Informations détaillées sur le service de chambre forte
Détails du service de chambre forte
Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service Chambre forte.
Types de ressource individuels
vaults
keys
key-delegate
hsm-cluster
secrets
secret-versions
secret-bundles
Type de ressource agrégé
secret-family
Une politique utilisant <verb> secret-family
équivaut à une politique ayant un énoncé <verb> <individual resource-type>
distinct pour chacun des types de ressource de clé secrète individuels. (Les types de ressource de clé secrète incluent uniquement secrets
, secret-versions
et secret-bundles
.)
Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans secret-family
.
Variables prises en charge
Le service Chambre forte prend en charge toutes les variables générales, plus les variables répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Variables générales pour toutes les demandes.
Variable | Type de variable | Commentaires |
---|---|---|
request.includePlainTextKey
|
Chaîne | Utilisez cette variable pour contrôler si la clé en texte brut doit être retournée en plus de la clé chiffrée en réponse à une demande de génération de clé de chiffrement des données. |
request.kms-key.id
|
Chaîne | Utilisez cette variable pour contrôler si les volumes par blocs ou les seaux peuvent être créés sans une clé de chiffrement principale du service de chambre forte. |
target.boot-volume.kms-key.id
|
Chaîne | Utilisez cette variable pour contrôler si les instances de calcul peuvent être lancées avec des volumes de démarrage qui ont été créés sans une clé de chiffrement principale du service Chambre forte. |
target.key.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des clés spécifiques par OCID. |
target.vault.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des chambres fortes spécifiques par OCID. |
target.secret.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des ensembles de clé secrète spécifiques par nom. |
target.secret.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des ensembles de clé secrète spécifiques par OCID. |
Informations détaillées sur les combinaisons Verbe + Type de ressource
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
Par exemple, le verbe use
pour le type de ressource keys
inclut les mêmes autorisations et opérations d'API que celles du verbe read
, plus les autorisations KEY_ENCRYPT et KEY_DECRYPT, ainsi qu'un certain nombre d'opérations d'API (Encrypt
, Decrypt
et GenerateDataEncryptionKey
). Le verbe manage
permet même plus d'autorisations et d'opérations d'API que le verbe use
.
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
VAULT_INSPECT |
ListVaults
|
aucune |
read |
INSPECT + VAULT_READ VAULT_READ |
INSPECT +
|
aucune |
use |
READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET |
aucun accès supplémentaire |
|
manage |
USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE |
USE +
|
aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | KEY_INSPECT |
|
aucune |
read | INSPECT + KEY_READ |
INSPECT +
|
aucune |
use | READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY |
READ +
|
aucune |
manage | USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE |
USE +
|
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
use | KEY_ASSOCIATE KEY_DISASSOCIATE |
|
aucune |
Verbes | Autorisations | API entièrement couverte | API partiellement couverte |
---|---|---|---|
Inspecter |
HSM_CLUSTER_INSPECT |
ListHsmClusters ListHsmPartitions |
Aucune |
read |
HSM_CLUSTER_READ |
GetHsmCluster GetHsmPartition |
Aucune |
use |
HSM_CLUSTER_UPDATE |
GetPreCoUserCredentials DownloadCertificateSigningRequest UpdateHsmCluster UploadPartitionCertificates |
Aucune |
manage |
HSM_CLUSTER_DELETE HSM_CLUSTER_CREATE HSM_CLUSTER_MOVE |
CreateHsmCluster ChangeHsmClusterCompartment ScheduleHsmClusterDeletion CancelHsmClusterDeletion |
Aucune |
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_INSPECT |
ListSecrets
|
aucune |
read | INSPECT + SECRET_READ |
INSPECT +
|
aucune |
use |
READ + SECRET_UPDATE SECRET_ROTATE |
READ +
|
READ +
|
manage | USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE |
USE +
|
USE +
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_VERSION_INSPECT |
ListSecretVersions
|
aucune |
read | INSPECT + SECRET_VERSION_READ |
INSPECT +
|
aucune |
manage | READ + SECRET_VERSION_DELETE |
aucun accès supplémentaire |
|
Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_BUNDLE_INSPECT |
ListSecretBundles
|
aucune |
read | INSPECT + SECRET_BUNDLE_READ |
INSPECT +
|
aucune |
Autorisations requises pour chaque opération d'API
Autorisation pour les opérations d'API de chambre forte.
