Oracle Cloud Infrastructure-Dokumentation

Eigenen Masterschlüssel mit Roving Edge Infrastructure-Geräten verwenden

Erfahren Sie, wie Sie einen vom Benutzer bereitgestellten KMS-basierten Masterschlüssel einrichten, um Secret-Informationen auf Roving Edge-Geräten zu verwalten. Dies gilt nur für ältere Roving Edge Devices (von Oracle bereitgestellt).

Wichtig

Dieser Abschnitt gilt nicht für Roving Edge-Geräte, die selbst bereitgestellt sind. Bei solchen Geräten werden die Schlüssel-Passphrasen beim Provisioning generiert, und sie verlassen das Gerät nie. Weitere Informationen zu Wiederherstellungsschlüsseln auf solchen Geräten finden Sie unter "Roving Edge Infrastructure Device wiederherstellen, nachdem Sie den Masterschlüssel gezerrt haben.

Auf älteren Roving Edge-Geräten (von Oracle bereitgestellte Geräte) verwaltet Oracle Secret-Informationen auf Ihren Roving Edge Infrastructure-Geräten, wie die Superuser-Passphrase und das Entsperren des Kennworts, mit einem KMS-basierten Masterschlüssel. Oracle verwendet außerdem ein Hardwaresicherheitsmodul, um diese Daten weiter zu schützen. Alternativ dazu, dass Sie sich bei der Verwaltung dieser Secret-Daten auf den Masterschlüssel von Oracle verlassen, können Sie jedoch Ihren eigenen KMS-basierten Masterschlüssel aus Ihrem eigenen OCI-Mandanten angeben.

Hinweis

Sie können nur beim Erstellen der Knotenressource einen eigenen Masterschlüssel angeben. Sie können eine vorhandene Knotenressource nicht bearbeiten, um Ihren eigenen Masterschlüssel zu verwenden, den die Ressource ursprünglich mit einem von Oracle bereitgestellten Masterschlüssel erstellt wurde.

Masterschlüssel-Policy schreiben

Um Ihren eigenen Masterschlüssel zu verwenden, müssen Sie zunächst eine Policy schreiben, die diese Funktion mit einer der folgenden Methoden autorisiert:

  • Oracle Cloud Infrastructure-Konsole verwenden:

    Erstellen Sie die folgende Policy:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = master-key-id

    Dabei ist master-key-id die Masterschlüssel-OCID im Kundenmandanten, mit der Kunden-Secret-Informationen wie das Superuser-Kennwort und die Entsperrung der Passphrase verschlüsselt werden. Beispiel:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = 'ocid1.key.region1..exampleuniqueID'

  • CLI verwenden:

    Geben Sie folgenden Befehl ein:

    oci rover policy create-master-key-policy --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Beispiel:

    oci rover policy create-master-key-policy --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Vault und Masterschlüssel auswählen

Nachdem Sie die Policy geschrieben haben, wählen Sie Ihren Vault- und Masterschlüssel und die Compartments, in denen sie sich befinden, mit einer der folgenden Methoden aus:

  • Oracle Cloud Infrastructure-Konsole verwenden:

    Wenn Sie eine Roving Edge Infrastructure-Knotenressource mit dem Dialogfeld "Erstellen" in der Oracle Cloud Infrastructure-Konsole erstellen, wird der Abschnitt Verschlüsselungsschlüssel angezeigt. Wählen Sie hier eine der folgenden Optionen:

    • Mit von Oracle verwalteten Schlüsseln verschlüsseln: Wählen Sie aus, ob die Schlüsselverschlüsselung vom Oracle Cloud Infrastructure-Service verwaltet werden soll. Keine weitere Maßnahme ist erforderlich.

    • Mit vom Kunden verwalteten Schlüsseln verschlüsseln: Geben Sie Ihren eigenen Verschlüsselungsschlüssel an.

      Wenn Sie Ihren eigenen Schlüssel angeben, werden im Abschnitt "Verschlüsselungsschlüssel" die zusätzlichen Felder angezeigt:

      • Vault-Compartment: Wählen Sie das Compartment mit dem gewünschten Vault in der Liste aus.

      • Vault: Wählen Sie einen der Vaults in der Liste aus, die in dem zuvor ausgewählten Vault Compartment enthalten ist.

      • Masterverschlüsselungsschlüssel-Compartment: Wählen Sie in der Liste das Compartment mit dem gewünschten Masterverschlüsselungsschlüssel aus.

      • Masterverschlüsselungsschlüssel: Wählen Sie einen der Masterverschlüsselungsschlüssel aus der Liste innerhalb des zuvor ausgewählten Masterverschlüsselungsschlüssels aus.

  • CLI verwenden:

    Nehmen Sie die Option master-key-id auf, wenn Sie die Roving Edge Infrastructure-Knotenressource erstellen. Beispiel:

    oci rover node create --display-name display_name --compartment-id compartment_ocid --shape shape --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Beispiel:

    oci rover node create --display-name 'test1' --compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --shape RED.2.56.GPU --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Nachdem die Masterschlüssel-Policy eingerichtet wurde, wird RCS aufgerufen, um den Zugriff auf den Vault beim Erstellen des Knotens zu validieren.