Details zum Vault-Service

Vault-Servicedetails

In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf den Vault Service zu kontrollieren.

Individuelle Ressourcentypen

vaults

keys

key-delegate

hsm-cluster

secrets

secret-versions

secret-bundles

Aggregierter Ressourcentyp

secret-family

Eine Policy, die <verb> secret-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die einzelnen individuellen Secret-Ressourcentypen. (Secret-Ressourcentypen umfassen nur secrets, secret-versions und secret-bundles.)

Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in secret-family finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.

Unterstützte Variablen

Vault unterstützt alle allgemeinen Variablen sowie die hier aufgelisteten Variablen. Weitere Informationen zu allgemeinen Variablen, die von Oracle Cloud Infrastructure-Services unterstützt werden, finden Sie unter Allgemeine Variablen für alle Anforderungen.


Variable	Variablentyp	Kommentare
`request.includePlainTextKey`	Zeichenfolge	Mit dieser Variablen können Sie kontrollieren, ob der Klartextschlüssel zusätzlich zum verschlüsselten Schlüssel als Antwort auf eine Anforderung zum Generieren eines Datenverschlüsselungsschlüssels zurückgegeben werden soll.
`request.kms-key.id`	Zeichenfolge	Mit dieser Variablen können Sie kontrollieren, ob Block-Volumes oder Buckets ohne einen Vault-Masterverschlüsselungsschlüssel erstellt werden können.
`target.boot-volume.kms-key.id`	Zeichenfolge	Mit dieser Variablen können Sie kontrollieren, ob Compute-Instanzen mit Boot-Volumes gestartet werden können, die ohne einen Vault-Masterverschlüsselungsschlüssel erstellt wurden.
`target.key.id`	Entity (OCID)	Mit dieser Variable können Sie den Zugriff auf bestimmte Schlüssel nach OCID kontrollieren.
`target.vault.id`	Entity (OCID)	Mit dieser Variable können Sie den Zugriff auf bestimmte Vaults nach OCID kontrollieren.
`target.secret.name`	Zeichenfolge	Mit dieser Variablen können Sie den Zugriff auf bestimmte Secrets, Secret-Versionen und Secret Bundles nach Namen kontrollieren.
`target.secret.id`	Entity (OCID)	Mit dieser Variablen können Sie den Zugriff auf bestimmte Secrets, Secret-Versionen und Secret Bundles nach OCID kontrollieren.

Details für Kombinationen aus Verb + Ressourcentyp

In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.

Beispiel: Das Verb use für den Ressourcentyp keys umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb read sowie die Berechtigungen "KEY_ENCRYPT" und "KEY_DECRYPT" und eine Reihe von API-Vorgängen (Encrypt, Decrypt und GenerateDataEncryptionKey). Das Verb manage deckt sogar noch mehr Berechtigungen und API-Vorgänge im Vergleich zu dem Verb use ab.

vaults


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	VAULT_INSPECT	`ListVaults`	kein Wert
read	INSPECT + VAULT_READ VAULT_READ	INSPECT + `GetVault` `GetVaultUsage`	kein Wert
use	READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET	keine zusätzlichen	`CreateKey` (benötigt auch `manage keys`) `ImportKey` (benötigt auch `manage keys`) `CreateSecret` (benötigt auch `manage secrets`)
manage	USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE	USE + `CreateVault` `UpdateVault` `ScheduleVaultDeletion` `CancelVaultDeletion` `ChangeVaultCompartment` `BackupVault` `RestoreVaultFromFile` `RestoreVaultFromObjectStore` `CreateVaultReplica` `DeleteVaultReplica`	kein Wert

keys


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	KEY_INSPECT	`ListKeys` `ListKeyVersions`	kein Wert
read	INSPECT + KEY_READ	INSPECT + `GetKey` `GetKeyVersion`	kein Wert
use	READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY	READ + `Encrypt` `Decrypt` `ExportKey` `Sign` `Verify`	kein Wert
manage	USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE	USE + `CreateKey` `UpdateKey` `CreateKeyVersion` `CancelKeyDeletion` `ChangeKeyCompartment` `ImportKeyVersion` `BackupKey` `RestoreKeyFromFile` `RestoreKeyFromObjectStore`	`CreateKey` (benötigt auch `use vaults`) `ImportKey` (benötigt auch `use vaults`)

key-delegate


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
use	KEY_ASSOCIATE KEY_DISASSOCIATE	`Encrypt` `GenerateDataEncryptionKey` `Decrypt`	kein Wert

hsm-Cluster


Verben	Berechtigungen	API vollständig abgedeckt	API teilweise abgedeckt
Einsehen	HSM_CLUSTER_INSPECT	ListHsmClusters ListHsmPartitions	Kein Wert
read	HSM_CLUSTER_READ	GetHsmCluster GetHsmPartition	Kein Wert
use	HSM_CLUSTER_UPDATE	GetPreCoUserCredentials DownloadCertificateSigningRequest UpdateHsmCluster UploadPartitionCertificates	Kein Wert
manage	HSM_CLUSTER_DELETE HSM_CLUSTER_CREATE HSM_CLUSTER_MOVE	CreateHsmCluster ChangeHsmClusterCompartment ScheduleHsmClusterDeletion CancelHsmClusterDeletion	Kein Wert

