Importación de claves de almacén y versiones de claves
Cuando utiliza material de claves importado, sigue siendo responsable del material de claves y, al mismo tiempo, permite que el servicio Vault utilice una copia del mismo.
- Utilice el material clave generado por una herramienta u origen según sus requisitos.
- Utilice el mismo material clave que utiliza en otros sistemas en la nube o locales.
- Gestione el material de claves, su caducidad y supresión en el servicio Vault.
- Posee y gestiona el material de claves ajeno a Oracle Cloud Infrastructure para una mayor durabilidad y con fines de recuperación.
Tipo de clave | Tamaño de clave admitido |
---|---|
Claves simétricas: las claves simétricas basadas en algoritmos del estándar de cifrado avanzado (AES) se utilizan para cifrar o descifrar. | Puede importar claves AES que tengan cualquiera de las siguientes longitudes:
|
Claves asimétricas: las claves asimétricas basadas en algoritmos Rivest-Shamir-Adleman (RSA) se utilizan para cifrar, descifrar, firmar o verificar. | Puede importar claves RSA que tengan cualquiera de las siguientes longitudes:
|
Las claves asimétricas basadas en el algoritmo de firma digital de criptografía de curva elíptica (ECDSA) no se pueden importar.
La clave de ajuste se crea en el momento de la creación del almacén y es exclusiva del almacén. Sin embargo, no puede crear, suprimir ni rotar una clave de ajuste.
Además, si tiene previsto utilizar la CLI para crear una nueva clave externa o versión de clave externa, el material de claves debe tener el código base64.
Política de IAM necesaria
Las claves asociadas a volúmenes, cubos, sistemas de archivos, clusters y pools de flujo no funcionarán a menos que autorice a Block Volume, Object Storage, File Storage, Kubernetes Engine y Streaming a utilizar las claves en su nombre. Además, también debe autorizar a los usuarios a delegar el uso de claves a estos servicios en primer lugar. Para obtener más información, consulte Permitir a un grupo de usuarios delegar el uso de claves en un compartimento y Crear una política para activar claves de cifrado en Políticas comunes. Las claves asociadas a las bases de datos no funcionarán a menos que autorice a un grupo dinámico que incluya todos los nodos del sistema de base de datos a gestionar claves en el arrendamiento. Para obtener más información, consulte Política de IAM necesaria en Exadata Cloud Service
Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si aparece un mensaje que le informa de que no tiene permiso o no tiene autorización, verifique con el administrador el tipo de acceso que tiene y en qué compartimento trabajar.
Para administradores: para las políticas habituales que proporcionan acceso a almacenes, claves y secretos, consulte Permitir a los administradores de seguridad gestionar almacenes, claves y secretos. Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas, consulte Detalles sobre el servicio Vault.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.
Antes de empezar
Para traer su propia clave, debe encapsular el material de claves mediante RSA: relleno de cifrado asimétrico óptimo (OAEP) antes de importarlo. La transformación del material de claves proporciona una capa adicional de protección al hacer posible que solo el módulo de seguridad de hardware (HSM) en posesión de la clave de encapsulado RSA privada desencapsule la clave.
Tipo de clave | Mecanismo de Ajuste Soportado |
---|---|
Clave simétrica (AES) |
|
Clave asimétrica (RSA) | RSA_OAEP_AES_SHA256 (RSA-OAEP con un hash SHA-256 y una clave AES temporal) |
Si está utilizando MacOS o Linux, deberá instalar la serie de OpenSSL 1.1.1 para ejecutar comandos. Si tiene previsto utilizar el ajuste RSA_OAEP_AES_SHA256
, también debe instalar un parche OpenSSL que lo soporte. Consulte Configuración de parche OpenSSL para ajustar el material de claves. Si utiliza Windows, deberá instalar Git Bash for Windows para ejecutar los comandos.