Clés et OCID requis

Que vous utilisiez un client Oracle (voir Trousses SDK et interface de ligne de commande) ou un client que vous avez créé vous-même, vous devez procéder de la façon suivante :

Créez un utilisateur dans IAM pour la personne ou le système qui appellera l'API, puis placez-le dans au moins un groupe IAM avec les autorisations requises. Voir Ajouter des utilisateurs. Vous pouvez ignorer cette opération si l'utilisateur existe déjà.
Obtenez les éléments suivants :
- Paire de clés RSA dans le format PEM (minimum 2048 bits). Voir Comment générer une clé de signature d'API.
- Empreinte numérique de la clé publique. Voir Comment obtenir l'empreinte numérique de la clé.
- OCID de la location et OCID de l'utilisateur. Voir Où obtenir l'OCID de la location et l'OCID de l'utilisateur.
Chargez la clé publique à partir de la paire de clés dans la console. Voir Comment charger la clé publique.
Note

Nous vous recommandons d'ajouter un marqueur à chaque clé privée.
Si vous utilisez une des trousses SDK ou un des outils Oracle, fournissez les données d'identification requises, indiquées ci-dessus, dans un fichier de configuration ou un objet de configuration dans le code. Voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande. Si vous créez votre propre client, voir Signatures des demandes.

Important

Cette paire de clés ne correspond pas à la clé SSH que vous utilisez pour accéder aux instances de calcul. Voir Données d'identification de sécurité.

La clé privée et la clé publique doivent toutes les deux être dans le format PEM (et non dans le format SSH-RSA). La clé publique dans le format PEM ressemble à ceci :

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQE...
...
-----END PUBLIC KEY-----
OCI_PRIVATE_KEY

Nous vous recommandons d'inclure une étiquette à la fin de la clé. Par exemple, OCI_PRIVATE_KEY.

Comment générer une clé de signature d'API

Note

Vous pouvez utiliser la console ou les outils de ligne de commande disponibles pour Linux, Mac OS ou Windows pour générer une clé de signature d'API.

Génération d'une clé de signature d'API (Console)

Vous pouvez utiliser la console pour générer la paire de clés privée/publique. Si vous disposez déjà d'une paire de clés, vous pouvez choisir de charger la clé publique. Lorsque vous utilisez la console pour ajouter la paire de clés, la console génère également un extrait de prévisualisation du fichier de configuration.

Les procédures suivantes fonctionnent pour un utilisateur standard ou un administrateur. Les administrateurs peuvent gérer les clés d'API pour un autre utilisateur ou pour eux-mêmes.

À propos de l'extrait de fichier de configuration

Lorsque vous utilisez la console pour ajouter la paire de clés de signature d'API, un extrait de prévisualisation du fichier de configuration est généré avec les informations suivantes :

user - OCID de l'utilisateur pour lequel la paire de clés est ajoutée.
fingerprint - Empreinte numérique de la clé qui vient d'être ajoutée.
tenancy - OCID de votre location.
region - Région actuellement sélectionnée dans la console.
key_file - Chemin d'accès au fichier de clé privée téléchargé. Vous devez mettre à jour cette valeur dans le chemin d'accès à votre système de fichiers où vous avez enregistré le fichier de clé privée.

Si votre fichier de configuration a déjà un profil DEFAULT, vous devrez effectuer l'une des opérations suivantes :

Remplacer le profil existant et son contenu.
Renommer le profil existant.
Renommer ce profil avec un nom différent après l'avoir collé dans le fichier de configuration.

Vous pouvez copier cet extrait dans votre fichier de configuration, pour vous aider à démarrer. Si vous n'avez pas encore de fichier de configuration, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande pour plus de détails sur la façon de créer un fichier. Vous pouvez également récupérer l'extrait de fichier de configuration plus tard pour une clé de signature d'API lorsque vous en avez besoin. Voir : Pour obtenir l'extrait de fichier de configuration pour une clé de signature d'API.

