Informations détaillées sur la chambre forte, la gestion des clés et les clés secrètes

Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service Chambre forte.

Types de ressource individuels

vaults

keys

key-delegate

hsm-cluster

secrets

secret-versions

secret-bundles

secret-replication

Type de ressource agrégé

secret-family

Une politique utilisant <verb> secret-family équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource de clé secrète individuels. (Les types de ressource de clé secrète incluent uniquement secrets, secret-versions et secret-bundles). Notez que le type de ressource secret-replication n'est PAS inclus dans le verbe secret-family.)

Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans secret-family.

Variables prises en charge

Le service Chambre forte prend en charge toutes les variables générales, plus les variables répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Variables générales pour toutes les demandes.

Variable Type de variable Commentaires
request.includePlainTextKey Chaîne Utilisez cette variable pour contrôler si la clé en texte brut doit être retournée en plus de la clé chiffrée en réponse à une demande de génération de clé de chiffrement des données.
request.kms-key.id Chaîne Utilisez cette variable pour contrôler si les volumes par blocs ou les seaux peuvent être créés sans une clé de chiffrement principale du service de chambre forte.
target.boot-volume.kms-key.id Chaîne Utilisez cette variable pour contrôler si les instances de calcul peuvent être lancées avec des volumes de démarrage qui ont été créés sans une clé de chiffrement principale du service Chambre forte.
target.key.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des clés spécifiques par OCID.
target.vault.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des chambres fortes spécifiques par OCID.
target.secret.name Chaîne Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des ensembles de clé secrète spécifiques par nom.
target.secret.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des ensembles de clé secrète spécifiques par OCID.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le verbe use pour le type de ressource keys inclut les mêmes autorisations et opérations d'API que celles du verbe read, plus les autorisations KEY_ENCRYPT et KEY_DECRYPT, ainsi qu'un certain nombre d'opérations d'API (Encrypt, Decrypt et GenerateDataEncryptionKey). Le verbe manage permet même plus d'autorisations et d'opérations d'API que le verbe use.

vaults
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

VAULT_INSPECT

ListVaults

aucune

read

INSPECT +

VAULT_READ

INSPECT +

GetVault

GetVaultUsage

aucune

use

READ +

VAULT_CREATE_KEY

VAULT_IMPORT_KEY

VAULT_CREATE_SECRET

aucun accès supplémentaire

 

CreateKey (requiert également manage keys)

ImportKey (requiert également manage keys)

CreateSecret (requiert également manage secrets)

manage

USE +

VAULT_CREATE

VAULT_UPDATE

VAULT_DELETE

VAULT_MOVE

VAULT_BACKUP

VAULT_RESTORE

VAULT_REPLICATE

USE +

CreateVault

UpdateVault

ScheduleVaultDeletion

CancelVaultDeletion

ChangeVaultCompartment

BackupVault

RestoreVaultFromFile

RestoreVaultFromObjectStore

CreateVaultReplica

DeleteVaultReplica

aucune

keys
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

KEY_INSPECT

ListKeys

ListKeyVersions

aucune

read

INSPECT +

KEY_READ

INSPECT +

GetKey

GetKeyVersion

aucune

use

READ +

KEY_ENCRYPT

KEY_DECRYPT

KEY_EXPORT

KEY_SIGN

KEY_VERIFY

READ +

Encrypt

Decrypt

ExportKey

Sign

Verify

aucune

manage

USE +

KEY_CREATE

KEY_UPDATE

KEY_ROTATE

KEY_DELETE

KEY_MOVE

KEY_IMPORT

KEY_BACKUP

KEY_RESTORE

USE +

UpdateKey

CreateKeyVersion

CancelKeyDeletion

ChangeKeyCompartment

ImportKeyVersion

BackupKey

RestoreKeyFromFile

RestoreKeyFromObjectStore

CreateKey (requiert également use vaults)

