Details zu Vault, Key Management und Secrets

In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf den Vault Service zu kontrollieren.

Individuelle Ressourcentypen

vaults

keys

key-delegate

hsm-cluster

secrets

secret-versions

secret-bundles

secret-replication

Aggregierter Ressourcentyp

secret-family

Eine Policy, die <verb> secret-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die einzelnen individuellen Secret-Ressourcentypen. (Secret-Ressourcentypen umfassen nur secrets, secret-versions und secret-bundles. Beachten Sie, dass der Ressourcentyp secret-replication NICHT im Verb secret-family enthalten ist.)

Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in secret-family finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.

Unterstützte Variablen

Vault unterstützt alle allgemeinen Variablen sowie die hier aufgelisteten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Allgemeine Variablen für alle Anforderungen.


Variable	Variablentyp	Kommentare
`request.includePlainTextKey`	Zeichenfolge	Mit dieser Variablen können Sie kontrollieren, ob der Klartextschlüssel zusätzlich zum verschlüsselten Schlüssel als Antwort auf eine Anforderung zum Generieren eines Datenverschlüsselungsschlüssels zurückgegeben werden soll.
`request.kms-key.id`	Zeichenfolge	Mit dieser Variablen können Sie kontrollieren, ob Block-Volumes oder Buckets ohne einen Vault-Masterverschlüsselungsschlüssel erstellt werden können.
`target.boot-volume.kms-key.id`	Zeichenfolge	Mit dieser Variablen können Sie kontrollieren, ob Compute-Instanzen mit Boot-Volumes gestartet werden können, die ohne einen Vault-Masterverschlüsselungsschlüssel erstellt wurden.
`target.key.id`	Entity (OCID)	Mit dieser Variable können Sie den Zugriff auf bestimmte Schlüssel nach OCID kontrollieren.
`target.vault.id`	Entity (OCID)	Mit dieser Variable können Sie den Zugriff auf bestimmte Vaults nach OCID kontrollieren.
`target.secret.name`	Zeichenfolge	Mit dieser Variablen können Sie den Zugriff auf bestimmte Secrets, Secret-Versionen und Secret Bundles nach Namen kontrollieren.
`target.secret.id`	Entity (OCID)	Mit dieser Variablen können Sie den Zugriff auf bestimmte Secrets, Secret-Versionen und Secret Bundles nach OCID kontrollieren.

Details für Kombinationen aus Verb + Ressourcentyp

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb use für den Ressourcentyp keys umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb read sowie die Berechtigungen "KEY_ENCRYPT" und "KEY_DECRYPT" und eine Reihe von API-Vorgängen (Encrypt, Decrypt und GenerateDataEncryptionKey). Das Verb manage deckt sogar noch mehr Berechtigungen und API-Vorgänge im Vergleich zu dem Verb use ab.

vaults


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	VAULT_INSPECT	`ListVaults`	kein Wert
read	INSPECT + VAULT_READ	INSPECT + `GetVault` `GetVaultUsage`	kein Wert
use	READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET	keine zusätzlichen	`CreateKey` (benötigt auch `manage keys`) `ImportKey` (benötigt auch `manage keys`) `CreateSecret` (benötigt auch `manage secrets`)
manage	USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE	USE + `CreateVault` `UpdateVault` `ScheduleVaultDeletion` `CancelVaultDeletion` `ChangeVaultCompartment` `BackupVault` `RestoreVaultFromFile` `RestoreVaultFromObjectStore` `CreateVaultReplica` `DeleteVaultReplica`	kein Wert

keys


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	KEY_INSPECT	`ListKeys` `ListKeyVersions`	kein Wert
read	INSPECT + KEY_READ	INSPECT + `GetKey` `GetKeyVersion`	kein Wert
use	READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY	READ + `Encrypt` `Decrypt` `ExportKey` `Sign` `Verify`	kein Wert
manage	USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE	USE + `UpdateKey` `CreateKeyVersion` `CancelKeyDeletion` `ChangeKeyCompartment` `ImportKeyVersion` `BackupKey` `RestoreKeyFromFile` `RestoreKeyFromObjectStore`	`CreateKey` (benötigt auch `use vaults`) `ImportKey` (benötigt auch `use vaults`)

