Vault-Schlüssel und Schlüsselversionen exportieren
Exportieren Sie einen softwaregeschützten Masterverschlüsselungsschlüssel oder Exportschlüsselversionen zur Ausführung kryptografischer Vault-Vorgänge.
Sie können den Schlüssel lokal verwenden und ihn dann aus dem lokalen Speicher verwerfen, um den Schlüsselinhalt zu schützen. Durch die lokale Verwendung eines exportierten Schlüssels werden Verfügbarkeit, Zuverlässigkeit und Latenz verbessert.
Erforderliche IAM-Policy
Mit Volumes, Buckets, Dateisystemen, Clustern und Streampools verknüpfte Schlüssel funktionieren nur, wenn Sie Block Volume, Object Storage, File Storage, Kubernetes Engine und Streaming autorisieren, Schlüssel in Ihrem Namen zu verwenden. Außerdem müssen Sie Benutzern die Berechtigung erteilen, die Schlüsselverwendung an diese Services zu delegieren. Weitere Informationen finden Sie unter Delegieren der Schlüsselverwendung in einem Compartment durch eine Benutzergruppe zulassen und Policy zum Aktivieren von Verschlüsselungsschlüsseln erstellen unter Allgemeine Policys. Mit Datenbanken verknüpfte Schlüssel funktionieren nur, wenn Sie eine dynamische Gruppe autorisieren, die alle Knoten im DB-System enthält, um Schlüssel im Mandanten zu verwalten. Weitere Informationen finden Sie unter Erforderliche IAM-Policy in Exadata Cloud Service
Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der von einem Mandantenadministrator Sicherheitszugriff in einer Policy erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Mandantenadministrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Ihr Zugriff funktioniert.
Für Administratoren: Informationen zu typischen Policys, die Zugriff auf Vaults, Schlüssel und Secrets gewähren, finden Sie unter Verwalten von Vaults, Schlüsseln und Secrets durch Sicherheitsadministratoren zulassen. Weitere Informationen zu Berechtigungen oder zum Schreiben von restriktiveren Policys finden Sie unter Details zum Vault-Service.
Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.
Bevor Sie beginnen
Beim Exportieren eines Schlüssels müssen Sie ein eigenes RSA-Schlüsselpaar generieren, um das Schlüsselmaterial zu wrappen und zu entpacken. Sie können das RSA-Schlüsselpaar mit dem Drittanbietertool Ihrer Wahl generieren.
Sie können den Schlüssel oder die Schlüsselversion nur mit der CLI exportieren. Beispielskripte, auf die Sie verweisen können, sind enthalten. Die Skripte enthalten alle Schritte des Exportprozesses, vom Wrapping des Schlüsselmaterials bis zum Export des softwaregeschützten Schlüssels oder der Schlüsselversion.
Wenn Sie MacOS oder Linux verwenden, müssen Sie die OpenSSL 1.1.1-Serie installieren, um Befehle auszuführen. Wenn Sie den RSA-Verschlüsselungsalgorithmus verwenden möchten, der einen temporären AES-Schlüssel verwendet, müssen Sie auch OpenSSL mit einem Patch patchen, der ihn unterstützt, siehe OpenSSL Patch to Wrap Key Material konfigurieren. Wenn Sie Windows verwenden, müssen Sie Git Bash for Windows installieren und die Befehle mit diesem Tool ausführen.