Informations détaillées sur le service de chambre forte

Détails du service de chambre forte

Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service Chambre forte.

Types de ressource individuels

vaults

keys

key-delegate

hsm-cluster

secrets

secret-versions

secret-bundles

Type de ressource agrégé

secret-family

Une politique utilisant <verb> secret-family équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource de clé secrète individuels. (Les types de ressource de clé secrète incluent uniquement secrets, secret-versions et secret-bundles.)

Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans secret-family.

Variables prises en charge

Le service Chambre forte prend en charge toutes les variables générales, plus les variables répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Variables générales pour toutes les demandes.


Variable	Type de variable	Commentaires
`request.includePlainTextKey`	Chaîne	Utilisez cette variable pour contrôler si la clé en texte brut doit être retournée en plus de la clé chiffrée en réponse à une demande de génération de clé de chiffrement des données.
`request.kms-key.id`	Chaîne	Utilisez cette variable pour contrôler si les volumes par blocs ou les seaux peuvent être créés sans une clé de chiffrement principale du service de chambre forte.
`target.boot-volume.kms-key.id`	Chaîne	Utilisez cette variable pour contrôler si les instances de calcul peuvent être lancées avec des volumes de démarrage qui ont été créés sans une clé de chiffrement principale du service Chambre forte.
`target.key.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des clés spécifiques par OCID.
`target.vault.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des chambres fortes spécifiques par OCID.
`target.secret.name`	Chaîne	Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des ensembles de clé secrète spécifiques par nom.
`target.secret.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des ensembles de clé secrète spécifiques par OCID.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le verbe use pour le type de ressource keys inclut les mêmes autorisations et opérations d'API que celles du verbe read, plus les autorisations KEY_ENCRYPT et KEY_DECRYPT, ainsi qu'un certain nombre d'opérations d'API (Encrypt, Decrypt et GenerateDataEncryptionKey). Le verbe manage permet même plus d'autorisations et d'opérations d'API que le verbe use.

chambres fortes


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	VAULT_INSPECT	`ListVaults`	aucune
read	INSPECT + VAULT_READ VAULT_READ	INSPECT + `GetVault` `GetVaultUsage`	aucune
use	READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET	aucun accès supplémentaire	`CreateKey` (requiert également `manage keys`) `ImportKey` (requiert également `manage keys`) `CreateSecret` (requiert également `manage secrets`)
manage	USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE	USE + `CreateVault` `UpdateVault` `ScheduleVaultDeletion` `CancelVaultDeletion` `ChangeVaultCompartment` `BackupVault` `RestoreVaultFromFile` `RestoreVaultFromObjectStore` `CreateVaultReplica` `DeleteVaultReplica`	aucune

clés


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	KEY_INSPECT	`ListKeys` `ListKeyVersions`	aucune
read	INSPECT + KEY_READ	INSPECT + `GetKey` `GetKeyVersion`	aucune
use	READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY	READ + `Encrypt` `Decrypt` `ExportKey` `Sign` `Verify`	aucune
manage	USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE	USE + `CreateKey` `UpdateKey` `CreateKeyVersion` `CancelKeyDeletion` `ChangeKeyCompartment` `ImportKeyVersion` `BackupKey` `RestoreKeyFromFile` `RestoreKeyFromObjectStore`	`CreateKey` (requiert également `use vaults`) `ImportKey` (requiert également `use vaults`)

clé déléguée


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
use	KEY_ASSOCIATE KEY_DISASSOCIATE	`Encrypt` `GenerateDataEncryptionKey` `Decrypt`	aucune

grappe hsm


Verbes	Autorisations	API entièrement couverte	API partiellement couverte
Inspecter	HSM_CLUSTER_INSPECT	ListHsmClusters ListHsmPartitions	Aucune
read	HSM_CLUSTER_READ	GetHsmCluster GetHsmPartition	Aucune
use	HSM_CLUSTER_UPDATE	GetPreCoUserCredentials DownloadCertificateSigningRequest UpdateHsmCluster UploadPartitionCertificates	Aucune
manage	HSM_CLUSTER_DELETE HSM_CLUSTER_CREATE HSM_CLUSTER_MOVE	CreateHsmCluster ChangeHsmClusterCompartment ScheduleHsmClusterDeletion CancelHsmClusterDeletion	Aucune

clés secrètes


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	SECRET_INSPECT	`ListSecrets`	aucune
read	INSPECT + SECRET_READ	INSPECT + `GetSecret`	aucune
use	READ + SECRET_UPDATE SECRET_ROTATE	READ + `UpdateSecret` `Rotate` `CancelRotation`	READ + `ChangeSecretCompartment` (requiert également `manage secrets`) `ScheduleSecretVersionDeletion` (requiert également `manage secret-versions`) `CancelSecretVersionDeletion` (requiert également `manage secret-versions`)
manage	USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE	USE + `ScheduleSecretDeletion` `CancelSecretDeletion`	USE + `CreateSecret` (requiert également `use vaults`) `ChangeSecretCompartment` (requiert également `use secrets`)

