Key Management
Key Management Service es un servicio de OCI que almacena y gestiona claves para el acceso seguro a los recursos.
El servicio de gestión de claves (KMS) de Oracle Cloud Infrastructure (OCI) es un servicio basado en la nube que proporciona gestión y control centralizados de las claves de cifrado para los datos almacenados en OCI.
OCI KMS tiene las siguientes capacidades:
- Simplifica la gestión de claves mediante el almacenamiento y la gestión centralizados de claves de cifrado.
- Proteja los datos estáticos y en tránsito mediante la compatibilidad con varios tipos de claves de cifrado, incluidas las claves simétricas y las claves asimétricas.
- Aborda los requisitos de seguridad y conformidad brindándote más control sobre Trae tus propias claves (BYOK) a OCI, créalas en OCI o mantén tus propias claves (HYOK) externas a OCI. También puede usar módulos de seguridad de hardware (HSM) con certificación FIPS 140-2 de nivel 3 para almacenar y proteger las claves de cifrado.
- Integre el cifrado con otros servicios de OCI como el almacenamiento, la base de datos y Fusion Applications para proteger los datos almacenados en estos servicios.
Conceptos de gestión de secretos y claves
Comprenda los conceptos de gestión de claves y almacén para acceder y gestionar el almacén, las claves y los secretos.
- Almacenes
- Los almacenes son entidades lógicas en las que el servicio Vault crea y almacena de forma duradera claves y secretos de almacén. El tipo de almacén que tenga determinará las funciones y funcionalidades, como grados de aislamiento del almacenamiento, acceso a gestión y cifrado, escalabilidad y capacidad de realizar copias de seguridad. El tipo de almacén que tenga también afecta a la asignación de precios. No puede cambiar el tipo de un almacén después de crear el almacén.
- Claves
- Las claves son entidades lógicas que representan una o más versiones de clave, cada una de las cuales contiene material criptográfico. El material criptográfico de una clave de almacén se genera para un algoritmo específico que le permite utilizar la clave para el cifrado o la firma digital. Cuando se utiliza para el cifrado, un par de claves o claves cifra y descifra datos, protegiendo los datos donde se almacenan los datos o mientras los datos están en tránsito. Con una clave simétrica AES, la misma clave cifra y descifra los datos. Con una clave asimétrica RSA, la clave pública cifra los datos y la clave privada descifra los datos.
- Versiones y rotaciones de claves
- A cada clave de cifrado maestra de almacén se le asigna automáticamente una versión de clave. Al rotar una clave, el servicio Vault genera una nueva versión de clave. El servicio Vault puede generar el material de claves para la nueva versión de claves o puede importar su propio material de claves.
- Rotación Automática de Claves
-
El servicio de gestión de claves de OCI permite programar automáticamente la rotación de claves. Un programa de rotación define la frecuencia de rotación de una clave de cifrado (en estado Activado) y la fecha de inicio del programa de rotación. Al programar la rotación automática, puede definir el programa de rotación de claves que oscila entre 60 y 365 días. KMS admite la rotación automática de claves tanto para HSM como para claves de software, y esto es aplicable tanto para claves simétricas como asimétricas.Nota
Esta función solo está disponible para almacenes privados.Las características destacadas de la rotación automática de claves son:- Permite activar o actualizar programas de rotación automática de claves para claves.
- Capacidad para realizar un seguimiento de las actividades de rotación automática de claves, como el estado de rotación automática, la actualización periódica de rotación de claves, el último estado de rotación correcta o la siguiente fecha de inicio de rotación con la granularidad de una clave.
- La capacidad de rotar claves a demanda (operación manual) independientemente de la rotación automática de claves está activada o desactivada.
- Envíe una notificación de evento cuando falle la rotación de claves debido a problemas como la limitación de capacidad del inquilino, la clave o el almacén en estado incorrecto, etc.
Notificación de evento de rotación automática: KMS envía la notificación de estado de rotación de ley automática. Para recibir estas notificaciones, debe configurar el servicio OCI Events. Después de cada rotación de claves, KMS envía una notificación sobre el estado de rotación y los mensajes de error, si los hay. El servicio OCI Events permite asociar una función de Oracle para ejecutar cualquier lógica personalizada para volver a cifrar los datos con una nueva versión de clave seguida de la supresión de la versión de clave antigua o la distribución de la parte pública de claves asimétricas para agregar o verificar los datos.
