Asignación de claves de cifrado maestras
Asigne claves de cifrado maestras a los recursos admitidos y elimínelas cuando ya no se necesiten.
En lugar de utilizar una clave de cifrado que gestione Oracle, puede asignar claves de cifrado maestras que gestione para bloquear o iniciar volúmenes, bases de datos, sistemas de archivos, cubos y pools de flujos. El volumen en bloque, la base de datos, el almacenamiento de archivos, el almacenamiento de objetos y el flujo utilizan las claves para descifrar las claves de cifrado de datos que protegen los datos almacenados por cada servicio correspondiente. De manera predeterminada, estos servicios se basan en claves de cifrado maestras gestionadas por Oracle para operaciones criptográficas. Al eliminar una asignación de clave de cifrado maestra de almacén de un recurso, el servicio vuelve a utilizar una clave gestionada por Oracle para la criptografía.
También puede asignar claves de cifrado maestras a clusters que cree mediante Kubernetes Engine para cifrar los secretos de Kubernetes en reposo en el almacén de clave-valor etcd.
La asignación de claves incluye las siguientes configuraciones:
- Creación de una instancia informática con un volumen de inicio cifrado
- Creación de un volumen de inicio cifrado con una clave de almacén
- Creación de un cluster de Kubernetes con secretos cifrados
- Asignación de una clave a un cubo de Object Storage
- Asignación de una clave a un pool de flujos
- Asignación de una clave a un volumen de inicio
- Asignación de una clave a un sistema de archivos
- Asignación de una clave a un volumen en bloque
- Edición de una clave en un volumen de inicio
- Edición de una clave en un volumen en bloque
- Eliminación de una asignación de clave de un volumen en bloque
- Eliminación de una asignación de clave de un almacén de objetos
Para obtener información sobre la gestión de la creación y el uso de las claves de cifrado maestras y las versiones de claves, consulte Gestión de claves. Para obtener información específica sobre la creación de claves con su propio material de claves, consulte Importing Vault Keys and Key Versions. Para obtener información sobre cómo utilizar claves en operaciones criptográficas, consulte Uso de claves de cifrado maestras. Para obtener más información sobre lo que puede hacer con los almacenes en los que se almacenan las claves, consulte Gestión de almacenes.
Política de IAM necesaria
Las claves asociadas a volúmenes, cubos, sistemas de archivos, clusters y pools de flujo no funcionarán a menos que autorice a Block Volume, Object Storage, File Storage, Kubernetes Engine y Streaming a utilizar las claves en su nombre. Además, también debe autorizar a los usuarios a delegar el uso de claves a estos servicios en primer lugar. Para obtener más información, consulte Permitir a un grupo de usuarios delegar el uso de claves en un compartimento y Crear una política para activar claves de cifrado en Políticas comunes. Las claves asociadas a las bases de datos no funcionarán a menos que autorice a un grupo dinámico que incluya todos los nodos del sistema de base de datos a gestionar claves en el arrendamiento. Para obtener más información, consulte Política de IAM necesaria en Exadata Cloud Service
Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si aparece un mensaje que le informa de que no tiene permiso o no tiene autorización, verifique con el administrador el tipo de acceso que tiene y en qué compartimento trabajar.
Para administradores: para las políticas habituales que proporcionan acceso a almacenes, claves y secretos, consulte Permitir a los administradores de seguridad gestionar almacenes, claves y secretos. Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas, consulte Detalles sobre el servicio Vault.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.