselpaar haben, können Sie den Public Key hochladen. Wenn Sie das Schlüsselpaar mit der Konsole hinzufügen, generiert die Konsole auch ein Konfigurationsdateivorschau-Snippet für Sie.

Die folgenden Verfahren können für einen regulären Benutzer oder einen Administrator angewendet werden. Administratoren können API-Schlüssel für einen anderen Benutzer oder sich selbst verwalten.

Info zum Konfigurationsdatei-Snippet

Wenn Sie das API-Signaturschlüsselpaar mit der Konsole hinzufügen, wird ein Konfigurationsdateivorschau-Snippet mit den folgenden Informationen generiert:

  • user: Die OCID des Benutzers, für den das Schlüsselpaar hinzugefügt wird.
  • fingerprint: Der Fingerprint des gerade hinzugefügten Schlüssels.
  • tenancy: OCID Ihres Mandanten.
  • region: Die derzeit ausgewählte Region in der Konsole.
  • key_file: Der Pfad zur heruntergeladenen Private-Key-Datei. Sie müssen diesen Wert auf den Pfad auf Ihrem Dateisystem aktualisieren, in dem Sie die Private-Key-Datei gespeichert haben.

Wenn die Konfigurationsdatei bereits ein DEFAULT-Profil aufweist, müssen Sie einen der folgenden Schritte ausführen:

  • Vorhandenes Profil und dessen Inhalt ersetzen.
  • Vorhandenes Profil umbenennen.
  • Dieses Profil in einen anderen Namen umbenennen, nachdem Sie es in die Konfigurationsdatei eingefügt haben.

Sie können dieses Snippet in die Konfigurationsdatei kopieren, um den Einstieg zu erleichtern. Wenn Sie noch keine Konfigurationsdatei haben, finden Sie unter SDK- und CLI-Konfigurationsdatei weitere Informationen zum Erstellen einer Konfigurationsdatei. Sie können das Konfigurationsdatei-Snippet für einen API-Signaturschlüssel auch später abrufen, wenn Sie es benötigen. Siehe: So rufen Sie das Konfigurationsdatei-Snippet für einen API-Signaturschlüssel ab.

So generieren Sie ein API-Signaturschlüsselpaar

Voraussetzung: Bevor Sie ein Schlüsselpaar generieren, erstellen Sie das Verzeichnis .oci in Ihrem Home-Verzeichnis, um die Zugangsdaten zu speichern. Weitere Details finden Sie unter SDK- und CLI-Konfigurationsdatei.

  1. Zeigen Sie die Benutzerdetails an:
    • Wenn Sie einen API-Schlüssel für sich selbst hinzufügen:

      Öffnen Sie das Menü Profil, und klicken Sie auf Mein Profil.

    • Wenn Sie als Administrator einen API-Schlüssel für einen anderen Benutzer hinzufügen: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Suchen Sie den Benutzer in der Liste, und klicken Sie auf seinen Namen, um die zugehörigen Details anzuzeigen.
  2. Klicken Sie unten links im Abschnitt Ressourcen auf API-Schlüssel
  3. Klicken Sie oben links in der Liste API-Schlüssel auf API-Schlüssel hinzufügen. Das Dialogfeld API-Schlüssel hinzufügen wird angezeigt.

  4. Klicken Sie auf Private Key herunterladen, und speichern Sie den Schlüssel im Verzeichnis .oci. In den meisten Fällen müssen Sie den Public Key nicht herunterladen.

    Hinweis: Wenn Ihr Browser den Private Key in ein anderes Verzeichnis herunterlädt, müssen Sie ihn in das Verzeichnis .oci verschieben.

  5. Klicken Sie auf Hinzufügen.

    Der Schlüssel wird hinzugefügt, und die Vorschau der Konfigurationsdatei wird angezeigt. Das Datei-Snippet enthält erforderliche Parameter und Werte, die Sie zum Erstellen der Konfigurationsdatei benötigen. Kopieren Sie das Konfigurationsdatei-Snippet aus dem Textfeld, und fügen Sie es in ~/.oci/config file ein. (Wenn Sie diese Datei noch nicht erstellt haben, finden Sie unter SDK- und CLI-Konfigurationsdatei Details zum Erstellen einer Datei.)

    Nachdem Sie den Dateiinhalt eingefügt haben, müssen Sie den Parameter key_file auf den Speicherort aktualisieren, in dem Sie die Private-Key-Datei gespeichert haben.

