Überblick über Vaults, Key Management und Secret Management
Der Key Management-Service speichert und verwaltet Schlüssel in Vaults für den sicheren Zugriff auf Ressourcen.
Der Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) ist ein cloudbasierter Service, der eine zentrale Verwaltung und Kontrolle von Verschlüsselungsschlüsseln für in OCI gespeicherte Daten bietet.
OCI KMS führt Folgendes aus:
- Vereinfacht die Schlüsselverwaltung, indem Verschlüsselungsschlüssel zentral gespeichert und verwaltet werden.
- Schützt Daten im Ruhezustand und während der Übertragung, indem verschiedene Verschlüsselungsschlüsseltypen unterstützt werden, einschließlich symmetrischer Schlüssel und asymmetrischer Schlüssel.
- Erfüllt Sicherheits- und Complianceanforderungen mit verschiedenen Optionen zum Erstellen und Speichern von Schlüsseln. Zu diesen Features gehören: Importieren von Schlüsselmaterial in OCI ("Bring Your Own Keys" oder BYOK), Erstellen von Schlüsseln in OCI und externes Speichern von Schlüsseln ("Eigene Schlüssel sperren" oder HYOK) mit externer Schlüsselverwaltung. Key Management unterstützt FIPS 140-2 Level 3-zertifizierte Hardwaresicherheitsmodule (HSMs), um Ihre Verschlüsselungsschlüssel zu speichern und zu schützen.
- Integriert die Verschlüsselung mit anderen OCI-Services wie Speicher, Datenbank und Fusion Applications zum Schutz der in diesen Services gespeicherten Daten.
Konzepte zur Verwaltung von Schlüsseln und Secrets
Machen Sie sich mit den Vault- und Schlüsselverwaltungskonzepten für den Zugriff auf und die Verwaltung von Vaults, Schlüsseln und Secrets vertraut.
- Vaults
- Vaults sind logische Entitys, in denen der Key Management-Service Vault-Schlüssel und Secrets erstellt und dauerhaft speichert. Der Vault-Typ bestimmt die Features und Funktionalitäten, z.B. den Grad der Speicherisolierung, den Zugriff auf Verwaltung und Verschlüsselung, die Skalierbarkeit und das Backup. Außerdem wirkt sich der Vault-Typ auf den Preis aus. Sie können den Vault-Typ nicht ändern, nachdem Sie den Vault erstellt haben.
- Schlüssel
- Schlüssel sind logische Entitys, die eine oder mehrere Schlüsselversionen darstellen, von denen jede ein kryptografisches Material enthält. Das kryptografische Material eines Vault-Schlüssels wird für einen bestimmten Algorithmus generiert, mit dem Sie den Schlüssel für die Verschlüsselung oder bei der digitalen Signatur verwenden können. Bei der Verschlüsselung verschlüsselt und entschlüsselt ein Schlüssel- oder Schlüsselpaar Daten und schützt dort, wo die Daten gespeichert werden oder während der Übertragung sind. Mit einem symmetrischen AES-Schlüssel verschlüsselt und entschlüsselt derselbe Schlüssel Daten. Mit einem asymmetrischen RSA-Schlüssel verschlüsselt der Public Key Daten, und der Private Key entschlüsselt Daten.
- Schlüsselversionen und Rotationen
- Jedem Masterverschlüsselungsschlüssel wird automatisch eine Schlüsselversion zugewiesen. Wenn Sie einen Schlüssel rotieren, generiert der Key Management-Service eine neue Schlüsselversion. Der Key Management Service kann das Schlüsselmaterial für die neue Schlüsselversion generieren oder Sie können Ihr eigenes Schlüsselmaterial importieren.
- Automatische Schlüsselrotation
-
Hinweis
Dieses Feature ist nur für private Vaults verfügbar.Mit dem Key Management-Service von OCI können Sie die automatische Schlüsselrotation für einen Verschlüsselungsschlüssel in einem virtuellen privaten Vault planen. Wenn Sie die automatische Rotation konfigurieren, legen Sie die Rotationshäufigkeit und das Startdatum des Rotationsplans fest. Für die Häufigkeit haben Sie ein Rotationsintervall zwischen 60 Tagen und 365 Tagen gewählt. KMS unterstützt die automatische Schlüsselrotation sowohl für HSM- als auch für Softwareschlüssel und unterstützt die automatische Rotation sowohl symmetrischer als auch asymmetrischer Schlüssel. Beachten Sie, dass ein Schlüssel den Status "enabled" aufweisen muss, um die automatische Rotation zu konfigurieren.
