Documentación de Oracle Cloud Infrastructure

Exportación de claves de almacén y versiones de claves

Exporte una clave de cifrado maestra protegida por software o las versiones de clave de exportación para realizar operaciones criptográficas de almacén.

Puede utilizar la clave localmente y, a continuación, descartarla de la memoria local para proteger el contenido de la clave. El uso de una clave exportada localmente mejora la disponibilidad, la fiabilidad y la latencia.

Política de IAM necesaria

Atención

Las claves asociadas a volúmenes, cubos, sistemas de archivos, clusters y pools de flujo no funcionarán a menos que autorice a Block Volume, Object Storage, File Storage, Kubernetes Engine y Streaming a utilizar las claves en su nombre. Además, también debe autorizar a los usuarios a delegar el uso de claves a estos servicios en primer lugar. Para obtener más información, consulte Permitir a un grupo de usuarios delegar el uso de claves en un compartimento y Crear una política para activar claves de cifrado en Políticas comunes. Las claves asociadas a las bases de datos no funcionarán a menos que autorice a un grupo dinámico que incluya todos los nodos del sistema de base de datos a gestionar claves en el arrendamiento. Para obtener más información, consulte Política de IAM necesaria en Exadata Cloud Service

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si aparece un mensaje que le informa de que no tiene permiso o no tiene autorización, verifique con el administrador el tipo de acceso que tiene y en qué compartimento trabajar.

Para administradores: para las políticas habituales que proporcionan acceso a almacenes, claves y secretos, consulte Permitir a los administradores de seguridad gestionar almacenes, claves y secretos. Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas, consulte Detalles sobre el servicio Vault.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Antes de empezar

La exportación de una clave requiere que genere su propio par de claves RSA para ajustar y desencapsular el material de claves. Puede utilizar la herramienta de terceros que desee para generar el par de claves RSA.

Puede exportar la clave o la versión de clave solo mediante la CLI. Hemos incluido scripts de ejemplo a los que puede hacer referencia. Los scripts incluyen todos los pasos del proceso de exportación, desde el ajuste del material de claves hasta la exportación de la clave o versión de clave protegida por software.

Si está utilizando MacOS o Linux, deberá instalar la serie de OpenSSL 1.1.1 para ejecutar comandos. Si tiene previsto utilizar el algoritmo de cifrado RSA que utiliza una clave AES temporal, también debe aplicar parches a OpenSSL con un parche que lo soporte, consulte Configuring OpenSSL Patch to Wrap Key Material. Si está utilizando Windows, deberá instalar Git Bash para Windows y ejecutar comandos con dicha herramienta.