Gestión de Almacenes

Cree y gestione almacenes como contenedores para cifrar claves y secretos.

Para obtener información específica sobre la copia de seguridad y restauración de almacenes, consulte Copia de seguridad y restauración de almacenes y claves. Para obtener información sobre la configuración de la replicación entre regiones para almacenes y claves, consulte Replicación de almacenes y claves. Para obtener más información sobre lo que puede hacer con las claves, consulte Gestión de claves. Para obtener información sobre lo que puede hacer con los secretos, consulte Gestión de secretos.

El servicio Vault le permite crear almacenes en el arrendamiento como contenedores para secretos y claves de cifrado. Si es necesario, un almacén privado virtual proporciona una partición dedicada en un módulo de seguridad de hardware (HSM), que ofrece un nivel de aislamiento de almacenamiento para las claves de cifrado que equivale de manera eficaz a un HSM independiente virtual.

Entre las tareas de gestión del almacén se incluyen las siguientes:

  • Creación de un almacén
  • Visualización de los detalles de configuración del almacén
  • Actualización del nombre del almacén

  • Gestión de etiquetas de almacén

  • Supresión de un almacén

  • Movimiento de un almacén a un nuevo compartimento

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con su administrador qué tipo de acceso tiene y en qué compartimento  debe trabajar.

Para administradores: para las políticas habituales que proporcionan acceso a almacenes, claves y secretos, consulte Permitir a los administradores de seguridad gestionar almacenes, claves y secretos. Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas, consulte Detalles sobre el servicio Vault.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Etiquetado de recursos

Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Puede aplicar etiquetas al crear un recurso o puede actualizar el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.

Movimiento de recursos a otro compartimento

Puede mover almacenes de un compartimento a otro. Después de mover una clave a un nuevo compartimento, las políticas inherentes se aplican inmediatamente y afectan al acceso al almacén. Mover un almacén no afecta al acceso a ninguna clave ni secreto que contenga este. Puede mover una clave o secreto de un compartimento a otro independientemente de si se mueve el almacén al que está asociado. Para obtener más información, consulte Gestión de compartimentos.

Uso de la consola

Utilice la consola para crear, ver y gestionar la configuración del almacén.

Para ver los detalles de configuración del almacén

En esta sección se describe cómo ver los detalles de configuración de almacén mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén que desea ver.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.
  4. La consola muestra la siguiente información:

    • Compartimento: ID único asignado por Oracle del compartimento que contiene el almacén.
    • OCID: ID único asignado por Oracle del almacén.
    • Fecha de creación: fecha y hora en que creó inicialmente el almacén.
    • Uso de versión de clave de HSM: número de todas las versiones de clave en todas las claves de cifrado maestras protegidas por HSM que contiene el almacén. Una clave de cifrado maestra consta de una o más versiones de clave, hasta el límite permitido por los límites de servicio.
    • Uso de versión de software: número de todas las versiones de clave en todas las claves de cifrado maestras protegidas por software que contiene el almacén. Puede incluir una o más versiones de clave para cada clave de cifrado maestra, hasta el límite permitido por los límites de servicio.
    • Privada virtual: indica si el almacén es un almacén privado virtual.
    • Punto final de gestión: punto final del servicio para las operaciones CreateKey, CreateKeyVersion, EnableKey, DisableKey, UpdateKey, ListKeys, ListKeyVersions, GetKey, GetKeyVersion, ImportKey y ImportKeyVersion.
    • Punto final criptográfico: el punto final del servicio para las operaciones Encrypt, Decrypt y GenerateDataEncryptionKey.
    • Clave de encapsulado: clave de encapsulado RSA pública para el almacén.
Para crear un almacén nuevo