Merkmale und Anforderungen der automatischen Schlüsselrotation:- Sie können den Rotationsplan für einen Schlüssel aktualisieren, nachdem Sie die automatische Rotation aktiviert haben.
- Sie können einen Schlüssel bei Bedarf rotieren (manuelle Rotation ausführen), wenn die automatische Schlüsselrotation für den Schlüssel aktiviert ist.
- Sie können Aktivitäten zur automatischen Schlüsselrotation für einen Schlüssel verfolgen, einschließlich des letzten Rotationsstatus und der Statusmeldung, Aktualisierungen des Rotationsintervalls und des nächsten Rotationsstartdatums.
- Sie können eine Ereignisbenachrichtigung senden, wenn eine Schlüsselrotation nicht erfolgreich verläuft.
Benachrichtigung über automatisches Rotationsereignis: Um Benachrichtigungen über automatische Schlüsselrotationsereignisse zu erhalten, müssen Sie den OCI Events-Service konfigurieren. Nach jeder Schlüsselrotation sendet KMS eine Benachrichtigung über den Rotationsstatus und ggf. Fehlermeldungen. Mit dem OCI Events-Service können Sie Ereignisregeln verwenden, um eine Funktion aufzurufen, die Sie zur Automatisierung verwenden können. Beispiel: Mit Funktionen können Sie die folgenden Aufgaben automatisieren:
- Daten mit einer neuen Schlüsselversion erneut verschlüsseln
- Alte Schlüsselversion löschen
- Verteilen des öffentlichen Teils asymmetrischer Schlüssel zum Signieren oder Verifizieren von Daten
Weitere Informationen finden Sie unter Ereignisregeln erstellen und Funktionen - Überblick.
- Hardwaresicherheitsmodule
- Wenn Sie ein symmetrisches AES-Masterverschlüsselungsschlüssel erstellen, dessen Schutzmodus auf HSM gesetzt ist, speichert der Key Management-Service die Schlüsselversion in einem Hardwaresicherheitsmodul (HSM), um eine Schicht physischer Sicherheit bereitzustellen. (Wenn Sie ein Secret erstellen, werden Secret-Versionen base64codiert und durch einen Masterverschlüsselungsschlüssel verschlüsselt, aber nicht im HSM gespeichert.) Nachdem Sie die Ressourcen erstellt haben, verwaltet der Service Kopien einer bestimmten Schlüsselversion oder Secret-Version innerhalb der Serviceinfrastruktur, um Resilienz gegen Hardwarefehler zu gewährleisten. Schlüsselversionen von HSM-geschützten Schlüsseln werden anderweitig nicht gespeichert und können nicht aus einem HSM exportiert werden.
- Envelope-Verschlüsselung
- Der Datenverschlüsselungsschlüssel, mit dem Ihre Daten verschlüsselt werden, ist wiederum selbst mit einem Masterverschlüsselungsschlüssel verschlüsselt. Dieses Konzept wird als Envelope-Verschlüsselung bezeichnet. Oracle Cloud Infrastructure-Services haben ohne Interaktion mit dem Key Management-Service und ohne Zugriff Auf den Masterverschlüsselungsschlüssel, der durch Oracle Cloud Infrastructure Identity and Access Management (IAM) geschützt wird, keinen Zugriff auf die Klartextdaten. Zu Entschlüsselungszwecken speichern integrierte Services wie Object Storage, Block Volume und File Storage nur die verschlüsselte Form des Datenverschlüsselungsschlüssels.
- Secrets
- Secrets sind Zugangsdaten wie Kennwörter, Zertifikate, SSH-Schlüssel oder Authentifizierungstoken, die Sie mit Oracle Cloud Infrastructure-Services verwenden. Das Speichern von Secrets in einem Vault ist sicherer als die Speicherung an anderer Stelle, wie z.B. in Code oder Konfigurationsdateien. Sie können Geheimnisse aus dem Key Management-Service abrufen, wenn Sie sie für den Zugriff auf Ressourcen oder andere Services benötigen.
- Secret-Versionen
- Jedem Secret wird automatisch eine Secret-Version zugewiesen. Wenn Sie das Secret rotieren, stellen Sie dem Key Management-Service neue Secret-Inhalte zur Verfügung, damit diese eine neue Secret-Version erstellen können. Regelmäßiges Rotieren von Secret-Inhalten verringert die Auswirkungen eventueller Offenlegungen eines Secrets. A secret's unique Oracle Cloud ID (OCID) remains the same across rotations, but the secret version lets the Key Management service rotate secret contents to meet any rules or compliance requirements you might have. Sie können die Inhalte einer älteren Secret-Version nach dem Rotieren nicht verwenden, wenn eine Regel die Wiederverwendung des Secrets verhindert. Doch selbst dann bleibt die Secret-Version verfügbar und wird mit einem anderen Rotationsstatus als "Aktuell" markiert. Weitere Informationen zu Secret-Versionen und deren Rotationsstatus finden Sie unter Secret-Versionen und Rotationsstatus.
