Oracle Cloud Infrastructure - Dokumentation

Funktionsweise externer KMS

Erfahren Sie mehr über das EKMS-Modell (External Key Management Service), einschließlich der Vorgänge, die innerhalb und außerhalb von Oracle Cloud Infrastructure (OCI) ausgeführt werden.

Mit EKMS können Sie Verschlüsselungsschlüssel On-Premises mit Schlüsselverwaltungssystemen von Drittanbietern hosten. OCI-Services lassen sich über OCI KMS-APIs mit EKMS integrieren, um kryptografische Vorgänge auszuführen. Zu den wichtigsten Eigenschaften von EKMS gehören:
  • Das Schlüsselmaterial, das in Schlüsselverwaltungssystemen von Drittanbietern erstellt wurde, wird nie in Oracle Cloud importiert.
  • Kryptografische Vorgänge werden im Schlüsselverwaltungssystem eines Drittanbieters ausgeführt.
  • Nur die Schlüsselreferenzen werden in OCI-Vaults gespeichert. Das bedeutet, dass alle Schlüsselverwaltungsvorgänge im Schlüsselverwaltungssystem eines Drittanbieters verbleiben.
  • Wenn der Zugriff auf das Drittanbietersystem entzogen wird, schlagen kryptografische Vorgänge in OCI fehl.
  • Das Verhalten ist für OCI EKMS in allen Public Cloud- und Alloy-Umgebungen von Oracle konsistent.

OCI setzt die folgenden Timeout-Limits durch:

  • Lesetimeout: 1 Sekunde
  • Verbindungstimeout: 500 Millisekunden

OCI richtet diese Grenzwerte absichtlich an nachgelagerte Service-Timeout-Constraints aus, um ein konsistentes Verhalten sicherzustellen und kaskadierende Fehler zu vermeiden. Wenn EKMS eine Anforderung nicht innerhalb des Zeitüberschreitungsfensters "Lesen" abschließt, wird die Anforderung erneut ausgeführt. Wenn die Anforderung weiterhin nicht erfolgreich ist, gibt EKMS eine Timeoutantwort an den nachgelagerten Dienst zurück.

Externe KMS-Integration

OCI-Services wie Object Storage und Database können EKMS-verwaltete Schlüssel für ihre Workloads verwenden. Die Integration basiert auf Branchenstandardprotokollen und sicherer Konnektivität, darunter:

Externer KMS-Workflow
  1. OCI-Services verwenden EKMS-verwaltete Schlüssel für ihre Workloads.
  2. EKMS verwendet OAuth2, um Anforderungen zu authentifizieren, indem ein vom Kunden erteiltes Bearer-Token in den Autorisierungsheader aufgenommen wird.
  3. Alle kryptografischen Vorgänge werden über eine sichere Netzwerkverbindung an das On-Premise-HSM übertragen.
  4. Der Management-Service eines Drittanbieters prüft das JWT-Token OAuth2 vom OCI Identity-Service, bevor Vorgänge zugelassen werden.

Metadaten und Schlüsselreferenzen werden im OCI-Vault gespeichert, während die tatsächlichen Schlüssel im HSM eines Drittanbieters verbleiben.