Documentación de Oracle Cloud Infrastructure

Importación de claves de almacén y versiones de claves

Cuando utiliza material de claves importado, sigue siendo responsable del material de claves y, al mismo tiempo, permite que el servicio Vault utilice una copia del mismo.

Puede que desee "bring your own key" (BYOK) si desea:
  • Utilice el material clave generado por una herramienta u origen según sus requisitos.
  • Utilice el mismo material clave que utiliza en otros sistemas en la nube o locales.
  • Gestione el material de claves, su caducidad y supresión en el servicio Vault.
  • Posee y gestiona el material de claves ajeno a Oracle Cloud Infrastructure para una mayor durabilidad y con fines de recuperación.
Al crear una clave o versión de clave, puede importar su propio material de clave en lugar de permitir que el servicio Vault genere el material de clave internamente.
Puede importar los siguientes tipos de clave y unidades de clave en el servicio Vault:
Tipos de clave y tamaños de clave admitidos
Tipo de clave Tamaño de clave admitido
Claves simétricas: las claves simétricas basadas en algoritmos del estándar de cifrado avanzado (AES) se utilizan para cifrar o descifrar. Puede importar claves AES que tengan cualquiera de las siguientes longitudes:
  • 128 bits (16 bytes)
  • 192 bits (24 bytes)
  • 256 bits (32 bytes)
Claves asimétricas: las claves asimétricas basadas en algoritmos Rivest-Shamir-Adleman (RSA) se utilizan para cifrar, descifrar, firmar o verificar. Puede importar claves RSA que tengan cualquiera de las siguientes longitudes:
  • 2048 bits (256 bytes)
  • 3072 bits (384 bytes)
  • 4096 bits (512 bytes)
Nota

Las claves asimétricas basadas en el algoritmo de firma digital de criptografía de curva elíptica (ECDSA) no se pueden importar.
La longitud del material de claves debe coincidir con la que se especifica en el momento de crear o importar una clave. Además, antes de importar una clave, debe ajustar el material de claves mediante la clave de ajuste pública proporcionada con cada almacén. El par de claves de encapsulado del almacén hace posible que HSM desencapsule y almacene la clave de forma segura. Para cumplir con el cumplimiento de la industria de tarjetas de pago (PCI), no puede importar una clave de mayor fortaleza que la clave que usa para envolverla. Las claves de encapsulado de almacén son claves RSA de 4096 bits. Como tal, para cumplir con la conformidad con PCI, no puede importar claves AES que tengan más de 128 bits.
Nota

La clave de ajuste se crea en el momento de la creación del almacén y es exclusiva del almacén. Sin embargo, no puede crear, suprimir ni rotar una clave de ajuste.

Además, si tiene previsto utilizar la CLI para crear una nueva clave externa o versión de clave externa, el material de claves debe tener el código base64.

Política de IAM necesaria

Atención

Las claves asociadas a volúmenes, cubos, sistemas de archivos, clusters y pools de flujo no funcionarán a menos que autorice a Block Volume, Object Storage, File Storage, Kubernetes Engine y Streaming a utilizar las claves en su nombre. Además, también debe autorizar a los usuarios a delegar el uso de claves a estos servicios en primer lugar. Para obtener más información, consulte Permitir a un grupo de usuarios delegar el uso de claves en un compartimento y Crear una política para activar claves de cifrado en Políticas comunes. Las claves asociadas a las bases de datos no funcionarán a menos que autorice a un grupo dinámico que incluya todos los nodos del sistema de base de datos a gestionar claves en el arrendamiento. Para obtener más información, consulte Política de IAM necesaria en Exadata Cloud Service

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si aparece un mensaje que le informa de que no tiene permiso o no tiene autorización, verifique con el administrador el tipo de acceso que tiene y en qué compartimento trabajar.

Para administradores: para las políticas habituales que proporcionan acceso a almacenes, claves y secretos, consulte Permitir a los administradores de seguridad gestionar almacenes, claves y secretos. Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas, consulte Detalles sobre el servicio Vault.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Antes de empezar

Para traer su propia clave, debe encapsular el material de claves mediante RSA: relleno de cifrado asimétrico óptimo (OAEP) antes de importarlo. La transformación del material de claves proporciona una capa adicional de protección al hacer posible que solo el módulo de seguridad de hardware (HSM) en posesión de la clave de encapsulado RSA privada desencapsule la clave.

El servicio Vault soporta los siguientes mecanismos de ajuste según el tipo de clave:
Tipo de clave Mecanismo de Ajuste Soportado
Clave simétrica (AES)
  • RSA_OAEP_SHA256 (RSA-OAEP con un hash SHA-256)
  • RSA_OAEP_AES_SHA256 (RSA-OAEP con un hash SHA-256 y una clave AES temporal)
Clave asimétrica (RSA) RSA_OAEP_AES_SHA256 (RSA-OAEP con un hash SHA-256 y una clave AES temporal)

Si está utilizando MacOS o Linux, deberá instalar la serie de OpenSSL 1.1.1 para ejecutar comandos. Si tiene previsto utilizar el ajuste RSA_OAEP_AES_SHA256, también debe instalar un parche OpenSSL que lo soporte. Consulte Configuración de parche OpenSSL para ajustar el material de claves. Si utiliza Windows, deberá instalar Git Bash for Windows para ejecutar los comandos.