- Secret-Bundles
- Ein Vault Secret Bundle besteht aus den Secret-Inhalten, Eigenschaften der Secret- und Secret-Version (wie Versionsnummer oder Rotationsstatus) und vom Benutzer bereitgestellten kontextbezogenen Metadaten für das Secret. Wenn Sie ein Secret rotieren, erstellen Sie eine neue Secret-Version, die auch eine neue Secret-Bundle-Version enthält.
Regionen und Availability-Domains
Der Vault-Service ist in allen kommerziellen Regionen von Oracle Cloud Infrastructure verfügbar. Unter Informationen zu Regionen und Availability-Domains finden Sie die Liste der verfügbaren Regionen sowie die zugehörigen Standorte, Regions-IDs, Regionsschlüssel und Availability-Domains.
Im Gegensatz zu einigen Oracle Cloud Infrastructure-Services verfügt der Vault-Service jedoch nicht über einen regionalen Endpunkt für alle API-Vorgänge. Der Service hat einen regionalen Endpunkt für den Provisioning-Service, der Erstellungs-, Aktualisierungs- und Auflistungsvorgänge für Vaults verarbeitet. Für Erstellungs-, Aktualisierungs- und Auflistungsvorgänge für Schlüssel befinden sich die Serviceendpunkte auf mehreren unabhängigen Clustern. Serviceendpunkte für Secrets sind zudem noch auf verschiedene unabhängige Cluster verteilt.
Da der Vault-Service öffentliche Endpunkte aufweist, können Sie Datenverschlüsselungsschlüssel, die durch den Service generiert wurden, direkt für kryptografische Vorgänge in Ihren Anwendungen verwenden. Wenn Sie jedoch Masterverschlüsselungsschlüssel mit einem Service verwenden möchten, der in Vault integriert ist, müssen der Service und der Vault, der den Schlüssel enthält, sich in derselben Region befinden. Für Schlüsselverwaltungsvorgänge, kryptografische Schlüsselvorgänge, Secret-Verwaltungsvorgänge und Secret-Abrufvorgänge gibt es verschiedene Endpunkte. Weitere Informationen finden Sie in der Oracle Cloud Infrastructure-API-Dokumentation
Der Vault-Service verwaltet Kopien von Vaults und deren Inhalt, um sie dauerhaft zu persistieren und es dem Vault-Service zu ermöglichen, auf Anfrage Schlüssel oder Secrets zu erstellen, selbst wenn eine Availability-Domain nicht verfügbar ist. Diese Replikation ist unabhängig von der regionsübergreifenden Replikation, die ein Kunde konfigurieren könnte.
Bei Regionen mit mehreren Availability-Domains bewahrt der Vault-Service Kopien von Verschlüsselungsschlüsseln in allen Availability-Domains innerhalb der Region auf. Regionen mit mehreren Availability-Domains verfügen über ein Rack für jede Availability-Domain. Das bedeutet, dass die Replikation über drei Racks insgesamt in diesen Regionen erfolgt, in denen jedes Rack zu einer anderen Availability-Domain gehört. In Regionen mit einer einzelnen Availability-Domain verwaltet der Vault-Service Verschlüsselungsschlüsselkopien über Faultdomains hinweg.
Bei Secrets verteilt der Vault-Service in Regionen mit mehreren Availability-Domains Secret-Kopien auf zwei verschiedene Availability-Domains. In Regionen mit einer einzelnen Availability-Domain verteilt der Vault-Service die Kopien auf zwei verschiedene Faultdomains.
Jede Availability-Domain umfasst drei Faultdomains. Faultdomains bieten High Availability und Fehlertoleranz, indem sie es dem Vault-Service ermöglichen, Ressourcen auf verschiedene physische Hardware innerhalb einer bestimmten Availability-Domain zu verteilen. Die physische Hardware selbst verfügt auch über unabhängige und redundante Netzteile, die einen Stromausfall in einer Fehlerdomain daran hindern, sich auf andere Fehlerdomänen zu auswirken.