    Wenn die Konfigurationsdatei bereits ein DEFAULT-Profil aufweist, müssen Sie einen der folgenden Schritte ausführen:
    • Vorhandenes Profil und dessen Inhalt ersetzen.
    • Vorhandenes Profil umbenennen.
    • Dieses Profil in einen anderen Namen umbenennen, nachdem Sie es in die Konfigurationsdatei eingefügt haben.
  6. Aktualisieren Sie die Berechtigungen für die heruntergeladene Private-Key-Datei, sodass nur Sie sie anzeigen können:
    1. Gehen Sie zum Verzeichnis .oci, in dem Sie die Private-Key-Datei abgelegt haben.
    2. Verwenden Sie den Befehl chmod go-rwx ~/.oci/<oci_api_keyfile>.pem, um die Berechtigungen für die Datei festzulegen.

So können Sie einen API-Schlüssel hochladen oder einfügen

Voraussetzung: Sie haben einen öffentlichen RSA-Schlüssel im PEM-Format generiert (mindestens 2048 Bit). Das PEM-Format sieht in etwa wie folgt aus:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
  1. Zeigen Sie die Benutzerdetails an:
    • Wenn Sie einen API-Schlüssel für sich selbst hinzufügen:

      Öffnen Sie das Menü Profil, und klicken Sie auf Mein Profil.

    • Wenn Sie als Administrator einen API-Schlüssel für einen anderen Benutzer hinzufügen: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Suchen Sie den Benutzer in der Liste, und klicken Sie auf seinen Namen, um die zugehörigen Details anzuzeigen.
  2. Klicken Sie unten links im Abschnitt Ressourcen auf API-Schlüssel
  3. Klicken Sie oben links in der Liste API-Schlüssel auf API-Schlüssel hinzufügen. Das Dialogfeld API-Schlüssel hinzufügen wird angezeigt.
  4. Wählen Sie im Dialogfeld Public-Key-Datei auswählen aus, um die Datei hochzuladen, oder Public Key einfügen, wenn Sie den Schlüssel in ein Textfeld einfügen möchten.
  5. Klicken Sie auf Hinzufügen.

    Der Schlüssel wird hinzugefügt, und die Vorschau der Konfigurationsdatei wird angezeigt. Das Datei-Snippet enthält erforderliche Parameter und Werte, die Sie zum Erstellen der Konfigurationsdatei benötigen. Kopieren Sie das Konfigurationsdatei-Snippet aus dem Textfeld, und fügen Sie es in ~/.oci/config file ein. (Wenn Sie diese Datei noch nicht erstellt haben, finden Sie unter SDK- und CLI-Konfigurationsdatei Details zum Erstellen einer Datei.)

    Nachdem Sie den Dateiinhalt eingefügt haben, müssen Sie den Parameter key_file auf den Speicherort aktualisieren, in dem Sie die Private-Key-Datei gespeichert haben.

    Wenn die Konfigurationsdatei bereits ein DEFAULT-Profil aufweist, müssen Sie einen der folgenden Schritte ausführen:

    • Vorhandenes Profil und dessen Inhalt ersetzen.
    • Vorhandenes Profil umbenennen.
    • Dieses Profil in einen anderen Namen umbenennen, nachdem Sie es in die Konfigurationsdatei eingefügt haben.
So rufen Sie das Konfigurationsdatei-Snippet für einen API-Signaturschlüssel ab
Das folgende Verfahren kann für einen regulären Benutzer oder einen Administrator angewendet werden.
  1. Zeigen Sie die Benutzerdetails an:
    • Wenn Sie ein API-Schlüsselkonfigurationsdatei-Snippet für sich selbst abrufen:

      Öffnen Sie das Menü Profil, und klicken Sie auf Mein Profil.

    • Wenn Sie als Administrator ein API-Schlüsselkonfigurationsdatei-Snippet für einen anderen Benutzer abrufen: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Suchen Sie den Benutzer in der Liste, und klicken Sie auf seinen Namen, um die zugehörigen Details anzuzeigen.
  2. Klicken Sie unten links im Abschnitt Ressourcen auf API-Schlüssel
  3. Klicken Sie links auf der Seite auf API-Schlüssel. Die Liste der API-Schlüsselfingerprints wird angezeigt.
  4. Klicken Sie auf das Menü Aktionen (Menü "Aktionen") für den Fingerprint, und wählen Sie Konfigurationsdatei anzeigen aus.

