Informations détaillées sur la chambre forte, la gestion des clés et les clés secrètes

Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service Chambre forte.

Types de ressource individuels

vaults

keys

key-delegate

hsm-cluster

secrets

secret-versions

secret-bundles

secret-replication

Type de ressource agrégé

secret-family

Une politique utilisant <verb> secret-family équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource de clé secrète individuels. (Les types de ressource de clé secrète incluent uniquement secrets, secret-versions et secret-bundles). Notez que le type de ressource secret-replication n'est PAS inclus dans le verbe secret-family.)

Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans secret-family.

Variables prises en charge

Le service Chambre forte prend en charge toutes les variables générales, plus les variables répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Variables générales pour toutes les demandes.


Variable	Type de variable	Commentaires
`request.includePlainTextKey`	Chaîne	Utilisez cette variable pour contrôler si la clé en texte brut doit être retournée en plus de la clé chiffrée en réponse à une demande de génération de clé de chiffrement des données.
`request.kms-key.id`	Chaîne	Utilisez cette variable pour contrôler si les volumes par blocs ou les seaux peuvent être créés sans une clé de chiffrement principale du service de chambre forte.
`target.boot-volume.kms-key.id`	Chaîne	Utilisez cette variable pour contrôler si les instances de calcul peuvent être lancées avec des volumes de démarrage qui ont été créés sans une clé de chiffrement principale du service Chambre forte.
`target.key.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des clés spécifiques par OCID.
`target.vault.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des chambres fortes spécifiques par OCID.
`target.secret.name`	Chaîne	Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des ensembles de clé secrète spécifiques par nom.
`target.secret.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des ensembles de clé secrète spécifiques par OCID.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le verbe use pour le type de ressource keys inclut les mêmes autorisations et opérations d'API que celles du verbe read, plus les autorisations KEY_ENCRYPT et KEY_DECRYPT, ainsi qu'un certain nombre d'opérations d'API (Encrypt, Decrypt et GenerateDataEncryptionKey). Le verbe manage permet même plus d'autorisations et d'opérations d'API que le verbe use.

vaults


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	VAULT_INSPECT	`ListVaults`	aucune
read	INSPECT + VAULT_READ	INSPECT + `GetVault` `GetVaultUsage`	aucune
use	READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET	aucun accès supplémentaire	`CreateKey` (requiert également `manage keys`) `ImportKey` (requiert également `manage keys`) `CreateSecret` (requiert également `manage secrets`)
manage	USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE	USE + `CreateVault` `UpdateVault` `ScheduleVaultDeletion` `CancelVaultDeletion` `ChangeVaultCompartment` `BackupVault` `RestoreVaultFromFile` `RestoreVaultFromObjectStore` `CreateVaultReplica` `DeleteVaultReplica`	aucune

keys


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	KEY_INSPECT	`ListKeys` `ListKeyVersions`	aucune
read	INSPECT + KEY_READ	INSPECT + `GetKey` `GetKeyVersion`	aucune
use	READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY	READ + `Encrypt` `Decrypt` `ExportKey` `Sign` `Verify`	aucune
manage	USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE	USE + `UpdateKey` `CreateKeyVersion` `CancelKeyDeletion` `ChangeKeyCompartment` `ImportKeyVersion` `BackupKey` `RestoreKeyFromFile` `RestoreKeyFromObjectStore`	`CreateKey` (requiert également `use vaults`) `ImportKey` (requiert également `use vaults`)

key-delegate

Note

Les autorisations key-delegate sont utilisées pour permettre aux services OCI intégrés d'utiliser une clé spécifique dans un compartiment spécifique. Par exemple, vous pouvez utiliser ce type d'autorisation pour permettre au service de stockage d'objets de créer ou de mettre à jour un compartiment chiffré et pour permettre au service de chiffrer ou de déchiffrer des données dans le compartiment. Les utilisateurs auxquels des autorisations déléguées sont accordées n'ont pas l'autorisation d'utiliser la clé spécifiée elle-même, mais ont plutôt l'autorisation de laisser les services spécifiés utiliser la clé. Pour plus de détails, voir les politiques communes suivantes :


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
use	KEY_ASSOCIATE KEY_DISASSOCIATE	`Encrypt` `GenerateDataEncryptionKey` `Decrypt`	aucune

hsm-cluster


Verbes	Autorisations	API entièrement couverte	API partiellement couverte
Inspecter	HSM_CLUSTER_INSPECT	ListHsmClusters ListHsmPartitions	Aucune
read	INSPECT + HSM_CLUSTER_READ	GetHsmCluster GetHsmPartition	Aucune
use	READ + HSM_CLUSTER_UPDATE	GetPreCoUserCredentials DownloadCertificateSigningRequest UpdateHsmCluster UploadPartitionCertificates	Aucune
manage	USE + HSM_CLUSTER_DELETE HSM_CLUSTER_CREATE HSM_CLUSTER_MOVE	CreateHsmCluster ChangeHsmClusterCompartment ScheduleHsmClusterDeletion CancelHsmClusterDeletion	Aucune

secrets


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	SECRET_INSPECT	`ListSecrets`	aucune
read	INSPECT + SECRET_READ	INSPECT + `GetSecret`	aucune
use	READ + SECRET_UPDATE	READ + `Rotate` `CancelRotation`	READ + `UpdateSecret` (pour la fonction de réplication de clé secrète inter-région uniquement, requiert également l'autorisation `manage secrets` ou `SECRET_REPLICATE_CONFIGURE`) `ChangeSecretCompartment` (requiert également `manage secrets`) `ScheduleSecretVersionDeletion` (requiert également `manage secret-versions`) `CancelSecretVersionDeletion` (requiert également `manage secret-versions`)
manage	USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE SECRET_ROTATE SECRET_REPLICATE_CONFIGURE	USE + `ScheduleSecretDeletion` `CancelSecretDeletion` `RotateSecret`	USE + `CreateSecret` (requiert également `use vaults`) `ChangeSecretCompartment` (requiert également `use secrets`)

secret-replication


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
use	SECRET_REPLICATE	`none`	autorisation requise pour être accordée à un principal de ressource vaultsecret afin d'autoriser la réplication de clé secrète inter-région.

