Details zum Vault-Service
In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf den Vault Service zu kontrollieren.
Individuelle Ressourcentypen
vaults
keys
key-delegate
secrets
secret-versions
secret-bundles
Aggregierter Ressourcentyp
secret-family
Eine Policy, die <verb> secret-family
verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>
-Anweisung für die einzelnen individuellen Secret-Ressourcentypen. (Secret-Ressourcentypen umfassen nur secrets
, secret-versions
und secret-bundles
.)
Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in secret-family
finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.
key-family
Eine Policy, die <verb> Key-family
verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>
-Anweisung für die einzelnen individuellen Secret-Ressourcentypen. (Schlüsselressourcentypen umfassen nur vaults
, keys
und key-delegate
.)
Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in secret-family
finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.
Unterstützte Variablen
Vault unterstützt alle allgemeinen Variablen sowie die hier aufgelisteten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Allgemeine Variablen für alle Anforderungen.
Variable | Variablentyp | Kommentare |
---|---|---|
request.includePlainTextKey
|
Zeichenfolge | Mit dieser Variablen können Sie kontrollieren, ob der Klartextschlüssel zusätzlich zum verschlüsselten Schlüssel als Antwort auf eine Anforderung zum Generieren eines Datenverschlüsselungsschlüssels zurückgegeben werden soll. |
request.kms-key.id
|
Zeichenfolge | Mit dieser Variablen können Sie kontrollieren, ob Block-Volumes oder Buckets ohne einen Vault-Masterverschlüsselungsschlüssel erstellt werden können. |
target.boot-volume.kms-key.id
|
Zeichenfolge | Mit dieser Variablen können Sie kontrollieren, ob Compute-Instanzen mit Boot-Volumes gestartet werden können, die ohne einen Vault-Masterverschlüsselungsschlüssel erstellt wurden. |
target.key.id
|
Entity (OCID) | Mit dieser Variable können Sie den Zugriff auf bestimmte Schlüssel nach OCID kontrollieren. |
target.vault.id
|
Entity (OCID) | Mit dieser Variable können Sie den Zugriff auf bestimmte Vaults nach OCID kontrollieren. |
target.secret.name
|
Zeichenfolge | Mit dieser Variablen können Sie den Zugriff auf bestimmte Secrets, Secret-Versionen und Secret Bundles nach Namen kontrollieren. |
target.secret.id
|
Entity (OCID) | Mit dieser Variablen können Sie den Zugriff auf bestimmte Secrets, Secret-Versionen und Secret Bundles nach OCID kontrollieren. |
Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect
> read
> use
> manage
. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb use
für den Ressourcentyp keys
umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb read
sowie die Berechtigungen "KEY_ENCRYPT" und "KEY_DECRYPT" und eine Reihe von API-Vorgängen (Encrypt
, Decrypt
und GenerateDataEncryptionKey
). Das Verb manage
deckt sogar noch mehr Berechtigungen und API-Vorgänge im Vergleich zu dem Verb use
ab.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | VAULT_INSPECT |
ListVaults
|
kein Wert |
read | INSPECT + VAULT_READ |
INSPECT +
|
kein Wert |
use | READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET |
keine zusätzlichen |
|
manage | USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | KEY_INSPECT |
|
kein Wert |
read | INSPECT + KEY_READ |
INSPECT +
|
kein Wert |
use | READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY |
READ +
|
kein Wert |
manage | USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE |
USE +
|
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
use | KEY_ASSOCIATE KEY_DISASSOCIATE |
|
kein Wert |
Dieses Thema enthält eine Liste der Verben, Berechtigungen und API-Vorgänge für den Ressourcentyp "key-family".
