Oracle Cloud Infrastructure-Dokumentation

Eigenen Masterschlüssel mit Roving Edge Infrastructure-Geräten verwenden

Erfahren Sie, wie Sie einen vom Benutzer bereitgestellten KMS-basierten Masterschlüssel zur Verwaltung von Secret-Informationen auf Roving Edge Infrastructure-Geräten einrichten.

Wichtig

Bei Roving Edge-Geräten, die selbst bereitgestellt werden, verwalten Sie die Masterschlüssel-Passphrase und alle Kennwörter sowie den Wiederherstellungsschlüssel. Speichern Sie die Passphrase, das Kennwort und den Wiederherstellungsschlüssel an einem sicheren Ort wie OCI Vault. Wenn Sie die Passphrase zum Entsperren und den Wiederherstellungsschlüssel vergessen, kann Oracle Ihnen nicht helfen, das Gerät wiederherzustellen, und das Gerät muss ersetzt werden.

Auf älteren Roving Edge-Geräten (von Oracle bereitgestellte Geräte) verwaltet Oracle Secret-Informationen auf Ihren Roving Edge Infrastructure-Geräten, wie die Superuser-Passphrase und das Entsperren des Kennworts, mit einem KMS-basierten Masterschlüssel. Oracle verwendet außerdem ein Hardwaresicherheitsmodul, um diese Daten weiter zu schützen. Alternativ dazu, dass Sie sich bei der Verwaltung dieser Secret-Daten auf den Masterschlüssel von Oracle verlassen, können Sie jedoch Ihren eigenen KMS-basierten Masterschlüssel aus Ihrem eigenen OCI-Mandanten angeben.

Hinweis

Sie können nur beim Erstellen der Knotenressource einen eigenen Masterschlüssel angeben. Sie können eine vorhandene Knotenressource nicht bearbeiten, um Ihren eigenen Masterschlüssel zu verwenden, den die Ressource ursprünglich mit einem von Oracle bereitgestellten Masterschlüssel erstellt wurde.

Masterschlüssel-Policy schreiben

Um Ihren eigenen Masterschlüssel zu verwenden, müssen Sie zunächst eine Policy schreiben, die diese Funktion mit einer der folgenden Methoden autorisiert:

  • Oracle Cloud Infrastructure-Konsole verwenden:

    Erstellen Sie die folgende Policy:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = master-key-id

    Dabei ist master-key-id die Masterschlüssel-OCID im Kundenmandanten, mit der Kunden-Secret-Informationen wie das Superuser-Kennwort und die Entsperrung der Passphrase verschlüsselt werden. Beispiel:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = 'ocid1.key.region1..exampleuniqueID'

  • CLI verwenden:

    Geben Sie folgenden Befehl ein:

    oci rover policy create-master-key-policy --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Beispiel:

    oci rover policy create-master-key-policy --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Vault und Masterschlüssel auswählen

Nachdem Sie die Policy geschrieben haben, wählen Sie Ihren Vault- und Masterschlüssel und die Compartments, in denen sie sich befinden, mit einer der folgenden Methoden aus:

  • Oracle Cloud Infrastructure-Konsole verwenden:

    Wenn Sie eine Roving Edge Infrastructure-Knotenressource mit dem Dialogfeld "Erstellen" in der Oracle Cloud Infrastructure-Konsole erstellen, wird der Abschnitt Verschlüsselungsschlüssel angezeigt. Wählen Sie hier eine der folgenden Optionen:

    • Mit von Oracle verwalteten Schlüsseln verschlüsseln: Wählen Sie aus, ob die Schlüsselverschlüsselung vom Oracle Cloud Infrastructure-Service verwaltet werden soll. Keine weitere Maßnahme ist erforderlich.

    • Mit vom Kunden verwalteten Schlüsseln verschlüsseln: Geben Sie Ihren eigenen Verschlüsselungsschlüssel an.

      Wenn Sie Ihren eigenen Schlüssel angeben, werden im Abschnitt "Verschlüsselungsschlüssel" die zusätzlichen Felder angezeigt:

      • Vault-Compartment: Wählen Sie das Compartment mit dem gewünschten Vault in der Liste aus.

      • Vault: Wählen Sie einen der Vaults in der Liste aus, die in dem zuvor ausgewählten Vault Compartment enthalten ist.

      • Masterverschlüsselungsschlüssel-Compartment: Wählen Sie in der Liste das Compartment mit dem gewünschten Masterverschlüsselungsschlüssel aus.

      • Masterverschlüsselungsschlüssel: Wählen Sie einen der Masterverschlüsselungsschlüssel aus der Liste innerhalb des zuvor ausgewählten Masterverschlüsselungsschlüssels aus.

  • CLI verwenden:

    Nehmen Sie die Option master-key-id auf, wenn Sie die Roving Edge Infrastructure-Knotenressource erstellen. Beispiel:

    oci rover node create --display-name display_name --compartment-id compartment_ocid --shape shape --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Beispiel:

    oci rover node create --display-name 'test1' --compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --shape RED.2.56.GPU --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Nachdem die Masterschlüssel-Policy eingerichtet wurde, wird RCS aufgerufen, um den Zugriff auf den Vault beim Erstellen des Knotens zu validieren.