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les autorisations, voir Autorisations.
Opération d'API | Autorisations requises pour utiliser l'opération |
---|---|
ListVaults
|
VAULT_INSPECT |
GetVault
|
VAULT_READ |
CreateVault
|
VAULT_CREATE |
UpdateVault
|
VAULT_UPDATE |
ScheduleVaultDeletion
|
VAULT_DELETE |
CancelVaultDeletion
|
VAULT_DELETE |
ChangeVaultCompartment
|
VAULT_MOVE |
BackupVault
|
VAULT_BACKUP |
RestoreVaultFromFile
|
VAULT_RESTORE |
RestoreVaultFromObjectStore
|
VAULT_RESTORE |
ListVaultReplicas |
VAULT_INSPECT |
CreateVaultReplica |
VAULT_REPLICATE |
DeleteVaultReplica |
VAULT_REPLICATE |
GetVaultUsage |
VAULT_READ |
ListKeys
|
KEY_INSPECT |
ListKeyVersions
|
KEY_INSPECT |
GetKey
|
KEY_READ |
CreateKey
|
KEY_CREATE et VAULT_CREATE_KEY |
EnableKey
|
KEY_UPDATE |
DisableKey
|
KEY_UPDATE |
UpdateKey
|
KEY_UPDATE |
ScheduleKeyDeletion
|
KEY_DELETE |
CancelKeyDeletion
|
KEY_DELETE |
ChangeKeyCompartment
|
KEY_MOVE |
BackupKey
|
KEY_BACKUP |
RestoreKeyFromFile
|
KEY_RESTORE |
RestoreKeyFromObjectStore
|
KEY_RESTORE |
GetKeyVersion
|
KEY_READ |
CreateKeyVersion
|
KEY_ROTATE |
ImportKey
|
KEY_IMPORT et VAULT_IMPORT_KEY |
ImportKeyVersion
|
KEY_IMPORT |
ExportKey
|
KEY_EXPORT |
GenerateDataEncryptionKey
|
KEY_ENCRYPT |
Encrypt
|
KEY_ENCRYPT |
Decrypt
|
KEY_DECRYPT |
Sign |
KEY_SIGN |
Verify |
KEY_VERIFY |
CreateSecret
|
SECRET_CREATE |
UpdateSecret
|
SECRET_UPDATE |
ListSecrets
|
SECRET_INSPECT |
GetSecret
|
SECRET_READ |
ScheduleSecretDeletion
|
SECRET_DELETE |
ChangeSecretCompartment
|
SECRET_MOVE et SECRET_UPDATE |
ListSecretVersions
|
SECRET_VERSION_INSPECT |
GetSecretVersion
|
SECRET_VERSION_READ |
ScheduleSecretVersionDeletion
|
SECRET_VERSION_DELETE et SECRET_UPDATE |
CancelSecretVersionDeletion
|
SECRET_VERSION_DELETE et SECRET_UPDATE |
ListSecretBundles
|
SECRET_BUNDLE_INSPECT |
GetSecretBundle
|
SECRET_BUNDLE_READ |
GetSecretBundleByName
|
SECRET_BUNDLE_READ |
CreateHsmCluster |
HSM_CLUSTER_CREATE |
GetHsmCluster |
HSM_CLUSTER_READ |
GetHsmPartition |
HSM_CLUSTER_READ |
GetPreCoUserCredentials |
HSM_CLUSTER_UPDATE |
DownloadCertificateSigningRequest |
HSM_CLUSTER_UPDATE |
UpdateHsmCluster |
HSM_CLUSTER_UPDATE |
ChangeHsmClusterCompartment |
HSM_CLUSTER_MOVE |
UploadPartitionOwnerCertificate |
HSM_CLUSTER_UPDATE |
ScheduleHsmClusterDeletion |
HSM_CLUSTER_DELETE |
CancelDeletion |
HSM_CLUSTER_DELETE |
ListHsmClusters |
HSM_CLUSTER_INSPECT |
ListHsmPartitions |
HSM_CLUSTER_INSPECT |