key-delegate

Hinweis

Mit Schlüsseldelegatberechtigungen können integrierte OCI-Services einen bestimmten Schlüssel in einem bestimmten Compartment verwenden. Beispiel: Sie können diesen Berechtigungstyp verwenden, um dem Object Storage-Service zu ermöglichen, einen verschlüsselten Bucket zu erstellen oder zu aktualisieren und den Service zu ermöglichen, Daten im Bucket zu verschlüsseln oder zu entschlüsseln. Benutzer, denen Delegationsberechtigungen erteilt wurden, sind nicht berechtigt, den angegebenen Schlüssel selbst zu verwenden, sondern haben die Berechtigung, bestimmte Services den Schlüssel verwenden zu lassen. Weitere Informationen finden Sie in den folgenden allgemeinen Policys:


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
use	KEY_ASSOCIATE KEY_DISASSOCIATE	`Encrypt` `GenerateDataEncryptionKey` `Decrypt`	kein Wert

hsm-cluster


Verben	Berechtigungen	API vollständig abgedeckt	API teilweise abgedeckt
Einsehen	HSM_CLUSTER_INSPECT	ListHsmClusters ListHsmPartitions	Kein Wert
read	INSPECT + HSM_CLUSTER_READ	GetHsmCluster GetHsmPartition	Kein Wert
use	READ + HSM_CLUSTER_UPDATE	GetPreCoUserCredentials DownloadCertificateSigningRequest UpdateHsmCluster UploadPartitionCertificates	Kein Wert
manage	USE + HSM_CLUSTER_DELETE HSM_CLUSTER_CREATE HSM_CLUSTER_MOVE	CreateHsmCluster ChangeHsmClusterCompartment ScheduleHsmClusterDeletion CancelHsmClusterDeletion	Kein Wert

secrets


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	SECRET_INSPECT	`ListSecrets`	kein Wert
read	INSPECT + SECRET_READ	INSPECT + `GetSecret`	kein Wert
use	READ + SECRET_UPDATE	READ + `Rotate` `CancelRotation`	READ + `UpdateSecret` (nur für regionsübergreifendes Secret-Replikationsfeature, benötigt auch die Berechtigung `manage secrets` oder `SECRET_REPLICATE_CONFIGURE`) `ChangeSecretCompartment` (benötigt auch `manage secrets)`. `ScheduleSecretVersionDeletion` (benötigt auch `manage secret-versions`) `CancelSecretVersionDeletion` (benötigt auch `manage secret-versions`)
manage	USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE SECRET_ROTATE SECRET_REPLICATE_CONFIGURE	USE + `ScheduleSecretDeletion` `CancelSecretDeletion` `RotateSecret`	USE + `CreateSecret` (benötigt auch `use vaults`) `ChangeSecretCompartment` (benötigt auch `use secrets`)

secret-replication


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
use	SECRET_REPLICATE	`none`	die erforderliche Berechtigung zum Erteilen einer regionsübergreifenden Secret-Replikation an einen Vaultsecret-Resource Principal.

secret-versions


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	SECRET_VERSION_INSPECT	`ListSecretVersions`	kein Wert
read	INSPECT + SECRET_VERSION_READ	INSPECT + `GetKeyVersion`	kein Wert
manage	READ + SECRET_VERSION_DELETE	keine zusätzlichen	`ScheduleSecretVersionDeletion` (benötigt auch `use secrets`) `CancelSecretVersionDeletion` (benötigt auch `use secrets`)

secret-bundles


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	SECRET_BUNDLE_INSPECT	`ListSecretBundles`	kein Wert
read	INSPECT + SECRET_BUNDLE_READ	INSPECT + `GetSecretBundle`	kein Wert

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.