En esta sección se describe cómo crear un nuevo almacén mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. Under List Scope, in the Compartment list, click the name of the compartment where you want to create the vault.
  3. Haga clic en Crear almacén.
  4. En el cuadro de diálogo Crear almacén, haga clic en Nombre y, a continuación, introduzca un nombre mostrado para el almacén. Evite introducir información confidencial.
  5. De manera opcional, haga que el almacén sea un almacén privado virtual seleccionando la casilla de control Convertir en almacén privado virtual. Para obtener más información sobre los tipos de almacén, consulte Conceptos de gestión de secretos y claves.
    Nota

    No puede cambiar el tipo de almacén después de crear el almacén.
  6. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
  7. Cuando finalice, haga clic en Crear almacén.
Para cambiar el nombre de un almacén

En esta sección se describe cómo cambiar un nombre de almacén mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén del que desea cambiar el nombre.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.
  4. En la página Detalles del almacén , haga clic enEditar nombre.
  5. En el cuadro de diálogo Editar nombre del almacén, haga clic en Nombre y, a continuación, introduzca un nombre mostrado nuevo para el almacén. Evite introducir información confidencial.
  6. Cuando haya terminado, haga clic en Guardar.
Para gestionar las etiquetas de un almacén

En esta sección se describe cómo gestionar las etiquetas de recursos de almacén mediante la consola

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén del que desea gestionar etiquetas.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.
  4. En la página Detalles del almacén, haga clic en el separador Etiquetas para ver o editar las etiquetas existentes. O bien, haga clic en Agregar etiquetas para agregar nuevas.
Para suprimir un almacén

En esta sección se describe cómo suprimir un almacén mediante la consola.

Nota

Al suprimir un almacén, el almacén y todas sus claves asociadas pasan a un estado pendiente de supresión hasta que caduque el período de espera. Por defecto, es de 30 días, pero se puede definir desde un mínimo de 7 días hasta un máximo de 30 días. Cuando se suprime un almacén, también se suprimen todas sus claves asociadas. Si se configura la replicación, la supresión de un almacén en la región de origen también suprime el almacén y las claves del almacén en la región de destino.
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén que desea suprimir.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.
  4. En la página Detalles del almacén, haga clic en Suprimir.
  5. Para confirmar que desea suprimir el almacén, escriba el nombre del almacén y, a continuación, seleccione la fecha y la hora a las que desea que se suprima el almacén.
  6. Cuando haya terminado, haga clic en Suprimir almacén.
Para cancelar la supresión de un almacén

Esta sección describe cómo cancelar la supresión de un almacén.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén que tiene un estado de supresión pendiente.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.
  4. En la página Detalles del almacén, haga clic en Cancelar supresión.
  5. Para confirmar que desea cancelar la supresión del almacén, haga clic en Cancelar supresión.
Para mover un almacén a un compartimento diferente

En esta sección se describe cómo mover un almacén a un compartimento diferente mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, seleccione el compartimento que contiene el almacén que desea mover.
  3. Busque el almacén en la lista, haga clic en el menú Acciones y, a continuación, haga clic en Mover recurso.
  4. Seleccione el compartimento de destino en la lista.
  5. Haga clic en Mover recurso.

Uso de la Interfaz de Línea de Comandos (CLI)

Utilice la consola para crear, ver y gestionar la configuración del almacén.

Para obtener más información sobre la CLI, consulte Interfaz de línea de comandos (CLI). Para obtener una lista completa de los indicadores y las opciones disponibles para los comandos de la CLI, consulte Referencia de la línea de comandos.

Para ver los detalles de configuración del almacén

En esta sección se describe cómo ver los detalles de configuración del almacén.

Abra un símbolo del sistema y ejecute oci kms management vault get para ver los detalles de configuración de un almacén:

oci kms management vault get --vault-id <target_vault_id>

Por ejemplo:


oci kms management vault get --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3j33edq
Para crear un almacén nuevo

Esta sección describe cómo crear un nuevo almacén.