ImportKey (requiert également use vaults)

key-delegate
Note

Les autorisations key-delegate sont utilisées pour permettre aux services OCI intégrés d'utiliser une clé spécifique dans un compartiment spécifique. Par exemple, vous pouvez utiliser ce type d'autorisation pour permettre au service de stockage d'objets de créer ou de mettre à jour un compartiment chiffré et pour permettre au service de chiffrer ou de déchiffrer des données dans le compartiment. Les utilisateurs auxquels des autorisations déléguées sont accordées n'ont pas l'autorisation d'utiliser la clé spécifiée elle-même, mais ont plutôt l'autorisation de laisser les services spécifiés utiliser la clé. Pour plus de détails, voir les politiques communes suivantes :

Verbes Autorisations API entièrement couvertes API partiellement couvertes
use

KEY_ASSOCIATE

KEY_DISASSOCIATE

Encrypt

GenerateDataEncryptionKey

Decrypt

aucune

hsm-cluster
Verbes Autorisations API entièrement couverte API partiellement couverte
Inspecter

HSM_CLUSTER_INSPECT

ListHsmClusters

ListHsmPartitions

Aucune

read

INSPECT +

HSM_CLUSTER_READ

GetHsmCluster

GetHsmPartition

Aucune

use

READ +

HSM_CLUSTER_UPDATE

GetPreCoUserCredentials

DownloadCertificateSigningRequest

UpdateHsmCluster

UploadPartitionCertificates

Aucune

manage

USE +

HSM_CLUSTER_DELETE

HSM_CLUSTER_CREATE

HSM_CLUSTER_MOVE

CreateHsmCluster

ChangeHsmClusterCompartment

ScheduleHsmClusterDeletion

CancelHsmClusterDeletion

Aucune

secrets
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

SECRET_INSPECT

ListSecrets

aucune

read

INSPECT +

SECRET_READ

INSPECT +

GetSecret

aucune

use

READ +

SECRET_UPDATE

READ +

Rotate

CancelRotation

READ +

UpdateSecret (pour la fonction de réplication de clé secrète inter-région uniquement, requiert également l'autorisation manage secrets ou SECRET_REPLICATE_CONFIGURE)

ChangeSecretCompartment (requiert également manage secrets)

ScheduleSecretVersionDeletion (requiert également manage secret-versions)

CancelSecretVersionDeletion (requiert également manage secret-versions)

manage

USE +

SECRET_CREATE

SECRET_DELETE

SECRET_MOVE

SECRET_ROTATE

SECRET_REPLICATE_CONFIGURE

USE +

ScheduleSecretDeletion

CancelSecretDeletion

RotateSecret

USE +

CreateSecret (requiert également use vaults)

ChangeSecretCompartment (requiert également use secrets)

secret-replication
Verbes Autorisations API entièrement couvertes API partiellement couvertes
use

SECRET_REPLICATE

none

autorisation requise pour être accordée à un principal de ressource vaultsecret afin d'autoriser la réplication de clé secrète inter-région.

secret-versions
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

SECRET_VERSION_INSPECT

ListSecretVersions

aucune

read

INSPECT +

SECRET_VERSION_READ

INSPECT +

GetKeyVersion

aucune

manage

READ +

SECRET_VERSION_DELETE

aucun accès supplémentaire

ScheduleSecretVersionDeletion (requiert également use secrets)

CancelSecretVersionDeletion (requiert également use secrets)

secret-bundles
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

SECRET_BUNDLE_INSPECT

ListSecretBundles

aucune

read

INSPECT +

SECRET_BUNDLE_READ

INSPECT +

GetSecretBundle

aucune

Autorisations requises pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les autorisations, voir Autorisations.

