Zuweisen von Master-Verschlüsselungsschlüsseln
Weisen Sie den unterstützten Ressourcen Masterverschlüsselungsschlüssel zu, und entfernen Sie sie, wenn sie nicht mehr benötigt werden.
Anstatt einen von Oracle verwalteten Verschlüsselungsschlüssel zu verwenden, können Sie von Ihnen verwaltete Master-Verschlüsselungsschlüssel Block- oder Boot-Volumes, Datenbanken, Dateisystemen, Buckets und Stream-Pools zuweisen. Block Volume, Database, File Storage, Object Storage und Streaming verwenden die Schlüssel, um die Datenverschlüsselungsschlüssel zu entschlüsseln, welche die im jeweiligen Service gespeicherten Daten schützen. Standardmäßig sind diese Services auf von Oracle verwaltete Masterverschlüsselungsschlüssel für kryptografische Vorgänge angewiesen. Wenn Sie eine Vault-Masterverschlüsselungsschlüsselzuweisung aus einer Ressource entfernen, verwendet der Service wieder einen von Oracle verwalteten Schlüssel zur Kryptografie.
Sie können Clustern, die Sie mit der Kubernetes-Engine erstellen, auch Master-Verschlüsselungsschlüssel zuweisen, um Kubernetes-Secrets, die im Key-Value Store etcd ruhen, zu verschlüsseln.
Zuweisen von Schlüsseln gehören die folgenden Konfigurationen:
- Compute-Instanz mit einem verschlüsselten Boot-Volume erstellen
- Mit einem Vault-Schlüssel verschlüsseltes Boot-Volume erstellen
- Kubernetes-Cluster mit verschlüsselten Secrets erstellen
- Schlüssel einem Objektspeicher-Bucket zuweisen
- Schlüssel einem Streampool zuweisen
- Schlüssel einem Boot-Volume zuweisen
- Schlüssel einem Dateisystem zuweisen
- Schlüssel einem Block-Volume zuweisen
- Bearbeiten eines Schlüssels in einem Boot-Volume
- Schlüssel in einem Block-Volume bearbeiten
- Schlüsselzuweisung aus einem Block-Volume entfernen
- Schlüsselzuweisung aus Objektspeicher entfernen
Informationen zum Erstellen und Verwenden von Masterverschlüsselungsschlüssel und Schlüsselversionen finden Sie unter Schlüssel verwalten. Spezifische Informationen zum Erstellen von Schlüsseln mit Ihrem eigenen Schlüsselmaterial finden Sie unter Vaultschlüssel und Schlüsselversionen importieren. Informationen zur Verwendung von Schlüsseln in kryptografischen Vorgängen finden Sie unter Schlüssel verwenden. Informationen zu den zulässigen Aktionen mit Vaults, in denen Schlüssel gespeichert werden, finden Sie unter Vaults verwalten.
Erforderliche IAM-Policy
Mit Volumes, Buckets, Dateisystemen, Clustern und Streampools verknüpfte Schlüssel funktionieren nur, wenn Sie Block Volume, Object Storage, File Storage, Kubernetes Engine und Streaming autorisieren, Schlüssel in Ihrem Namen zu verwenden. Außerdem müssen Sie Benutzern die Berechtigung erteilen, die Schlüsselverwendung an diese Services zu delegieren. Weitere Informationen finden Sie unter Delegieren der Schlüsselverwendung in einem Compartment durch eine Benutzergruppe zulassen und Policy zum Aktivieren von Verschlüsselungsschlüsseln erstellen unter Allgemeine Policys. Mit Datenbanken verknüpfte Schlüssel funktionieren nur, wenn Sie eine dynamische Gruppe autorisieren, die alle Knoten im DB-System enthält, um Schlüssel im Mandanten zu verwalten. Weitere Informationen finden Sie unter Erforderliche IAM-Policy in Exadata Cloud Service
Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.
Für Administratoren: Informationen zu typischen Policys, die Zugriff auf Vaults, Schlüssel und Secrets gewähren, finden Sie unter Verwalten von Vaults, Schlüsseln und Secrets durch Sicherheitsadministratoren zulassen. Weitere Informationen zu Berechtigungen oder zum Schreiben von restriktiveren Policys finden Sie unter Details zum Vault-Service.
Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.