Detalles para el servicio Vault

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso al servicio Vault.

Tipos de recursos Individuales

vaults

keys

key-delegate

key-family

secrets

secret-versions

secret-bundles

Tipo de recurso agregado

secret-family

Una política que utiliza <verb> secret-family equivale a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos secret individuales. (Los tipos de recursos secretos solo incluyen secrets, secret-versions y secret-bundles).

Consulte en la tabla Detalles de combinaciones de verbo + tipo de recurso los detalles de las operaciones de API que cubre cada verbo para cada tipo de recurso individual incluido en secret-family.

Variables soportadas

Vault soporta todas las variables generales, además de las que se muestran aquí. Para obtener más información sobre las variables generales soportadas por los servicios de Oracle Cloud Infrastructure, consulte Variables generales para todas las solicitudes.

Variable Tipo de variable Comentarios
request.includePlainTextKey Cadena Utilice esta variable para controlar si devolver la clave de texto sin formato, además de la clave cifrada, en respuesta a una solicitud para generar una clave de cifrado de datos.
request.kms-key.id Cadena Utilice esta variable para controlar si los volúmenes en bloque o los cubos se pueden crear sin una clave de cifrado maestra de Vault.
target.boot-volume.kms-key.id Cadena Utilice esta variable para controlar si las instancias de Compute se pueden iniciar con volúmenes de inicio creados sin una clave de cifrado maestra de Vault.
target.key.id Entidad (OCID) Utilice esta variable para controlar el acceso a claves específicas por OCID.
target.vault.id Entidad (OCID) Utilice esta variable para controlar el acceso a almacenes específicos por OCID.
target.secret.name Cadena Utilice esta variable para controlar el acceso a secretos, versiones de secretos y grupos de secretos específicos por nombre.
target.secret.id Entidad (OCID) Utilice esta variable para controlar el acceso a secretos, versiones de secretos y grupos de secretos específicos por OCID.

Detalles para combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental.

Por ejemplo, el verbo use para el tipo de recurso keys incluye los mismos permisos y operaciones de API que el verbo read, además de los permisos KEY_ENCRYPT y KEY_DECRYPT y una serie de operaciones de API (Encrypt, Decrypt y GenerateDataEncryptionKey). El verbo manage permite aún más permisos y operaciones de API en comparación con el verbo use.

vaults
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

VAULT_INSPECT

ListVaults

ninguna

read

INSPECT +

VAULT_READ

INSPECT +

GetVault

ninguna

use

READ +

VAULT_CREATE_KEY

VAULT_IMPORT_KEY

VAULT_CREATE_SECRET

no extra

 

CreateKey (también necesita manage keys)

ImportKey (también necesita manage keys)

CreateSecret (también necesita manage secrets)

manage

USE +

VAULT_CREATE

VAULT_UPDATE

VAULT_DELETE

VAULT_MOVE

VAULT_BACKUP

VAULT_RESTORE

VAULT_REPLICATE

USE +

CreateVault

UpdateVault

ScheduleVaultDeletion

CancelVaultDeletion

ChangeVaultCompartment

BackupVault

RestoreVaultFromFile

RestoreVaultFromObjectStore

CreateVaultReplica

DeleteVaultReplica

ninguna

keys
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

KEY_INSPECT

ListKeys

ListKeyVersions

ninguna

read

INSPECT +

KEY_READ

INSPECT +

GetKey

GetKeyVersion

ninguna

use

READ +

KEY_ENCRYPT

KEY_DECRYPT

KEY_EXPORT

KEY_SIGN

KEY_VERIFY

READ +

Encrypt

GenerateDataEncryptionKey

Decrypt

ExportKey

Sign

Verify

ninguna

manage

USE +

KEY_CREATE

KEY_UPDATE

KEY_ROTATE

KEY_DELETE

KEY_MOVE

KEY_IMPORT

KEY_BACKUP

KEY_RESTORE

USE +

UpdateKey

DisableKey

EnableKey

CreateKeyVersion

ScheduleKeyDeletion

CancelKeyDeletion

ChangeKeyCompartment

ImportKeyVersion

BackupKey

RestoreKeyFromFile

RestoreKeyFromObjectStore

CreateKey (también necesita use vaults)

ImportKey (también necesita use vaults)

key-delegate
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
use

KEY_ASSOCIATE

KEY_DISASSOCIATE

Encrypt

GenerateDataEncryptionKey

Decrypt

ninguna

familia de claves

En este tema se proporciona una lista de verbos, permisos y operaciones de API para el tipo de recurso key-family.