All dies ermöglicht es dem Vault-Service, auf Anfrage Schlüssel und Secrets zu erstellen, selbst wenn eine Availability-Domain in einer Region mit mehreren Availability-Domains nicht verfügbar ist oder wenn eine Faultdomain in einer Region mit einer einzelnen Availability-Domain nicht verfügbar ist.
Privater Zugriff auf Vault
Der Vault-Service unterstützt den privaten Zugriff durch Oracle Cloud Infrastructure-Ressourcen in einem virtuellen Cloud-Netzwerk (VCN) über ein Servicegateway. Durch die Einrichtung und Verwendung eines Servicegateways auf einem VCN können Ressourcen (wie die Instanzen, an die Ihre verschlüsselten Volumes angehängt sind) auf öffentliche Oracle Cloud Infrastructure-Services wie den Vault-Service zugreifen, ohne das öffentliche Internet nutzen zu müssen. Es ist kein Internetgateway erforderlich, und Ressourcen können sich in einem privaten Subnetz befinden und nur private IP-Adressen verwenden. Weitere Informationen finden Sie unter Zugriff auf Oracle Services: Servicegateway.
Ressourcen-IDs
Im Vault-Service werden Vaults, Schlüssel und Secrets als Oracle Cloud Infrastructure-Ressourcen unterstützt. Die meisten Oracle Cloud Infrastructure-Ressourcentypen verfügen über eine eindeutige, von Oracle zugewiesene ID, die als Oracle Cloud-ID (OCID) bezeichnet wird. Informationen zum OCID-Format und zu anderen Möglichkeiten zur Identifizierung der Ressourcen finden Sie unter Ressourcen-IDs..
Möglichkeiten für den Zugriff auf Oracle Cloud Infrastructure
Sie können auf Oracle Cloud Infrastructure zugreifen, indem Sie Ihren Cloud-Account eingeben.
Auf Oracle Cloud Infrastructure (OCI) können Sie über die Konsole (eine browserbasierte Schnittstelle), die REST-API oder die OCI-CLI zugreifen. Anweisungen zur Verwendung der Konsole, API und CLI sind in verschiedenen Themen in dieser Dokumentation enthalten. Eine Liste der verfügbaren SDKs finden Sie unter Softwareentwicklungs-Kits und Befehlszeilenschnittstelle.
Um auf die Konsole zuzugreifen, müssen Sie einen unterstützten Browser verwenden. Um zur Anmeldeseite der Konsole zu wechseln, öffnen Sie das Navigationsmenü oben auf dieser Seite, und wählen Sie Infrastrukturkonsole aus. Dort werden Sie aufgefordert, Ihren Cloud-Mandanten, Benutzernamen und Ihr Kennwort einzugeben.
Authentifizierung und Autorisierung
Jeder Service in Oracle Cloud Infrastructure lässt sich mit IAM zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) integrieren.
Ein Administrator in einer Organisation muss Gruppen , Compartments und Policys einrichten, die steuern, welche Benutzer auf Services und Ressourcen zugreifen können, und welche Zugriffsart. Beispiel: Die Policys steuern, wer neue Benutzer erstellen, das Cloud-Netzwerk erstellen und verwalten, Instanzen erstellen, Buckets erstellen, Objekte herunterladen kann usw. Weitere Informationen finden Sie unter Identitätsdomains verwalten. Einzelheiten zum Schreiben von Policys für die einzelnen Services finden Sie in der Policy-Referenz.
Wenn Sie ein regulärer Benutzer sind (nicht ein Administrator), der die Oracle Cloud Infrastructure-Ressourcen verwenden muss, für die das Unternehmen verantwortlich ist, bitten Sie einen Administrator, eine Benutzer-ID für Sie einzurichten. Der Administrator kann festlegen, welche Compartments Sie verwenden können.
Limits für Vault-Ressourcen
Machen Sie sich mit der Begrenzung des Vault-Service und der zugehörigen Ressourcennutzung vertraut, bevor Sie sie verwenden.
Eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen finden Sie unter Servicelimits. Um compartment-spezifische Grenzwerte für eine Ressource oder Ressourcenfamilie festzulegen, können Administratoren Compartment-Quotas verwenden.
Anleitungen zum Anzeigen der Nutzungsebene im Vergleich zu den Ressourcenlimits des Mandanten finden Sie unter Servicelimits, -Quotas und -nutzung anzeigen. Sie können auch die Nutzung jedes einzelnen Vaults im Vergleich zu den Schlüsselgrenzwerten abrufen, indem Sie die Anzahl der Schlüssel und Schlüsselversionen in den Vault-Details anzeigen.