versions de clé secrète


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	SECRET_VERSION_INSPECT	`ListSecretVersions`	aucune
read	INSPECT + SECRET_VERSION_READ	INSPECT + `GetKeyVersion`	aucune
manage	READ + SECRET_VERSION_DELETE	aucun accès supplémentaire	`ScheduleSecretVersionDeletion` (requiert également `use secrets`) `CancelSecretVersionDeletion` (requiert également `use secrets`)

ensembles de clé secrète


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
inspect	SECRET_BUNDLE_INSPECT	`ListSecretBundles`	aucune
read	INSPECT + SECRET_BUNDLE_READ	INSPECT + `GetSecretBundle`	aucune

Autorisations requises pour chaque opération d'API

Autorisation pour les opérations d'API de chambre forte.

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les autorisations, voir Autorisations.


Opération d'API	Autorisations requises pour utiliser l'opération
`ListVaults`	VAULT_INSPECT
`GetVault`	VAULT_READ
`CreateVault`	VAULT_CREATE
`UpdateVault`	VAULT_UPDATE
`ScheduleVaultDeletion`	VAULT_DELETE
`CancelVaultDeletion`	VAULT_DELETE
`ChangeVaultCompartment`	VAULT_MOVE
`BackupVault`	VAULT_BACKUP
`RestoreVaultFromFile`	VAULT_RESTORE
`RestoreVaultFromObjectStore`	VAULT_RESTORE
`ListVaultReplicas`	VAULT_INSPECT
`CreateVaultReplica`	VAULT_REPLICATE
`DeleteVaultReplica`	VAULT_REPLICATE
`GetVaultUsage`	VAULT_READ
`ListKeys`	KEY_INSPECT
`ListKeyVersions`	KEY_INSPECT
`GetKey`	KEY_READ
`CreateKey`	KEY_CREATE et VAULT_CREATE_KEY
`EnableKey`	KEY_UPDATE
`DisableKey`	KEY_UPDATE
`UpdateKey`	KEY_UPDATE
`ScheduleKeyDeletion`	KEY_DELETE
`CancelKeyDeletion`	KEY_DELETE
`ChangeKeyCompartment`	KEY_MOVE
`BackupKey`	KEY_BACKUP
`RestoreKeyFromFile`	KEY_RESTORE
`RestoreKeyFromObjectStore`	KEY_RESTORE
`GetKeyVersion`	KEY_READ
`CreateKeyVersion`	KEY_ROTATE
`ImportKey`	KEY_IMPORT et VAULT_IMPORT_KEY
`ImportKeyVersion`	KEY_IMPORT
`ExportKey`	KEY_EXPORT
`GenerateDataEncryptionKey`	KEY_ENCRYPT
`Encrypt`	KEY_ENCRYPT
`Decrypt`	KEY_DECRYPT
`Sign`	KEY_SIGN
`Verify`	KEY_VERIFY
`CreateSecret`	SECRET_CREATE
`UpdateSecret`	SECRET_UPDATE
`ListSecrets`	SECRET_INSPECT
`GetSecret`	SECRET_READ
`ScheduleSecretDeletion`	SECRET_DELETE
`ChangeSecretCompartment`	SECRET_MOVE et SECRET_UPDATE
`ListSecretVersions`	SECRET_VERSION_INSPECT
`GetSecretVersion`	SECRET_VERSION_READ
`ScheduleSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`CancelSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`ListSecretBundles`	SECRET_BUNDLE_INSPECT
`GetSecretBundle`	SECRET_BUNDLE_READ
`GetSecretBundleByName`	SECRET_BUNDLE_READ
`CreateHsmCluster`	HSM_CLUSTER_CREATE
`GetHsmCluster`	HSM_CLUSTER_READ
`GetHsmPartition`	HSM_CLUSTER_READ
`GetPreCoUserCredentials`	HSM_CLUSTER_UPDATE
`DownloadCertificateSigningRequest`	HSM_CLUSTER_UPDATE
`UpdateHsmCluster`	HSM_CLUSTER_UPDATE
`ChangeHsmClusterCompartment`	HSM_CLUSTER_MOVE
`UploadPartitionOwnerCertificate`	HSM_CLUSTER_UPDATE
`ScheduleHsmClusterDeletion`	HSM_CLUSTER_DELETE
`CancelDeletion`	HSM_CLUSTER_DELETE
`ListHsmClusters`	HSM_CLUSTER_INSPECT
`ListHsmPartitions`	HSM_CLUSTER_INSPECT