Verbos Permisos Operaciones de API
inspect

KEY_INSPECT

VAULT_INSPECT

ListKeys

ListVaultReplicas

read

KEY_INSPECT

KEY_READ

VAULT_INSPECT

VAULT_READ

ListKeys

GetKey

ListVaultReplicas

GetVault

use

KEY_ASSOCIATE

KEY_DECRYPT

KEY_DISSOCIATE

KEY_ENCRYPT

KEY_INSPECT

KEY_READ

VAULT_CREATE_KEY

VAULT_INSPECT

VAULT_READ

Encrypt

Decrypt

GenerateDataEncryptionKey

Encrypt

ListKeys

GetKey

CreateKey

ListVaultReplicas

GetVault

manage

KEY_ASSOCIATE

KEY_BACKUP

KEY_CREATE

KEY_DECRYPT

KEY_DELETE

KEY_DISSOCIATE

KEY_ENCRYPT

VAULT_INSPECT

VAULT_MOVE

Encrypt

BackupKey

CreateKey

Decrypt

ScheduleKeyDeletion

GenerateDataEncryptionKey

Encrypt

ListVaultReplicas

ChangeVaultCompartment

secrets
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

SECRET_INSPECT

ListSecrets

ninguna

read

INSPECT +

SECRET_READ

INSPECT +

GetSecret

ninguna

use

READ +

SECRET_UPDATE

READ +

UpdateSecret

READ +

ChangeSecretCompartment (también necesita manage secrets)

ScheduleSecretVersionDeletion (también necesita manage secret-versions)

CancelSecretVersionDeletion (también necesita manage secret-versions)

manage

USE +

SECRET_CREATE

SECRET_DELETE

SECRET_MOVE

USE +

ScheduleSecretDeletion

CancelSecretDeletion

USE +

CreateSecret (también necesita use vaults)

ChangeSecretCompartment (también necesita use secrets)

secret-versions
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

SECRET_VERSION_INSPECT

ListSecretVersions

ninguna

read

INSPECT +

SECRET_VERSION_READ

INSPECT +

GetKeyVersion

ninguna

manage

READ +

SECRET_VERSION_DELETE

no extra

ScheduleSecretVersionDeletion (también necesita use secrets)

CancelSecretVersionDeletion (también necesita use secrets)

secret-bundles
Verbos Permisos API totalmente cubiertas API parcialmente cubiertas
inspect

SECRET_BUNDLE_INSPECT

ListSecretBundles

ninguna

read

INSPECT +

SECRET_BUNDLE_READ

INSPECT +

GetSecretBundle

ninguna

Permisos necesarios para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Para obtener más información sobre los permisos, consulte Permisos.

Operación de API Permisos necesarios para utilizar la operación
ListVaults VAULT_INSPECT
GetVault VAULT_READ
CreateVault VAULT_CREATE
UpdateVault VAULT_UPDATE
ScheduleVaultDeletion VAULT_DELETE
CancelVaultDeletion VAULT_DELETE
ChangeVaultCompartment VAULT_MOVE
BackupVault VAULT_BACKUP
RestoreVaultFromFile VAULT_RESTORE
RestoreVaultFromObjectStore VAULT_RESTORE
ListVaultReplicas VAULT_INSPECT
CreateVaultReplica VAULT_REPLICATE
DeleteVaultReplica VAULT_REPLICATE
ListKeys KEY_INSPECT
ListKeyVersions KEY_INSPECT
GetKey KEY_READ
CreateKey KEY_CREATE y VAULT_CREATE_KEY
EnableKey KEY_UPDATE
DisableKey KEY_UPDATE
UpdateKey KEY_UPDATE
ScheduleKeyDeletion KEY_DELETE
CancelKeyDeletion KEY_DELETE
ChangeKeyCompartment KEY_MOVE
BackupKey KEY_BACKUP
RestoreKeyFromFile KEY_RESTORE
RestoreKeyFromObjectStore KEY_RESTORE
GetKeyVersion KEY_READ
CreateKeyVersion KEY_ROTATE
ImportKey KEY_IMPORT y VAULT_IMPORT_KEY
ImportKeyVersion KEY_IMPORT
ExportKey KEY_EXPORT
GenerateDataEncryptionKey KEY_ENCRYPT
Encrypt KEY_ENCRYPT
Decrypt KEY_DECRYPT
Sign KEY_SIGN
Verify KEY_VERIFY
CreateSecret SECRET_CREATE y VAULT_CREATE_SECRET
UpdateSecret SECRET_UPDATE
ListSecrets SECRET_INSPECT
GetSecret SECRET_READ
ScheduleSecretDeletion SECRET_DELETE
ChangeSecretCompartment SECRET_MOVE y SECRET_UPDATE
ListSecretVersions SECRET_VERSION_INSPECT
GetSecretVersion SECRET_VERSION_READ
ScheduleSecretVersionDeletion SECRET_VERSION_DELETE y SECRET_UPDATE
CancelSecretVersionDeletion SECRET_VERSION_DELETE y SECRET_UPDATE
ListSecretBundles SECRET_BUNDLE_INSPECT
GetSecretBundle SECRET_BUNDLE_READ
GetSecretBundleByName SECRET_BUNDLE_READ