Pour générer une paire de clés de signature d'API

Préalables : Avant de générer une paire de clés, créez le répertoire .oci dans votre répertoire de base pour stocker les données d'identification. Pour plus de détails, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande.

Consultez les détails de l'utilisateur :
- Si vous ajoutez une clé d'API pour vous-même :
  
  Ouvrez le menu Profil et cliquez sur Mon profil.
- Si vous êtes administrateur et que vous ajoutez une clé d'API pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
Dans la section Ressources en bas à gauche, cliquez sur Clés d'API
Cliquez sur Ajouter une clé d'API en haut à gauche de la liste Clés d'API. La boîte de dialogue Ajouter une clé d'API s'affiche.
Cliquez sur Télécharger la clé privée et enregistrez la clé dans votre répertoire .oci. Dans la plupart des cas, vous n'avez pas besoin de télécharger la clé publique.

Note : Si votre navigateur télécharge la clé privée dans un autre répertoire, veillez à la déplacer vers votre répertoire .oci.
Cliquez sur Ajouter.
La clé est ajoutée et la prévisualisation du fichier de configuration s'affiche. L'extrait de fichier comprend les paramètres et les valeurs nécessaires pour créer votre fichier de configuration. Copiez et collez l'extrait de fichier de configuration de la zone de texte vers ~/.oci/config file. (Si vous n'avez pas encore créé ce fichier, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande pour plus de détails sur le mode de création.)
Après avoir collé le contenu du fichier, vous devrez mettre à jour le paramètre key_file dans l'emplacement où vous avez enregistré votre fichier de clé privée.
Si votre fichier de configuration a déjà un profil DEFAULT, vous devrez effectuer l'une des opérations suivantes :
- Remplacer le profil existant et son contenu.
- Renommer le profil existant.
- Renommer ce profil avec un nom différent après l'avoir collé dans le fichier de configuration.
Mettez à jour les autorisations sur votre fichier de clé privée téléchargé afin que vous seul puissiez le consulter :
1. Accédez au répertoire .oci dans lequel vous avez placé le fichier de clé privée.
2. Utilisez la commande chmod go-rwx ~/.oci/<oci_api_keyfile>.pem pour définir les autorisations sur le fichier.

Pour charger ou coller une clé d'API

Préalables : Vous avez généré une clé RSA publique dans le format PEM (2048 bits minimum). Le format PEM ressemble à ceci :

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——

Consultez les détails de l'utilisateur :
- Si vous ajoutez une clé d'API pour vous-même :
  
  Ouvrez le menu Profil et cliquez sur Mon profil.
- Si vous êtes administrateur et que vous ajoutez une clé d'API pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
Dans la section Ressources en bas à gauche, cliquez sur Clés d'API
Cliquez sur Ajouter une clé d'API en haut à gauche de la liste Clés d'API. La boîte de dialogue Ajouter une clé d'API s'affiche.
Dans la boîte de dialogue, cliquez sur Sélectionner un fichier de clé publique pour charger votre fichier ou sélectionnez Coller la clé publique si vous préférez la coller dans une zone de texte.
Cliquez sur Ajouter.
La clé est ajoutée et la prévisualisation du fichier de configuration s'affiche. L'extrait de fichier comprend les paramètres et les valeurs nécessaires pour créer votre fichier de configuration. Copiez et collez l'extrait de fichier de configuration de la zone de texte vers ~/.oci/config file. (Si vous n'avez pas encore créé ce fichier, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande pour plus de détails sur le mode de création.)
Après avoir collé le contenu du fichier, vous devrez mettre à jour le paramètre key_file dans l'emplacement où vous avez enregistré votre fichier de clé privée.
Si votre fichier de configuration a déjà un profil DEFAULT, vous devrez effectuer l'une des opérations suivantes :
- Remplacer le profil existant et son contenu.
- Renommer le profil existant.
- Renommer ce profil avec un nom différent après l'avoir collé dans le fichier de configuration.