- MÓDULOS DE SEGURIDAD DE HARDWARE
- Al crear una clave de cifrado maestra simétrica de AES con el modo de protección definido en HSM, el servicio Vault almacena la versión de clave en un módulo de seguridad de hardware (HSM) para proporcionar una capa de seguridad física. (Al crear un secreto, las versiones del secreto están codificadas en base64 y cifradas con una clave de cifrado maestra, pero no se almacenan en HSM). Después de crear los recursos, el servicio mantiene copias de cualquier versión de clave o versión de secreto determinada dentro de la infraestructura de servicio para proporcionar resiliencia ante fallos de hardware. Las claves de versión protegidas por HSM no se almacenan en ningún otro lugar y no se pueden exportar de ningún HSM.
- CIFRADO DE SOBRE
- La clave de cifrado de datos utilizada para cifrar los datos se cifra, por sí misma, con una clave de cifrado maestra. Este concepto se denomina cifrado de sobres. Los servicios de Oracle Cloud Infrastructure no tienen acceso a los datos de texto sin formato sin interactuar con el servicio Vault ni acceder a la clave de cifrado maestra protegida por Oracle Cloud Infrastructure Identity and Access Management (IAM). Para el cifrado, los servicios integrados como Object Storage, Block Volumes y File Storage solo almacenan la forma cifrada de la clave de cifrado de datos.
- SECRETOS
- Los secretos son credenciales como contraseñas, certificados, claves SSH o tokens de autenticación que se utilizan con los servicios de Oracle Cloud Infrastructure. Almacenar secretos en un almacén proporciona una mayor seguridad que la que puede conseguir almacenándolos en otro lugar, como en archivos de configuración o código. Puede recuperar secretos del servicio Vault cuando los necesite para acceder a recursos u otros servicios.
- VERSIONES DEL SECRETO
- A cada secreto se le asigna automáticamente una versión. Al rotar el secreto, proporciona nuevo contenido del secreto al servicio Vault para generar una nueva versión del secreto. La rotación periódica del contenido del secreto reduce el impacto en caso de que se exponga un secreto. Un identificador único de secreto asignado por Oracle, denominado ID de Oracle Cloud (OCID), no varía entre las diferentes rotaciones, pero la versión del secreto permite al servicio Vault rotar el contenido del secreto para cumplir con las reglas o los requisitos de conformidad que pueda tener. Aunque no puede utilizar el contenido de una versión del secreto anterior después de rotarla si tiene una regla configurada para evitar la reutilización del secreto, la versión del secreto permanece disponible y se marca con un estado de rotación distinto de "actual". Para obtener más información sobre las versiones del secreto y sus estados de rotación, consulte Versiones del secreto y estados de rotación.
- GRUPOS DE SECRETOS
- Un paquete de secreto de almacén consta del contenido del secreto, las propiedades del secreto y la versión del secreto (como el número de versión o el estado de rotación) y los metadatos contextuales proporcionados por el usuario para el secreto. Al rotar un secreto, se crea una nueva versión del secreto, que también incluye una nueva versión del grupo de secretos.
Regiones y dominios disponibilidad
El servicio de almacén está disponible en todas las regiones comerciales de Oracle Cloud Infrastructure. Consulte Acerca de las regiones y los dominios de disponibilidad para obtener la lista de regiones disponibles, junto con las ubicaciones, los identificadores de región, las claves de región y los dominios de disponibilidad asociados.
Sin embargo, a diferencia de algunos servicios de Oracle Cloud Infrastructure, el servicio Vault no tiene un punto final regional para todas las operaciones de la API. El servicio tiene un punto final regional para el servicio de aprovisionamiento que gestiona las operaciones de creación, actualización y lista de almacenes. Para las operaciones de creación, actualización y lista de claves, los puntos finales de servicio se distribuyen entre varios clusters independientes. Los puntos finales de servicio para secretos se distribuyen más en diferentes clusters independientes.
Dado que el servicio Vault tiene puntos finales públicos, puede utilizar directamente claves de cifrado de datos generadas por el servicio para operaciones criptográficas en las aplicaciones. Sin embargo, si desea utilizar claves de cifrado maestras con un servicio que esté integrado con Vault, solo puede hacerlo cuando el servicio y el almacén que contiene la clave estén en la misma región. Existen diferentes puntos finales para operaciones de gestión de claves, operaciones criptográficas de clave, operaciones de gestión de secretos y operaciones de recuperación de secretos. Para obtener más información, consulte Documentación de API de Oracle Cloud Infrastructure
El servicio Vault mantiene copias de los almacenes y su contenido para mantenerlos de forma duradera y para que el servicio Vault pueda producir claves o secretos a petición, incluso cuando un dominio de disponibilidad no esté disponible. Esta replicación es independiente de cualquier replicación entre regiones que un cliente pueda configurar.