    Die Vorschau der Konfigurationsdatei wird angezeigt. Das Datei-Snippet enthält erforderliche Parameter und Werte, die Sie zum Erstellen der Konfigurationsdatei benötigen. Kopieren Sie das Konfigurationsdatei-Snippet aus dem Textfeld, und fügen Sie es in ~/.oci/config file ein. (Wenn Sie diese Datei noch nicht erstellt haben, finden Sie unter SDK- und CLI-Konfigurationsdatei Details zum Erstellen einer Datei.) Nachdem Sie den Dateiinhalt eingefügt haben, müssen Sie den Parameter key_file auf den Speicherort aktualisieren, in dem Sie die Private-Key-Datei gespeichert haben.

    Wenn die Konfigurationsdatei bereits ein DEFAULT-Profil aufweist, müssen Sie einen der folgenden Schritte ausführen:
    • Vorhandenes Profil und dessen Inhalt ersetzen.
    • Vorhandenes Profil umbenennen.
    • Dieses Profil in einen anderen Namen umbenennen, nachdem Sie es in die Konfigurationsdatei eingefügt haben.

API-Signaturschlüssel generieren (Linux und Mac OS X)

Verwenden Sie die folgenden OpenSSL-Befehle, um das Schlüsselpaar im erforderlichen PEM-Format zu generieren.

  1. Erstellen Sie, sofern noch nicht geschehen, ein .oci-Verzeichnis, um die Zugangsdaten zu speichern:

    mkdir ~/.oci

  2. Generieren Sie den Private Key mit einem der folgenden Befehle.

    • Um den mit einer Passphrase verschlüsselten Schlüssel zu generieren, geben Sie Folgendes an, wenn Sie dazu aufgefordert werden:
      Hinweis

      Wir empfehlen, dass Sie eine Passphrase für Ihren Schlüssel verwenden.
      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048

    • So generieren Sie den Schlüssel ohne Passphrase:

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048

  3. Ändern Sie die Dateiberechtigung, um sicherzustellen, dass nur Sie die Private-Key-Datei lesen können:

    chmod go-rwx ~/.oci/oci_api_key.pem

  4. Generieren Sie den Public Key aus Ihrem neuen Private Key:

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem

  5. Kopieren Sie den Inhalt des Public Keys mit pbcopy, xclip oder einem ähnlichen Tool in die Zwischenablage (Sie müssen den Wert später in die Konsole einfügen). Beispiel:

    cat ~/.oci/oci_api_key_public.pem | pbcopy

Ihre API-Anforderungen werden mit Ihrem Private Key signiert, und Oracle verwendet den Public Key zur Prüfung der Authentizität der Anforderung. Sie müssen den Public Key in IAM hochladen (Anweisungen unten).

API-Signaturschlüssel generieren (Windows)

Wenn Sie Windows verwenden, müssen Sie Git Bash für Windows installieren, bevor Sie die folgenden Befehle ausführen.
Hinweis

Stellen Sie sicher, dass die Binärdatei openssl im Windows-Pfad enthalten ist. Bei Standardinstallationen befindet sich die Datei openssl.exe in C:\Program Files\Git\mingw64\bin.

Verwenden Sie die folgenden OpenSSL-Befehle, um das Schlüsselpaar im erforderlichen PEM-Format zu generieren.

  1. Erstellen Sie ein .oci-Verzeichnis, sofern Sie es noch nicht getan haben, um die Zugangsdaten zu speichern. Beispiel:

    mkdir %HOMEDRIVE%%HOMEPATH%\.oci

  2. Generieren Sie den Private Key mit einem der folgenden Befehle:

    • Um den mit einer Passphrase verschlüsselten Schlüssel zu generieren, geben Sie Folgendes an, wenn Sie dazu aufgefordert werden:
      Hinweis

      Wir empfehlen, dass Sie eine Passphrase für Ihren Schlüssel verwenden.
      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -aes128 -passout stdin 2048

    • So generieren Sie den Schlüssel ohne Passphrase:

      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem 2048

  3. Generieren Sie den Public Key aus Ihrem neuen Private Key:

    openssl rsa -pubout -in %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key_public.pem

  4. Kopieren Sie den Inhalt des Public Keys in die Zwischenablage (Sie müssen den Wert später in die Konsole einfügen). Beispiel:

    type \.oci\oci_api_key_public.pem

Ihre API-Anforderungen werden mit Ihrem Private Key signiert, und Oracle verwendet den Public Key zur Prüfung der Authentizität der Anforderung. Sie müssen den Public Key in IAM hochladen (Anweisungen unten).