Verben | Berechtigungen | API-Vorgänge |
---|---|---|
inspect |
KEY_INSPECT VAULT_INSPECT |
|
read |
KEY_INSPECT KEY_READ VAULT_INSPECT VAULT_READ |
|
use |
KEY_ASSOCIATE KEY_DECRYPT KEY_DISSOCIATE KEY_ENCRYPT KEY_INSPECT KEY_READ VAULT_CREATE_KEY VAULT_INSPECT VAULT_READ |
|
manage |
KEY_ASSOCIATE KEY_BACKUP KEY_CREATE KEY_DECRYPT KEY_DELETE KEY_DISSOCIATE KEY_ENCRYPT VAULT_INSPECT VAULT_MOVE |
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | SECRET_INSPECT |
ListSecrets
|
kein Wert |
read | INSPECT + SECRET_READ |
INSPECT +
|
kein Wert |
use | READ + SECRET_UPDATE |
READ +
|
READ +
|
manage | USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE |
USE +
|
USE +
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | SECRET_VERSION_INSPECT |
ListSecretVersions
|
kein Wert |
read | INSPECT + SECRET_VERSION_READ |
INSPECT +
|
kein Wert |
manage | READ + SECRET_VERSION_DELETE |
keine zusätzlichen |
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | SECRET_BUNDLE_INSPECT |
ListSecretBundles
|
kein Wert |
read | INSPECT + SECRET_BUNDLE_READ |
INSPECT +
|
kein Wert |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.
Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
---|---|
ListVaults
|
VAULT_INSPECT |
GetVault
|
VAULT_READ |
CreateVault
|
VAULT_CREATE |
UpdateVault
|
VAULT_UPDATE |
ScheduleVaultDeletion
|
VAULT_DELETE |
CancelVaultDeletion
|
VAULT_DELETE |
ChangeVaultCompartment
|
VAULT_MOVE |
BackupVault
|
VAULT_BACKUP |
RestoreVaultFromFile
|
VAULT_RESTORE |
RestoreVaultFromObjectStore
|
VAULT_RESTORE |
ListVaultReplicas |
VAULT_INSPECT |
CreateVaultReplica |
VAULT_REPLICATE |
DeleteVaultReplica |
VAULT_REPLICATE |
ListKeys
|
KEY_INSPECT |
ListKeyVersions
|
KEY_INSPECT |
GetKey
|
KEY_READ |
CreateKey
|
KEY_CREATE und VAULT_CREATE_KEY |
EnableKey
|
KEY_UPDATE |
DisableKey
|
KEY_UPDATE |
UpdateKey
|
KEY_UPDATE |
ScheduleKeyDeletion
|
KEY_DELETE |
CancelKeyDeletion
|
KEY_DELETE |
ChangeKeyCompartment
|
KEY_MOVE |
BackupKey
|
KEY_BACKUP |
RestoreKeyFromFile
|
KEY_RESTORE |
RestoreKeyFromObjectStore
|
KEY_RESTORE |
GetKeyVersion
|
KEY_READ |
CreateKeyVersion
|
KEY_ROTATE |
ImportKey
|
KEY_IMPORT und VAULT_IMPORT_KEY |
ImportKeyVersion
|
KEY_IMPORT |
ExportKey
|
KEY_EXPORT |
GenerateDataEncryptionKey
|
KEY_ENCRYPT |
Encrypt
|
KEY_ENCRYPT |
Decrypt
|
KEY_DECRYPT |
Sign |
KEY_SIGN |
Verify |
KEY_VERIFY |
CreateSecret
|
KEY_ENCRYPT, KEY_DECRYPT, SECRET_CREATE und VAULT_CREATE_SECRET |
UpdateSecret
|
SECRET_UPDATE |
ListSecrets
|
SECRET_INSPECT |
GetSecret
|
SECRET_READ |
ScheduleSecretDeletion
|
SECRET_DELETE |
ChangeSecretCompartment
|
SECRET_MOVE und SECRET_UPDATE |
ListSecretVersions
|
SECRET_VERSION_INSPECT |
GetSecretVersion
|
SECRET_VERSION_READ |
ScheduleSecretVersionDeletion
|
SECRET_VERSION_DELETE und SECRET_UPDATE |
CancelSecretVersionDeletion
|
SECRET_VERSION_DELETE und SECRET_UPDATE |
ListSecretBundles
|
SECRET_BUNDLE_INSPECT |
GetSecretBundle
|
SECRET_BUNDLE_READ |
GetSecretBundleByName
|
SECRET_BUNDLE_READ |