Abra un símbolo del sistema y ejecute oci kms management vault create para crear un nuevo almacén:

Nota

No puede cambiar el tipo de almacén después de crear el almacén.
oci kms management vault create --compartment-id <target_compartment_id> --display-name <vault_name> --vault-type <vault_type>

Por ejemplo:


oci kms management vault create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name vault-1 --vault-type VIRTUAL_PRIVATE

Evite introducir información confidencial.

Para crear un nuevo almacén con etiquetas de recurso

En esta sección se describe cómo crear un nuevo almacén con etiquetas de recursos.

Abra un símbolo del sistema y ejecute oci kms management vault create con una de estas opciones: --defined-tags y --freeform-tags, o ambas, para crear una nueva clave con etiquetas de recurso:

Nota

No puede cambiar el tipo de almacén después de crear el almacén.
oci kms management vault create --compartment-id <target_compartment_id> --display-name <vault_name> --vault-type <vault_type> --defined-tags <JSON_formatted_defined_tag> --freeform-tags <JSON_formatted_freeform_tag>

Por ejemplo, en una máquina con MacOS o Linux:


oci kms management vault create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name vault-1 --vault-type VIRTUAL_PRIVATE --defined-tags '{"Operations": {"CostCenter": "42"}}' --freeform-tags '{"Department":"Finance"}'

O bien, por ejemplo, en una máquina con Windows:


oci kms management vault create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name vault-1 --vault-type VIRTUAL_PRIVATE --defined-tags '{\"Operations\": {\"CostCenter\":\"42\"}}' --freeform-tags '{\"Department\":\"Finance\"}'

Evite introducir información confidencial.

Para cambiar el nombre de un almacén

Esta sección describe cómo cambiar un nombre de almacén.

Abra un símbolo del sistema y ejecute oci kms management vault update para cambiar el nombre de un almacén:

oci kms management vault update --vault-id <target_vault_id>

Por ejemplo:


oci kms management vault update --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3j33edq --display-name new-vault-name

Evite introducir información confidencial.

Para suprimir un almacén

Esta sección describe cómo suprimir un almacén.

Abra un símbolo del sistema y ejecute oci kms management vault schedule-deletion para suprimir un almacén:

oci kms management vault schedule-deletion --vault-id <target_vault_id>

Por ejemplo:


oci kms management vault schedule-deletion --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3	

Al suprimir un almacén, el almacén y todas sus claves asociadas pasan a un estado pendiente de supresión hasta que caduque el período de espera. Por defecto, es de 30 días, pero se puede definir desde un mínimo de 7 días hasta un máximo de 30 días. Cuando se suprime un almacén, también se suprimen todas sus claves asociadas. Si se configura la replicación, la supresión de un almacén en la región de origen también suprime el almacén y las claves del almacén en la región de destino.

Para cancelar la supresión de un almacén

Esta sección describe cómo cancelar la supresión de un almacén.

Abra un símbolo del sistema y ejecute oci kms management vault cancel-deletion para cancelar la supresión pendiente de un almacén:

oci kms management vault cancel-deletion --vault-id <target_vault_id>

Por ejemplo:


oci kms management vault cancel-deletion --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3	
Para mover un almacén a un compartimento diferente

En esta sección se describe cómo mover un almacén a un compartimento diferente.

Abra un símbolo del sistema y ejecute oci kms management vault change-compartment para mover un almacén de un compartimento a otro dentro del mismo arrendamiento:

oci kms management vault change-compartment --vault-id <target_vault_id> --compartment-id <new_compartment_id>

Por ejemplo:


oci kms management vault change-compartment --vault-id ocid1.vault.region1.sea.exampleaaacu2.examplesrcvbtqe5wgrxn2jua3olmeausn5fauxseubwu5my5tf3w3 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz

Uso de la API

Utilice las operaciones de API para crear, ver y gestionar la configuración del almacén.

Para obtener más información sobre el uso de la API y las solicitudes de firma, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Use las siguientes operaciones para gestionar almacenes: