Vault-Schlüssel und Schlüsselversionen importieren
Wenn Sie importiertes Schlüsselmaterial verwenden, bleiben Sie für das Schlüsselmaterial verantwortlich, während der Vault-Service eine Kopie davon verwenden kann.
- Verwenden Sie Schlüsselmaterial, das von einem Tool oder einer Quelle basierend auf Ihren Anforderungen generiert wird.
- Verwenden Sie das gleiche Schlüsselmaterial wie bei anderen Cloud- oder On-Premise-Systemen.
- Verwalten Sie das Schlüsselmaterial, dessen Ablauf und Löschen im Vault-Service.
- Sie können das Schlüsselmaterial außerhalb von Oracle Cloud Infrastructure für zusätzliche Dauerhaftigkeit und zu Recovery-Zwecken besitzen und verwalten.
| Schlüsseltyp | Unterstützte Schlüsselgröße |
|---|---|
| Symmetrische Schlüssel: Auf Advanced Encryption Standard-(AES-)Algorithmen basierende symmetrische Schlüssel werden zur Verschlüsselung oder Entschlüsselung verwendet. | Sie können AES-Schlüssel mit einer der folgenden Längen importieren:
|
| Asymmetrische Schlüssel: Rivest-Shamir-Adleman-(RSA-)algorithmusbasierte assymetrische Schlüssel werden zum Verschlüsseln, Entschlüsseln, Signieren oder Prüfen verwendet. | Sie können RSA-Schlüssel mit einer der folgenden Längen importieren:
|
Auf Elliptic Curve Cryptography Digital Signature Algorithm (ECDSA) basierende asymmetrische Schlüssel können nicht importiert werden.
Die Länge des Schlüsselmaterials muss mit dem übereinstimmen, was Sie beim Erstellen oder Importieren eines Schlüssels angegeben haben. Bevor Sie einen Schlüssel importieren können, müssen Sie das Schlüsselmaterial mit dem öffentlichen Wrapping-Schlüssel umbrechen, der mit jedem Vault bereitgestellt wird. Das Wrapping-Schlüsselpaar des Vaults ermöglicht es dem HSM, den Schlüssel sicher zu entpacken und aufzubewahren. Um die Compliance der Zahlungskartenbranche (PCI) zu erfüllen, können Sie keinen Schlüssel importieren, der stärker ist als der Schlüssel, mit dem Sie ihn umwickeln.
Vault-Wrapping-Schlüssel sind 4096-Bit-RSA-Schlüssel. Um die PCI-Compliance zu erfüllen, können Sie daher keine AES-Schlüssel importieren, die länger als 128 Bit sind. Beachten Sie, dass der Wrapping-Schlüssel zum Zeitpunkt der Vault-Erstellung erstellt wird und exklusiv für den Vault ist. Sie können einen umschließenden Schlüssel jedoch nicht erstellen, löschen oder rotieren.
Wenn Sie mit der CLI einen neuen externen Schlüssel oder eine externe Schlüsselversion erstellen möchten, muss das Schlüsselmaterial base64-codiert werden.
Erforderliche IAM-Policy
Mit Volumes, Buckets, Dateisystemen, Clustern und Streampools verknüpfte Schlüssel funktionieren nur, wenn Sie Block Volume, Object Storage, File Storage, Kubernetes Engine und Streaming autorisieren, Schlüssel in Ihrem Namen zu verwenden. Außerdem müssen Sie Benutzern die Berechtigung erteilen, die Schlüsselverwendung an diese Services zu delegieren. Weitere Informationen finden Sie unter Delegieren der Schlüsselverwendung in einem Compartment durch eine Benutzergruppe zulassen und Policy zum Aktivieren von Verschlüsselungsschlüsseln erstellen unter Allgemeine Policys. Mit Datenbanken verknüpfte Schlüssel funktionieren nur, wenn Sie eine dynamische Gruppe autorisieren, die alle Knoten im DB-System enthält, um Schlüssel im Mandanten zu verwalten. Weitere Informationen finden Sie unter Erforderliche IAM-Policy in Exadata Cloud Service
Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.
Für Administratoren: Informationen zu typischen Policys, die Zugriff auf Vaults, Schlüssel und Secrets gewähren, finden Sie unter Verwalten von Vaults, Schlüsseln und Secrets durch Sicherheitsadministratoren zulassen. Weitere Informationen zu Berechtigungen oder zum Schreiben von restriktiveren Policys finden Sie unter Details zum Vault-Service.
Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.
Bevor Sie beginnen
Um Ihren eigenen Schlüssel zu verwenden, müssen Sie das Schlüsselmaterial vor dem Import mit RSA - Optimal Asymmetric Encryption Padding (OAEP) umschließen. Die Transformation des Schlüsselmaterials bietet eine zusätzliche Schutzebene, indem nur das Hardwaresicherheitsmodul (HSM) im Besitz des privaten RSA-Wrapping-Schlüssels zum Auspacken des Schlüssels ermöglicht wird.
| Schlüsseltyp | Unterstützter Wrapping-Mechanismus |
|---|---|
| Symmetrischer Schlüssel (AES) |
|
| Asymmetrischer Schlüssel (RSA) | RSA_OAEP_AES_SHA256 (RSA-OAEP mit einem SHA-256-Hash und einem temporären AES-Schlüssel) |
Informationen zum Abrufen des RSA-Wrapping-Schlüssels für einen Vault finden Sie unter Public RSA-Wrapping-Schlüssel abrufen.
Wenn Sie MacOS oder Linux verwenden, müssen Sie die OpenSSL 1.1.1-Serie installieren, um Befehle auszuführen. Wenn Sie RSA_OAEP_AES_SHA256-Wrapping verwenden möchten, müssen Sie auch einen OpenSSL-Patch installieren, der es unterstützt. Informationen hierzu finden Sie unter OpenSSL zum Umbrechen von Schlüsselmaterial konfigurieren. Wenn Sie Windows verwenden, müssen Sie Git Bash für Windows installieren und Befehle ausführen.