Documentación de Oracle Cloud Infrastructure

Uso de su propia clave maestra con dispositivos de Roving Edge Infrastructure

Descubra cómo configurar una clave maestra basada en KMS proporcionada por el usuario para gestionar la información secreta en los dispositivos de Roving Edge Infrastructure.

Importante

Para los dispositivos Roving Edge que se aprovisionan automáticamente, puede gestionar la frase de contraseña de clave maestra, todas las contraseñas y la clave de recuperación. Almacene la frase de contraseña, la contraseña y la clave de recuperación en un lugar seguro, como OCI Vault. Si olvida la frase de contraseña de desbloqueo y la clave de recuperación, Oracle no puede ayudarle a recuperar el dispositivo y este debe reemplazarse.

En los dispositivos Roving Edge más antiguos (dispositivos aprovisionados por Oracle), Oracle gestiona la información secreta en los dispositivos de Roving Edge Infrastructure, como la frase de contraseña del superusuario y la contraseña de desbloqueo, mediante una clave maestra basada en KMS. Oracle también utiliza un módulo de seguridad de hardware para proteger aún más estos datos. Sin embargo, como alternativa a confiar en la clave maestra de Oracle para gestionar estos datos secretos, puede proporcionar su propia clave maestra basada en KMS desde su propio arrendamiento de OCI.

Nota

Solo puede proporcionar su propia clave maestra al crear el recurso de nodo. No puede editar un recurso de nodo existente para utilizar su propia clave maestra que el recurso se creó originalmente mediante una clave maestra proporcionada por Oracle.

Escritura de la política de clave maestra

Para utilizar su propia clave maestra, primero debe escribir una política que autorice esta capacidad mediante uno de los siguientes métodos:

  • Uso de la consola de Oracle Cloud Infrastructure:

    Cree la siguiente política:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = master-key-id

    donde master-key-id es el OCID de clave maestra del arrendamiento del cliente que se utiliza para cifrar la información secreta del cliente, como la contraseña de superusuario y la frase de contraseña de desbloqueo. Por ejemplo:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = 'ocid1.key.region1..exampleuniqueID'

  • Uso de la CLI:

    Introduzca el siguiente comando:

    oci rover policy create-master-key-policy --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Por ejemplo:

    oci rover policy create-master-key-policy --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Selección del almacén y la clave maestra

Después de escribir la política, seleccione el almacén y la clave maestra y los compartimentos en los que residen mediante uno de los siguientes métodos:

  • Uso de la consola de Oracle Cloud Infrastructure:

    Al crear un recurso de nodo de Roving Edge Infrastructure mediante el cuadro de diálogo Crear en la consola de Oracle Cloud Infrastructure, aparece la sección Clave de cifrado. Aquí puede seleccionar una de las siguientes opciones:

    • Cifrar mediante claves gestionadas por Oracle: seleccione que el servicio Oracle Cloud Infrastructure gestione el cifrado de claves. No es necesario realizar ninguna acción.

    • Cifrar utilizando claves gestionadas por el cliente: elija proporcionar su propia clave de cifrado.

      Si elige proporcionar su propia clave, la sección Clave de cifrado muestra los campos adicionales:

      • Compartimento de almacén: seleccione el compartimento que contiene el almacén que desea de la lista.

      • Almacén: seleccione uno de los almacenes de la lista incluida en el compartimento de almacén que ha seleccionado anteriormente.

      • Compartimento de clave de cifrado maestra: seleccione en la lista el compartimento que contiene la clave de cifrado maestra que desea.

      • Clave de cifrado maestra: seleccione una de las claves de cifrado maestras de la lista dentro del valor de clave de cifrado maestra que haya seleccionado anteriormente.

  • Uso de la CLI:

    Incluya la opción master-key-id al crear el recurso de nodo de Roving Edge Infrastructure. Por ejemplo:

    oci rover node create --display-name display_name --compartment-id compartment_ocid --shape shape --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Por ejemplo:

    oci rover node create --display-name 'test1' --compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --shape RED.2.56.GPU --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Después de configurar la política de claves maestras, se llama a RCS para validar el acceso al almacén como parte de la creación del nodo.