Creación de una clave de cifrado maestra

Cree una clave de cifrado maestra de almacén.

• Consola
• CLI
• API

• 1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, en Almacén.
  2. En Ámbito de lista, seleccione un compartimento que contenga el almacén que contenga la clave que desea crear.
  3. Haga clic en el nombre del almacén en el que desea crear la clave.

     Si necesita crear un nuevo almacén para la clave, siga las instrucciones de Create Vault y, a continuación, haga clic en el nombre del almacén.

  4. En Recursos, haga clic en Claves de cifrado maestras y, a continuación, en Crear clave.
  5. Haga clic en Claves de cifrado maestras y, a continuación, en Crear clave. Las claves también pueden existir en un compartimento diferente al del almacén.
  6. En Modo de protección, seleccione una de las siguientes opciones:
     • Para crear una clave de cifrado maestra que se almacena y se procesa en un módulo de seguridad de hardware (HSM), seleccione HSM.
     • Para crear una clave de cifrado maestra que se almacene y procese en un servidor, seleccione Software.

     No puede cambiar el modo de protección de una clave después de crearla. Para obtener más información sobre claves, incluida información sobre los modos de protección de claves, consulte Conceptos de gestión de claves y secretos.

  7. Introduzca un nombre para identificar la clave. Evite introducir información confidencial.
  8. En Unidad de clave: algoritmo, seleccione uno de los siguientes algoritmos:
     • AES. Las claves del estándar de cifrado avanzado (AES) son claves simétricas que puede utilizar para cifrar datos estáticos.
     • RSA. Las claves Rivest-Shamir-Adleman (RSA) son claves asimétricas, también conocidas como pares de claves que consisten en una clave pública y una clave privada. Puede utilizarlos para cifrar datos en tránsito, firmar datos y verificar la integridad de los datos firmados.
     • ECDSA. Las claves del algoritmo de firma digital de criptografía de curva elíptica (ECDSA) son claves asimétricas que puede usar para firmar datos y verificar la integridad de los datos firmados.
  9. Si seleccionó AES o RSA, seleccione la longitud de unidad de clave correspondiente en bits.
  10. Si seleccionó ECDSA, seleccione un valor para Unidad de clave: ID de curva elíptica.
  11. Para crear una clave importando una clave ajustada públicamente, active la casilla de control Importar clave externa y proporcione los siguientes detalles:
      • Información básica de encapsulado. Esta sección es de solo lectura, pero puede ver los detalles de la clave de ajuste pública.
      • algoritmo de envoltura. Seleccione RSA_OAEP_AES_SHA256 (RSA-OAEP con un SHA-256 con una clave AES temporal).
      • Origen de datos de clave externa. Cargue el archivo que contiene el material de claves RSA encapsulado.
  12. Seleccione la casilla de control Rotación automática para activar la rotación automática de claves.
  13. En la sección Programa de rotación automática, proporcione los siguientes detalles:
      • Fecha de inicio. Utilice el icono de calendario para seleccionar una fecha para iniciar el programa de rotación de claves. La rotación ocurre aproximadamente en o antes de la fecha programada. Por ejemplo, si crea una clave hoy o actualiza una clave existente, programe la fecha de inicio de rotación automática como 10 de abril con un intervalo predefinido de 90 días, la rotación automática comenzará aproximadamente el July10 o antes (10 de abril + 90 días).
        Nota
        
        KMS garantiza que la rotación automática se realice en el intervalo de rotación o antes de él, incluso si significa iniciar la rotación unos días antes del intervalo programado.
      • Intervalo de Rotación. Seleccione un intervalo predefinido dentro del cual se deben rotar las claves. De forma predeterminada, el intervalo se establece en 90 días. Para personalizar el intervalo de rotación, puede seleccionar Personalizado.
      • Intervalo de Rotación Personalizado. Escriba un intervalo personalizado (entre 60 y 365 días) distinto del intervalo de rotación predefinido.

      Nota
      
      Sin embargo, siempre puede editar la configuración de rotación automática después de crear la clave.
  14. Opcionalmente, para aplicar etiquetas, haga clic en Mostrar opciones avanzadas.
      Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
  15. haga clic en Crear clave.

• Utilice el comando oci kms management key create y los parámetros necesarios para crear una réplica para el almacén en otra región del mismo dominio.

  oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <control_plane_url> --is-auto-rotation-enabled <true | false> --auto-key-rotation-details <schedule_interval_information>

  
  oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com --is-auto-rotation-enabled enabled --auto-key-rotation-details '{"rotationIntervalInDays": 90, "timeOfScheduleStart": "2024-02-20T00:00:00Z"}' 

  
  oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --protection-mode SOFTWARE --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

  Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

• Ejecute la operación CreateKey para crear una nueva clave de cifrado maestra de almacén mediante el punto final de KMSMANAGMENT.

  Puede ver la operación CreateKeyDetails para obtener detalles de la clave que desea crear.

  Nota
  
  Cada región utiliza el punto final de KMSMANAGMENT para gestionar claves. Este punto final se denomina URL de plano de control o punto final de gestión de almacenes. Para puntos finales regionales, consulte la documentación de API.

  Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.