Pour obtenir l'extrait de fichier de configuration pour une clé de signature d'API

La procédure suivante fonctionne pour un utilisateur standard ou un administrateur.

Consultez les détails de l'utilisateur :
- Si vous obtenez un extrait de fichier de configuration de clé d'API pour vous-même :
  
  Ouvrez le menu Profil et cliquez sur Mon profil.
- Si vous êtes administrateur et que vous récupérez une clé d'API pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Repérez l'utilisateur dans la liste, puis cliquez sur son nom pour voir les détails.
Dans la section Ressources en bas à gauche, cliquez sur Clés d'API
Sur le côté gauche de la page, cliquez sur Clés d'API. La liste des empreintes numériques de clé d'API s'affiche.
Cliquez sur le menu Actions () de l'empreinte numérique, puis sélectionnez Voir le fichier de configuration.
La prévisualisation du fichier de configuration s'affiche. L'extrait de fichier comprend les paramètres et les valeurs nécessaires pour créer votre fichier de configuration. Copiez et collez l'extrait de fichier de configuration de la zone de texte vers ~/.oci/config file. (Si vous n'avez pas encore créé ce fichier, voir Fichier de configuration des trousses SDK et de l'interface de ligne de commande pour plus de détails sur le mode de création.) Après avoir collé le contenu du fichier, vous devrez mettre à jour le paramètre key_file dans l'emplacement où vous avez enregistré votre fichier de clé privée.
Si votre fichier de configuration a déjà un profil DEFAULT, vous devrez effectuer l'une des opérations suivantes :
- Remplacer le profil existant et son contenu.
- Renommer le profil existant.
- Renommer ce profil avec un nom différent après l'avoir collé dans le fichier de configuration.

Génération d'une clé de signature d'API (Linux et Mac OS X)

Utilisez les commandes OpenSSL suivantes pour générer la paire de clés dans le format PEM requis.

Si vous ne l'avez pas encore fait, créez un répertoire .oci pour stocker les données d'identification :
```
mkdir ~/.oci                
```
Générez la clé privée à l'aide de l'une des commandes suivantes.
- Pour générer la clé chiffrée au moyen d'une phrase secrète que vous fournissez à l'invite :
  Note
  
  Il est recommandé d'utiliser une phrase secrète pour votre clé.
```
openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048                    
```
- Pour générer la clé sans phrase secrète :
```
openssl genrsa -out ~/.oci/oci_api_key.pem 2048                        
```
Modifiez l'autorisation de fichier pour vous assurer que vous seul pouvez lire le fichier de clé privée :
```
chmod go-rwx ~/.oci/oci_api_key.pem               
```

Générez la clé publique à partir de votre nouvelle clé privée :

openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem

Copiez le contenu de la clé publique dans le presse-papiers à l'aide de pbcopy, de xclip ou d'un outil similaire (vous devrez coller la valeur dans la console ultérieurement). Par exemple :
```
cat ~/.oci/oci_api_key_public.pem | pbcopy           
```

Vos demandes d'API seront signées avec votre clé privée et Oracle utilisera la clé publique pour vérifier l'authenticité de la demande. Vous devez charger la clé publique dans GIA (instructions ci-dessous).

Génération d'une clé de signature d'API (Windows)

Si vous utilisez Windows, vous devez installer Git Bash pour Windows avant d'exécuter les commandes suivantes.

Note

Veillez à inclure le binaire openssl dans votre chemin Windows. Lors des installations par défaut, le fichier openssl.exe se trouve dans C:\Program Files\Git\mingw64\bin.

Utilisez les commandes OpenSSL suivantes pour générer la paire de clés dans le format PEM requis.