secrets


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	SECRET_INSPECT	`ListSecrets`	kein Wert
read	INSPECT + SECRET_READ	INSPECT + `GetSecret`	kein Wert
use	READ + SECRET_UPDATE SECRET_ROTATE	READ + `UpdateSecret` `Rotate` `CancelRotation`	READ + `ChangeSecretCompartment` (benötigt auch `manage secrets)`. `ScheduleSecretVersionDeletion` (benötigt auch `manage secret-versions`) `CancelSecretVersionDeletion` (benötigt auch `manage secret-versions`)
manage	USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE	USE + `ScheduleSecretDeletion` `CancelSecretDeletion`	USE + `CreateSecret` (benötigt auch `use vaults`) `ChangeSecretCompartment` (benötigt auch `use secrets`)

secret-versions


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	SECRET_VERSION_INSPECT	`ListSecretVersions`	kein Wert
read	INSPECT + SECRET_VERSION_READ	INSPECT + `GetKeyVersion`	kein Wert
manage	READ + SECRET_VERSION_DELETE	keine zusätzlichen	`ScheduleSecretVersionDeletion` (benötigt auch `use secrets`) `CancelSecretVersionDeletion` (benötigt auch `use secrets`)

secret-bundles


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
inspect	SECRET_BUNDLE_INSPECT	`ListSecretBundles`	kein Wert
read	INSPECT + SECRET_BUNDLE_READ	INSPECT + `GetSecretBundle`	kein Wert

Für jeden API-Vorgang erforderliche Berechtigungen

Berechtigung für Vault-API-Vorgänge.

In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Informationen zu Berechtigungen finden Sie unter Berechtigungen.


API-Vorgang	Erforderliche Berechtigungen für den Vorgang
`ListVaults`	VAULT_INSPECT
`GetVault`	VAULT_READ
`CreateVault`	VAULT_CREATE
`UpdateVault`	VAULT_UPDATE
`ScheduleVaultDeletion`	VAULT_DELETE
`CancelVaultDeletion`	VAULT_DELETE
`ChangeVaultCompartment`	VAULT_MOVE
`BackupVault`	VAULT_BACKUP
`RestoreVaultFromFile`	VAULT_RESTORE
`RestoreVaultFromObjectStore`	VAULT_RESTORE
`ListVaultReplicas`	VAULT_INSPECT
`CreateVaultReplica`	VAULT_REPLICATE
`DeleteVaultReplica`	VAULT_REPLICATE
`GetVaultUsage`	VAULT_READ
`ListKeys`	KEY_INSPECT
`ListKeyVersions`	KEY_INSPECT
`GetKey`	KEY_READ
`CreateKey`	KEY_CREATE und VAULT_CREATE_KEY
`EnableKey`	KEY_UPDATE
`DisableKey`	KEY_UPDATE
`UpdateKey`	KEY_UPDATE
`ScheduleKeyDeletion`	KEY_DELETE
`CancelKeyDeletion`	KEY_DELETE
`ChangeKeyCompartment`	KEY_MOVE
`BackupKey`	KEY_BACKUP
`RestoreKeyFromFile`	KEY_RESTORE
`RestoreKeyFromObjectStore`	KEY_RESTORE
`GetKeyVersion`	KEY_READ
`CreateKeyVersion`	KEY_ROTATE
`ImportKey`	KEY_IMPORT und VAULT_IMPORT_KEY
`ImportKeyVersion`	KEY_IMPORT
`ExportKey`	KEY_EXPORT
`GenerateDataEncryptionKey`	KEY_ENCRYPT
`Encrypt`	KEY_ENCRYPT
`Decrypt`	KEY_DECRYPT
`Sign`	KEY_SIGN
`Verify`	KEY_VERIFY
`CreateSecret`	SECRET_CREATE
`UpdateSecret`	SECRET_UPDATE
`ListSecrets`	SECRET_INSPECT
`GetSecret`	SECRET_READ
`ScheduleSecretDeletion`	SECRET_DELETE
`ChangeSecretCompartment`	SECRET_MOVE und SECRET_UPDATE
`ListSecretVersions`	SECRET_VERSION_INSPECT
`GetSecretVersion`	SECRET_VERSION_READ
`ScheduleSecretVersionDeletion`	SECRET_VERSION_DELETE und SECRET_UPDATE
`CancelSecretVersionDeletion`	SECRET_VERSION_DELETE und SECRET_UPDATE
`ListSecretBundles`	SECRET_BUNDLE_INSPECT
`GetSecretBundle`	SECRET_BUNDLE_READ
`GetSecretBundleByName`	SECRET_BUNDLE_READ
`CreateHsmCluster`	HSM_CLUSTER_CREATE
`GetHsmCluster`	HSM_CLUSTER_READ
`GetHsmPartition`	HSM_CLUSTER_READ
`GetPreCoUserCredentials`	HSM_CLUSTER_UPDATE
`DownloadCertificateSigningRequest`	HSM_CLUSTER_UPDATE
`UpdateHsmCluster`	HSM_CLUSTER_UPDATE
`ChangeHsmClusterCompartment`	HSM_CLUSTER_MOVE
`UploadPartitionOwnerCertificate`	HSM_CLUSTER_UPDATE
`ScheduleHsmClusterDeletion`	HSM_CLUSTER_DELETE
`CancelDeletion`	HSM_CLUSTER_DELETE
`ListHsmClusters`	HSM_CLUSTER_INSPECT
`ListHsmPartitions`	HSM_CLUSTER_INSPECT