Documentación de Oracle Cloud Infrastructure

Creación de una clave de cifrado maestra

Descubra cómo crear una clave de cifrado maestra en el servicio Key Management de OCI.

Tenga en cuenta lo siguiente al crear claves de cifrado maestras:

  • Rotación automática: al crear una clave de cifrado maestra en un almacén privado virtual, tiene la opción de activar la rotación automática de claves. Consulte la sección Rotación automática de claves del tema Conceptos de gestión de claves y secretos para obtener más información. Consulte Enabling and Updating Auto Key Rotation para obtener instrucciones sobre cómo actualizar la configuración de rotación automática.

  • Algoritmos disponibles: puede seleccionar entre los siguientes algoritmos al crear una clave:
    • AES: las claves del estándar de cifrado avanzado (AES) son claves simétricas que puede utilizar para cifrar datos estáticos.
    • RSA: las claves Rivest-Shamir-Adleman (RSA) son claves asimétricas, también conocidas como pares de claves que constan de una clave pública y una clave privada. Puede utilizarlos para cifrar datos en tránsito, firmar datos y verificar la integridad de los datos firmados.
    • ECDSA: las claves del algoritmo de firma digital de criptografía de curva elíptica (ECDSA) son claves asimétricas que puede utilizar para firmar datos y verificar la integridad de los datos firmados.

Para obtener más información sobre las claves en el servicio Key Management de OCI, consulte Claves en el tema Conceptos de gestión de claves y secretos.

    1. Abra el menú de navegación , seleccione Identidad y seguridad y, a continuación, seleccione Almacén.
    2. En Ámbito de lista, seleccione un compartimento que contenga el almacén que contenga la clave que desea crear.
    3. Seleccione el nombre del almacén en el que desea crear la clave.

      Si necesita crear un nuevo almacén para la clave, siga las instrucciones de Crear almacén y, a continuación, seleccione el nombre del almacén.

    4. En Recursos, seleccione Claves de cifrado maestras y, a continuación, seleccione Crear clave.
    5. Seleccione Claves de cifrado maestras y, a continuación, seleccione Crear clave. Tenga en cuenta que las claves se pueden crear en un compartimento diferente al del almacén.
    6. En Modo de protección, seleccione una de las siguientes opciones:
      • HSM: seleccione esta opción para crear una clave de cifrado maestra que se almacena y procesa en un módulo de seguridad de hardware (HSM).
      • Software: seleccione esta opción para crear una clave de cifrado maestra que se almacene y procese en un servidor.

      No puede cambiar el modo de protección de una clave después de crearla. Para obtener más información sobre las claves, incluida información sobre los modos de protección de claves, consulte Key and Secret Management Concepts.

    7. Introduzca un nombre para identificar la clave. Evite introducir información confidencial.
    8. En Key Shape: Algorithm (Unidad de clave: algoritmo), seleccione uno de los siguientes algoritmos:
      • AES: las claves del estándar de cifrado avanzado (AES) son claves simétricas que puede utilizar para cifrar datos estáticos.
      • RSA: las claves Rivest-Shamir-Adleman (RSA) son claves asimétricas, también conocidas como pares de claves que constan de una clave pública y una clave privada. Puede utilizarlos para cifrar datos en tránsito, firmar datos y verificar la integridad de los datos firmados.
      • ECDSA: las claves del algoritmo de firma digital de criptografía de curva elíptica (ECDSA) son claves asimétricas que puede utilizar para firmar datos y verificar la integridad de los datos firmados.
    9. Sólo RSA. Si ha seleccionado AES o RSA, seleccione la longitud de unidad de clave correspondiente, en bits.
    10. Sólo ECDSA. Si ha seleccionado ECDSA, seleccione un valor para Unidad de clave: ID de curva elíptica.
    11. Solo claves importadas. Para crear una clave mediante la importación de una clave encapsulada públicamente, seleccione la casilla de control Importar clave externa y proporcione los siguientes detalles:
      • Algoritmo de ajuste: seleccione RSA_OAEP_AES_SHA256 (RSA-OAEP con un hash SHA-256 para una clave AES temporal).
      • Origen de datos de clave externa: cargue el archivo que contiene el material de claves RSA ajustado.
    12. Opcional Seleccione la casilla de control Rotación automática para activar la rotación automática de claves. Tenga en cuenta que puede editar la configuración de rotación automática después de crear la clave.
    13. Solo para rotación automática. En la sección Programa de Rotación Automática, proporcione los siguientes detalles:
      • Fecha de inicio: utilice el icono de calendario para seleccionar una fecha para iniciar el programa de rotación de claves. La rotación se produce en la fecha programada o antes. Por ejemplo, si crea una clave hoy o actualiza una clave existente y programa la fecha de inicio de rotación automática como el 10 de abril con un intervalo predefinido de 90 días, la rotación automática comienza el 10 de julio o antes (10 + 90 días de abril).
        Nota

        KMS garantiza que la rotación automática se realice en el intervalo de rotación o antes de él. La rotación puede iniciarse hasta unos días antes del intervalo programado.
      • Intervalo de rotación: seleccione un intervalo predefinido en el que se deben rotar las claves. Por defecto, el intervalo se establece como 90 días.
      • opcional. Personalizado: Seleccione esta opción para definir un intervalo de rotación personalizado entre 60 y 365 días.
    14. Opcional Para aplicar etiquetas, seleccione Mostrar opciones avanzadas.
      Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta defined, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
    15. Seleccione Create Key.

  • Utilice el comando oci kms management key create y los parámetros necesarios para crear una clave de cifrado maestra:

    oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <control_plane_url> --is-auto-rotation-enabled <true | false> --auto-key-rotation-details <schedule_interval_information>

    Por ejemplo:

    oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com --is-auto-rotation-enabled enabled --auto-key-rotation-details '{"rotationIntervalInDays": 90, "timeOfScheduleStart": "2024-02-20T00:00:00Z"}'

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Utilice la API CreateKey con el punto final de gestión para crear una nueva clave de cifrado maestra.

    Nota

    El punto final de gestión se utiliza para operaciones de gestión como Crear, Actualizar, Mostrar, Obtener y Suprimir. El punto final de gestión también se denomina URL de plano de control o punto final de KMSMANAGMENT.

    El punto final criptográfico se utiliza para operaciones criptográficas, como cifrado, descifrado, generación de clave de cifrado de datos, firma y verificación. El punto final criptográfico también se denomina URL de plano de datos o punto final KMSCRYPTO.

    Puede encontrar los puntos finales criptográficos y de gestión en los metadatos de detalles de un almacén. Consulte Obtención de detalles de un almacén para obtener instrucciones.

    Para conocer los puntos finales regionales para las API de gestión de claves, gestión de secretos y recuperación de secretos, consulte Referencia de API y puntos finales.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.