Opération d'API Autorisations requises pour utiliser l'opération
ListVaults VAULT_INSPECT
GetVault VAULT_READ
CreateVault VAULT_CREATE
UpdateVault VAULT_UPDATE
ScheduleVaultDeletion VAULT_DELETE
CancelVaultDeletion VAULT_DELETE
ChangeVaultCompartment VAULT_MOVE
BackupVault VAULT_BACKUP
RestoreVaultFromFile VAULT_RESTORE
RestoreVaultFromObjectStore VAULT_RESTORE
ListVaultReplicas VAULT_INSPECT
CreateVaultReplica VAULT_REPLICATE
DeleteVaultReplica VAULT_REPLICATE
GetVaultUsage VAULT_READ
ListKeys KEY_INSPECT
ListKeyVersions KEY_INSPECT
GetKey KEY_READ
CreateKey KEY_CREATE et VAULT_CREATE_KEY
EnableKey KEY_UPDATE
DisableKey KEY_UPDATE
UpdateKey KEY_UPDATE
ScheduleKeyDeletion KEY_DELETE
CancelKeyDeletion KEY_DELETE
ChangeKeyCompartment KEY_MOVE
BackupKey KEY_BACKUP
RestoreKeyFromFile KEY_RESTORE
RestoreKeyFromObjectStore KEY_RESTORE
GetKeyVersion KEY_READ
CreateKeyVersion KEY_ROTATE
ImportKey KEY_IMPORT et VAULT_IMPORT_KEY
ImportKeyVersion KEY_IMPORT
ExportKey KEY_EXPORT
GenerateDataEncryptionKey KEY_ENCRYPT (Utiliser KEY_ASSOCIATE lors de la délégation d'une autorisation à un service intégré)
Encrypt KEY_ENCRYPT (Utiliser KEY_ASSOCIATE lors de la délégation d'une autorisation à un service intégré)
Decrypt KEY_DECRYPT (Utiliser KEY_ASSOCIATE lors de la délégation d'une autorisation à un service intégré)
Sign KEY_SIGN
Verify KEY_VERIFY
CreateSecret KEY_ENCRYPT, KEY_DECRYPT, SECRET_CREATE et VAULT_CREATE_SECRET (ajoutez SECRET_REPLICATE_CONFIGURE pour permettre la configuration de la réplication inter-région dans la région de la clé secrète source)
UpdateSecret SECRET_UPDATE (ajoutez SECRET_REPLICATE_CONFIGURE pour permettre la configuration de la réplication inter-région dans la région de la clé secrète source)
ListSecrets SECRET_INSPECT
GetSecret SECRET_READ
RotateSecret SECRET_ROTATE
ScheduleSecretDeletion SECRET_DELETE
ChangeSecretCompartment SECRET_MOVE et SECRET_UPDATE
ListSecretVersions SECRET_VERSION_INSPECT
GetSecretVersion SECRET_VERSION_READ
ScheduleSecretVersionDeletion SECRET_VERSION_DELETE et SECRET_UPDATE
CancelSecretVersionDeletion SECRET_VERSION_DELETE et SECRET_UPDATE
ListSecretBundles SECRET_BUNDLE_INSPECT
GetSecretBundle SECRET_BUNDLE_READ
GetSecretBundleByName SECRET_BUNDLE_READ
ScheduleSecretVersionDeletion SECRET_VERSION_DELETE et SECRET_UPDATE
CancelSecretVersionDeletion SECRET_VERSION_DELETE et SECRET_UPDATE
ListSecretBundles SECRET_BUNDLE_INSPECT
GetSecretBundle SECRET_BUNDLE_READ
GetSecretBundleByName SECRET_BUNDLE_READ
CreateHsmCluster HSM_CLUSTER_CREATE
GetHsmCluster HSM_CLUSTER_READ
GetHsmPartition HSM_CLUSTER_READ
GetPreCoUserCredentials HSM_CLUSTER_UPDATE
DownloadCertificateSigningRequest HSM_CLUSTER_UPDATE
UpdateHsmCluster HSM_CLUSTER_UPDATE
ChangeHsmClusterCompartment HSM_CLUSTER_MOVE
UploadPartitionOwnerCertificate HSM_CLUSTER_UPDATE
ScheduleHsmClusterDeletion HSM_CLUSTER_DELETE
CancelDeletion HSM_CLUSTER_DELETE
ListHsmClusters HSM_CLUSTER_INSPECT
ListHsmPartitions HSM_CLUSTER_INSPECT