Si vous ne l'avez pas encore fait, créez un répertoire .oci pour stocker les données d'identification . Par exemple :
```
mkdir %HOMEDRIVE%%HOMEPATH%\.oci                
```
Générez la clé privée à l'aide de l'une des commandes suivantes :
- Pour générer la clé chiffrée au moyen d'une phrase secrète que vous fournissez à l'invite :
  Note
  
  Il est recommandé d'utiliser une phrase secrète pour votre clé.
```
openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -aes128 -passout stdin 2048                 
```
- Pour générer la clé sans phrase secrète :
```
openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem 2048                        
```

Générez la clé publique à partir de votre nouvelle clé privée :

openssl rsa -pubout -in %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key_public.pem

Copiez le contenu de la clé publique dans le presse-papiers (vous devrez la coller dans la console ultérieurement). Par exemple :
```
type \.oci\oci_api_key_public.pem     
```

Comment obtenir l'empreinte digitale de la clé

Vous pouvez obtenir l'empreinte numérique de la clé à l'aide de la commande OpenSSL suivante.

Pour Linux et Mac OS X :

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c

Pour Windows :

Note

Si vous utilisez Windows, vous devez installer Git Bash pour Windows et exécuter la commande avec cet outil.

openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Lorsque vous chargez la clé publique dans la console, l'empreinte numérique y est également affichée automatiquement. Cela ressemble à ceci : 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

Où obtenir l'OCID de la location et l'OCID de l'utilisateur

Les deux OCID se trouvent dans la console, à laquelle vous pouvez accéder en vous connectant ici : https://cloud.oracle.com. Si vous n'avez pas d'identifiant de connexion et de mot de passe pour la console, communiquez avec un administrateur. Pour une présentation des OCID, voir Identificateurs de ressource.

OCID de la location

Vous trouverez l'OCID de la location dans la Console Oracle Cloud Infrastructure, dans la page Détails de location :

Sélectionnez le menu Profil (), situé dans le coin supérieur droit de la barre de navigation en haut de la page, puis cliquez sur Location : <your_tenancy_name>.
L'OCID de la location est indiqué sous Informations sur la location. Cliquez sur Copier pour le copier dans le presse-papiers.

OCID de l'utilisateur

Obtenir l'OCID de l'utilisateur dans la console sur la page affichant les détails de l'utilisateur. Pour accéder à cette page :

Si vous êtes connecté en tant qu'utilisateur :

Ouvrez le menu Profil et cliquez sur Mon profil.
Si vous êtes administrateur et que vous effectuez cette opération pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Sélectionnez l'utilisateur dans la liste.
L'OCID de l'utilisateur est indiqué sous Informations sur l'utilisateur. Cliquez sur Copier pour le copier dans le presse-papiers.

Comment charger la clé publique

Vous pouvez charger la clé publique PEM dans la console, à laquelle vous pouvez accéder en vous connectant ici : https://cloud.oracle.com.

Note

Si vous n'avez pas d'identifiant de connexion et de mot de passe pour la console ou si vous ne voyez pas le menu Profil, communiquez avec un administrateur.

Ouvrez la console, et connectez-vous.
Consultez les détails de l'utilisateur qui va appeler l'API avec la paire de clés :
- Si vous êtes connecté en tant qu'utilisateur :
  
  Ouvrez le menu Profil et cliquez sur Mon profil.
- Si vous êtes administrateur et que vous effectuez cette opération pour un autre utilisateur : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Sélectionnez l'utilisateur dans la liste.
Dans la section Ressources en bas à gauche, cliquez sur Clés d'API
Cliquez sur Ajouter une clé d'API en haut à gauche de la liste Clés d'API. La boîte de dialogue Ajouter une clé d'API s'affiche.
Sélectionnez le bouton radio Coller une clé publique.
Collez le contenu de la clé publique PEM dans la boîte de dialogue et cliquez sur Ajouter.

L'empreinte numérique de la clé s'affiche (par exemple, 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef).

Notez qu'après avoir chargé votre première clé publique, vous pouvez également utiliser l'opération d'API UploadApiKey pour charger des clés supplémentaires. Vous pouvez avoir jusqu'à trois paires de clés d'API par utilisateur. Dans une demande d'API, vous spécifiez l'empreinte de la clé pour indiquer la clé utilisée pour signer la demande.

Documentation sur Oracle Cloud Infrastructure