API-Vorgang	Erforderliche Berechtigungen für den Vorgang
`ListVaults`	VAULT_INSPECT
`GetVault`	VAULT_READ
`CreateVault`	VAULT_CREATE
`UpdateVault`	VAULT_UPDATE
`ScheduleVaultDeletion`	VAULT_DELETE
`CancelVaultDeletion`	VAULT_DELETE
`ChangeVaultCompartment`	VAULT_MOVE
`BackupVault`	VAULT_BACKUP
`RestoreVaultFromFile`	VAULT_RESTORE
`RestoreVaultFromObjectStore`	VAULT_RESTORE
`ListVaultReplicas`	VAULT_INSPECT
`CreateVaultReplica`	VAULT_REPLICATE
`DeleteVaultReplica`	VAULT_REPLICATE
`GetVaultUsage`	VAULT_READ
`ListKeys`	KEY_INSPECT
`ListKeyVersions`	KEY_INSPECT
`GetKey`	KEY_READ
`CreateKey`	KEY_CREATE und VAULT_CREATE_KEY
`EnableKey`	KEY_UPDATE
`DisableKey`	KEY_UPDATE
`UpdateKey`	KEY_UPDATE
`ScheduleKeyDeletion`	KEY_DELETE
`CancelKeyDeletion`	KEY_DELETE
`ChangeKeyCompartment`	KEY_MOVE
`BackupKey`	KEY_BACKUP
`RestoreKeyFromFile`	KEY_RESTORE
`RestoreKeyFromObjectStore`	KEY_RESTORE
`GetKeyVersion`	KEY_READ
`CreateKeyVersion`	KEY_ROTATE
`ImportKey`	KEY_IMPORT und VAULT_IMPORT_KEY
`ImportKeyVersion`	KEY_IMPORT
`ExportKey`	KEY_EXPORT
`GenerateDataEncryptionKey`	KEY_ENCRYPT (Verwenden Sie KEY_ASSOCIATE, wenn Sie Berechtigungen an einen integrierten Service delegieren)
`Encrypt`	KEY_ENCRYPT (Verwenden Sie KEY_ASSOCIATE, wenn Sie Berechtigungen an einen integrierten Service delegieren)
`Decrypt`	KEY_DECRYPT (Verwenden Sie KEY_ASSOCIATE, wenn Sie Berechtigungen an einen integrierten Service delegieren)
`Sign`	KEY_SIGN
`Verify`	KEY_VERIFY
`CreateSecret`	KEY_ENCRYPT, KEY_DECRYPT, SECRET_CREATE und VAULT_CREATE_SECRET (fügen Sie SECRET_REPLICATE_CONFIGURE hinzu, um die Konfiguration der regionsübergreifenden Replikation in der Region des Quell-Secrets zuzulassen)
`UpdateSecret`	SECRET_UPDATE (fügen Sie SECRET_REPLICATE_CONFIGURE hinzu, um die Konfiguration der regionsübergreifenden Replikation in der Region des Quell-Secrets zuzulassen)
`ListSecrets`	SECRET_INSPECT
`GetSecret`	SECRET_READ
`RotateSecret`	SECRET_ROTATE
`ScheduleSecretDeletion`	SECRET_DELETE
`ChangeSecretCompartment`	SECRET_MOVE und SECRET_UPDATE
`ListSecretVersions`	SECRET_VERSION_INSPECT
`GetSecretVersion`	SECRET_VERSION_READ
`ScheduleSecretVersionDeletion`	SECRET_VERSION_DELETE und SECRET_UPDATE
`CancelSecretVersionDeletion`	SECRET_VERSION_DELETE und SECRET_UPDATE
`ListSecretBundles`	SECRET_BUNDLE_INSPECT
`GetSecretBundle`	SECRET_BUNDLE_READ
`GetSecretBundleByName`	SECRET_BUNDLE_READ
`ScheduleSecretVersionDeletion`	SECRET_VERSION_DELETE und SECRET_UPDATE
`CancelSecretVersionDeletion`	SECRET_VERSION_DELETE und SECRET_UPDATE
`ListSecretBundles`	SECRET_BUNDLE_INSPECT
`GetSecretBundle`	SECRET_BUNDLE_READ
`GetSecretBundleByName`	SECRET_BUNDLE_READ
`CreateHsmCluster`	HSM_CLUSTER_CREATE
`GetHsmCluster`	HSM_CLUSTER_READ
`GetHsmPartition`	HSM_CLUSTER_READ
`GetPreCoUserCredentials`	HSM_CLUSTER_UPDATE
`DownloadCertificateSigningRequest`	HSM_CLUSTER_UPDATE
`UpdateHsmCluster`	HSM_CLUSTER_UPDATE
`ChangeHsmClusterCompartment`	HSM_CLUSTER_MOVE
`UploadPartitionOwnerCertificate`	HSM_CLUSTER_UPDATE
`ScheduleHsmClusterDeletion`	HSM_CLUSTER_DELETE
`CancelDeletion`	HSM_CLUSTER_DELETE
`ListHsmClusters`	HSM_CLUSTER_INSPECT
`ListHsmPartitions`	HSM_CLUSTER_INSPECT