Para las regiones con varios dominios de disponibilidad, el servicio Vault mantiene copias de claves de cifrado en todos los dominios de disponibilidad de la región. Las regiones con varios dominios de disponibilidad tienen un rack por cada dominio de disponibilidad, lo que significa que la replicación tiene lugar en un total de tres racks de estas regiones, donde cada rack pertenece a un dominio de disponibilidad diferente. En regiones con un único dominio de disponibilidad, el servicio Vault mantiene copias de claves de cifrado en los dominios de errores.
En el caso de los secretos, en regiones con varios dominios de disponibilidad, el servicio Vault distribuye copias secretas entre dos dominios de disponibilidad diferentes. En regiones con un único dominio de disponibilidad, el servicio Vault distribuye las copias entre los dos dominios de errores diferentes.
Cada dominio de disponibilidad incluye tres dominios de errores. Los dominios de errores ayudan a proporcionar una alta disponibilidad y tolerancia a fallos al permitir que el servicio Vault distribuya recursos entre diferentes hardware físico dentro de un dominio de disponibilidad determinado. El hardware físico también tiene fuentes de alimentación independientes y redundantes que evitan que una interrupción de energía en un dominio de errores afecte a otros dominios de errores.
Todo ello hace posible que el servicio Vault genere claves y secretos bajo solicitud, incluso cuando un dominio de disponibilidad no está disponible en una región con varios dominios de disponibilidad o cuando un dominio de errores no está disponible en una región con un solo dominio de disponibilidad.
Acceso privado a Vault
El servicio Vault admite el acceso privado desde recursos de Oracle Cloud Infrastructure en una red virtual en la nube (VCN) mediante un gateway de servicio. La configuración y el uso de un gateway de servicio en una VCN permite a los recursos (como las instancias a las que están asociados los volúmenes cifrados) acceder a servicios públicos de Oracle Cloud Infrastructure, como el servicio Vault, sin exponerlos a Internet. No es necesario ningún gateway de Internet y los recursos pueden estar en una subred privada y utilizar solo direcciones IP privadas. Para obtener más información, consulte Acceso a Oracle Services: Gateway de servicio.
Identificadores de recursos
El servicio Vault admite almacenes, claves y secretos como recursos de Oracle Cloud Infrastructure. La mayoría de los tipos de recursos de Oracle Cloud Infrastructure tienen un identificador único asignado por Oracle denominado Oracle Cloud ID (OCID). Para obtener información sobre el formato del OCID y otras formas de identificar los recursos, consulte Identificadores de recursos. Consulte Identificadores de recursos.
Formas de acceder a Oracle Cloud Infrastructure
Puede acceder a Oracle Cloud Infrastructure introduciendo su cuenta en la nube.
Puede acceder a Oracle Cloud Infrastructure (OCI) utilizando la consola (una interfaz basada en explorador), la API de REST o la CLI de OCI. A lo largo de esta documentación se incluyen temas con instrucciones para utilizar la consola, la API y la CLI. Para obtener una lista de los SDK disponibles, consulte Software development kits e interfaz de línea de comandos.
Para acceder a la Console, debe utilizar un explorador soportado. Para ir a la página de conexión de la Consola, abra el menú de navegación situado en la parte superior de esta página y haga clic en Consola de Infrastructure. Se le solicitará que introduzca el inquilino en la nube, el nombre de usuario y la contraseña.
Autenticación y autorización
Cada servicio de Oracle Cloud Infrastructure se integra con IAM con fines de autenticación y autorización para todas las interfaces (la consola, el SDK o la CLI, y la API de REST).
Un administrador de la organización debe configurar grupos , compartimentos y políticas que controlen los usuarios que pueden acceder a determinados servicios, recursos y el tipo de acceso. Por ejemplo, las políticas controlan quién puede crear usuarios, crear y gestionar la red en la nube, iniciar instancias, crear cubos, descargar objetos, etc. Para obtener más información, consulte Introducción a las políticas. Para obtener detalles específicos sobre la escritura de políticas de los distintos servicios, consulte Referencia de políticas.
Si es un usuario normal (no un administrador) que necesita utilizar los recursos de Oracle Cloud Infrastructure que posee su compañía, póngase en contacto con el administrador para que configure su identificador de usuario. El administrador le confirmará qué compartimentos debe usar.
Límites de los recursos de Vault
Conozca la limitación del servicio de almacén y su uso de recursos antes de empezar a utilizarlos.
Para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite, consulte Límites de servicio. Para definir límites específicos de compartimentos en un recurso o familia de recursos, los administradores pueden utilizar cuotas de compartimento.
Para obtener instrucciones para ver el nivel de uso en relación con los límites de recursos del arrendamiento, consulte Visualización de límites, cuotas y uso de servicio. También puede obtener el uso de cada almacén individual en relación a los límites de clave visualizando los recuentos de claves y versiones de claves en los detalles del almacén.