secret-versions


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	SECRET_VERSION_INSPECT	`ListSecretVersions`	aucune
read	INSPECT + SECRET_VERSION_READ	INSPECT + `GetKeyVersion`	aucune
manage	READ + SECRET_VERSION_DELETE	aucun accès supplémentaire	`ScheduleSecretVersionDeletion` (requiert également `use secrets`) `CancelSecretVersionDeletion` (requiert également `use secrets`)

secret-bundles


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	SECRET_BUNDLE_INSPECT	`ListSecretBundles`	aucune
read	INSPECT + SECRET_BUNDLE_READ	INSPECT + `GetSecretBundle`	aucune

Autorisations requises pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les autorisations, voir Autorisations.


Opération d'API	Autorisations requises pour utiliser l'opération
`ListVaults`	VAULT_INSPECT
`GetVault`	VAULT_READ
`CreateVault`	VAULT_CREATE
`UpdateVault`	VAULT_UPDATE
`ScheduleVaultDeletion`	VAULT_DELETE
`CancelVaultDeletion`	VAULT_DELETE
`ChangeVaultCompartment`	VAULT_MOVE
`BackupVault`	VAULT_BACKUP
`RestoreVaultFromFile`	VAULT_RESTORE
`RestoreVaultFromObjectStore`	VAULT_RESTORE
`ListVaultReplicas`	VAULT_INSPECT
`CreateVaultReplica`	VAULT_REPLICATE
`DeleteVaultReplica`	VAULT_REPLICATE
`GetVaultUsage`	VAULT_READ
`ListKeys`	KEY_INSPECT
`ListKeyVersions`	KEY_INSPECT
`GetKey`	KEY_READ
`CreateKey`	KEY_CREATE et VAULT_CREATE_KEY
`EnableKey`	KEY_UPDATE
`DisableKey`	KEY_UPDATE
`UpdateKey`	KEY_UPDATE
`ScheduleKeyDeletion`	KEY_DELETE
`CancelKeyDeletion`	KEY_DELETE
`ChangeKeyCompartment`	KEY_MOVE
`BackupKey`	KEY_BACKUP
`RestoreKeyFromFile`	KEY_RESTORE
`RestoreKeyFromObjectStore`	KEY_RESTORE
`GetKeyVersion`	KEY_READ
`CreateKeyVersion`	KEY_ROTATE
`ImportKey`	KEY_IMPORT et VAULT_IMPORT_KEY
`ImportKeyVersion`	KEY_IMPORT
`ExportKey`	KEY_EXPORT
`GenerateDataEncryptionKey`	KEY_ENCRYPT (Utiliser KEY_ASSOCIATE lors de la délégation d'une autorisation à un service intégré)
`Encrypt`	KEY_ENCRYPT (Utiliser KEY_ASSOCIATE lors de la délégation d'une autorisation à un service intégré)
`Decrypt`	KEY_DECRYPT (Utiliser KEY_ASSOCIATE lors de la délégation d'une autorisation à un service intégré)
`Sign`	KEY_SIGN
`Verify`	KEY_VERIFY
`CreateSecret`	KEY_ENCRYPT, KEY_DECRYPT, SECRET_CREATE et VAULT_CREATE_SECRET (ajoutez SECRET_REPLICATE_CONFIGURE pour permettre la configuration de la réplication inter-région dans la région de la clé secrète source)
`UpdateSecret`	SECRET_UPDATE (ajoutez SECRET_REPLICATE_CONFIGURE pour permettre la configuration de la réplication inter-région dans la région de la clé secrète source)
`ListSecrets`	SECRET_INSPECT
`GetSecret`	SECRET_READ
`RotateSecret`	SECRET_ROTATE
`ScheduleSecretDeletion`	SECRET_DELETE
`ChangeSecretCompartment`	SECRET_MOVE et SECRET_UPDATE
`ListSecretVersions`	SECRET_VERSION_INSPECT
`GetSecretVersion`	SECRET_VERSION_READ
`ScheduleSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`CancelSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`ListSecretBundles`	SECRET_BUNDLE_INSPECT
`GetSecretBundle`	SECRET_BUNDLE_READ
`GetSecretBundleByName`	SECRET_BUNDLE_READ
`ScheduleSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`CancelSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`ListSecretBundles`	SECRET_BUNDLE_INSPECT
`GetSecretBundle`	SECRET_BUNDLE_READ
`GetSecretBundleByName`	SECRET_BUNDLE_READ
`CreateHsmCluster`	HSM_CLUSTER_CREATE
`GetHsmCluster`	HSM_CLUSTER_READ
`GetHsmPartition`	HSM_CLUSTER_READ
`GetPreCoUserCredentials`	HSM_CLUSTER_UPDATE
`DownloadCertificateSigningRequest`	HSM_CLUSTER_UPDATE
`UpdateHsmCluster`	HSM_CLUSTER_UPDATE
`ChangeHsmClusterCompartment`	HSM_CLUSTER_MOVE
`UploadPartitionOwnerCertificate`	HSM_CLUSTER_UPDATE
`ScheduleHsmClusterDeletion`	HSM_CLUSTER_DELETE
`CancelDeletion`	HSM_CLUSTER_DELETE
`ListHsmClusters`	HSM_CLUSTER_INSPECT
`ListHsmPartitions`	HSM_CLUSTER_INSPECT