KMS dedicado
En este tema, se proporciona una visión general del servicio Dedicated Key Management de OCI.
El servicio Dedicated Key Management (DKMS) es un servicio gestionado de alta disponibilidad que ofrece una partición de módulo de seguridad de hardware (HSM) de un solo inquilino. Esto le proporciona acceso exclusivo a particiones dedicadas dentro de un dispositivo HSM físico y a prueba de alteraciones para garantizar que las claves de cifrado estén totalmente protegidas y aisladas.
En KMS dedicado, posee criptográficamente sus particiones HSM con control total sobre su generación, almacenamiento y uso de claves. Las particiones HSM tienen una certificación FIPS 140-2 de nivel 3 y ofrecen el máximo nivel de seguridad para la gestión de claves. Para realizar operaciones criptográficas, el servicio admite el estándar PKCS#11 para realizar operaciones criptográficas sin necesidad de API o módulos de OCI. El KMS dedicado proporciona clusters de HSM en todas las regiones de OCI que se sincronizan automáticamente y tienen una alta disponibilidad, con un SLA de disponibilidad del 99,9%.
- Proporciona un mayor control de acceso mediante la gestión no solo de claves, sino también de particiones de HSM y usuarios administrativos directamente.
- El control elevado le proporciona una visibilidad más profunda de las operaciones criptográficas y le permite personalizar el entorno de HSM según sus necesidades.
- El uso del estándar PKCS#11 para interacciones directas con el HSM le permite omitir las API de OCI para operaciones criptográficas más optimizadas y eficientes.
Responsabilidad de partición
Si bien Oracle garantiza una alta disponibilidad para las particiones y claves de HSM dentro de una región, los clientes son responsables de sincronizar los usuarios y las claves en todas las réplicas de un cluster de HSM. La no disponibilidad de usuarios y claves en una o más réplicas puede afectar a la disponibilidad de las aplicaciones del cliente, especialmente si las únicas particiones que contienen esos usuarios o claves dejan de estar disponibles. Consulte Creación de un usuario y Generación de claves en la documentación de gestión de claves dedicadas para obtener información sobre estas operaciones.
SDK de cliente soportados
- PKCS#11: este estándar especifica una API para gestionar claves y realizar operaciones criptográficas en el módulo de seguridad de hardware (HSM). Consulte Biblioteca PKCS #11 para obtener más información.
- Java Cryptography Extension (JCE): Dedicated KMS ofrece un proveedor de JCE para realizar operaciones criptográficas mediante Java Development Kit (JDK). Consulte Proveedor JCE para obtener más información.
- Windows CNG y KSP: OCI Dedicated Key Management soporta Cryptography API: Next Generation (CNG) y Key Storage Providers (KSP) para aplicaciones de Microsoft Windows. Consulte Windows Next Generation (CNG) y Key Storage Providers (KSP) para obtener más información.
Términos y conceptos de KMS dedicado
| término | Descripción |
|---|---|
| Cluster de HSM | Un cluster es una recopilación de particiones HSM individuales que OCI KMS mantiene sincronizadas. |
| Partición de HSM (dedicada) | Un enclave criptográfico seguro de inquilino único dentro del cluster HSM que está totalmente aislado para las claves. |
| Usuarios de HSM | Un usuario de HMS es distinto de los usuarios de IAM. A diferencia de un usuario de IAM, un usuario de HSM utilizará las credenciales de HSM para acceder a la utilidad de gestión de usuarios para autenticar operaciones en el HSM porque las credenciales se realizan directamente en el HSM. |
| CO | Usuario responsable de cifrado que puede realizar operaciones de gestión de usuarios en la partición HSM. |
| CU | Usuario criptográfico que puede realizar operaciones criptográficas y de gestión de claves en la clave de una partición HSM. |
| PKCS #11 | El PKCS #11 es un estándar de interfaz criptográfica también conocido como Cryptoki. Este es uno de los estándares de criptografía de clave pública que define la interfaz entre una aplicación y un dispositivo criptográfico. |