So rufen Sie den Fingerprint des Schlüssels ab

Sie können den Fingerprint des Schlüssels mit dem folgenden OpenSSL-Befehl abrufen.

Für Linux und Mac OS X:

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Unter Windows:
Hinweis

Wenn Sie Windows verwenden, müssen Sie Git Bash for Windows installieren und den Befehl mit diesem Tool ausführen.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Wenn Sie den Public Key in die Konsole hochladen, wird der Fingerprint außerdem automatisch dort angezeigt. Er sieht etwa wie folgt aus: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

Hier erhalten Sie die OCID des Mandanten und des Benutzers

Beide OCIDs befinden sich in der Konsole. Auf diese können Sie zugreifen, indem Sie sich hier anmelden: https://cloud.oracle.com. Wenn Sie keine Anmeldedaten und kein Kennwort für die Konsole haben, wenden Sie sich an einen Administrator. Wenn Sie nicht mit OCIDs vertraut sind, lesen Sie Ressourcen-IDs.

Mandanten-OCID

Rufen Sie die Mandanten-OCID in der Oracle Cloud Infrastructure-Konsole auf der Seite Mandantendetails ab:

  1. Wählen Sie das Menü Profil (Symbol "Profilmenü"), das sich oben rechts in der Navigationsleiste oben auf der Seite befindet, und klicken Sie auf Mandant: <your_tenancy_name>.

  2. Die Mandanten-OCID wird unter Mandanteninformationen angezeigt. Klicken Sie auf Kopieren, um die Zeichenfolge in die Zwischenablage zu kopieren.

Benutzer-OCID

Rufen Sie die OCID des Benutzers in der Konsole auf der Seite ab, auf der die Benutzerdetails angezeigt werden. So rufen Sie diese Seite auf:

  • Wenn Sie als Benutzer angemeldet sind:

    Öffnen Sie das Menü Profil, und klicken Sie auf Mein Profil.

  • Wenn Sie diesen Vorgang als Administrator für einen anderen Benutzer ausführen: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Wählen Sie in der Liste den Benutzer aus.
  • Die Benutzer-OCID wird unter Benutzerinformationen angezeigt. Klicken Sie auf Kopieren, um die Zeichenfolge in die Zwischenablage zu kopieren.

So laden Sie den Public Key hoch

Sie können den PEM-Public Key in der Konsole hochladen. Auf diese können Sie zugreifen, indem Sie sich hier anmelden: https://cloud.oracle.com.
Hinweis

Wenn Sie keinen Anmeldenamen und kein Kennwort für die Konsole haben oder das Menü "Profil" nicht angezeigt wird, wenden Sie sich an einen Administrator.
  1. Öffnen Sie die Konsole, und melden Sie sich an.

  2. Zeigen Sie die Details für den Benutzer an, der die API mit dem Schlüsselpaar aufruft:

    • Wenn Sie als Benutzer angemeldet sind:

      Öffnen Sie das Menü Profil , und klicken Sie auf Mein Profil.

    • Wenn Sie diesen Vorgang als Administrator für einen anderen Benutzer ausführen: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Benutzer. Wählen Sie in der Liste den Benutzer aus.
  3. Klicken Sie unten links im Abschnitt Ressourcen auf API-Schlüssel
  4. Klicken Sie oben links in der Liste API-Schlüssel auf API-Schlüssel hinzufügen. Das Dialogfeld API-Schlüssel hinzufügen wird angezeigt.
  5. Aktivieren Sie das Optionsfeld Public Key einfügen.
  6. Fügen Sie den Inhalt des PEM-Public-Keys in das Dialogfeld ein, und klicken Sie auf Hinzufügen.

Der Fingerprint des Schlüssels wird angezeigt (Beispiel: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef).

Nachdem Sie den ersten Public Key hochgeladen haben, können Sie weitere Schlüssel auch mit dem API-Vorgang UploadApiKey hochladen. Pro Benutzer können bis zu drei API-Schlüsselpaare vorhanden sein. In einer API-Anforderung geben Sie den Fingerprint des Schlüssels an, um den Schlüssel anzugeben, mit dem Sie die Anforderung signieren.