Réplication de clés secrètes
Découvrez comment répliquer des clés secrètes entre des régions.
Vous pouvez répliquer des clés secrètes entre des régions pour les raisons suivantes :
- Reprise après sinistre : La réplication des clés secrètes garantit leur accessibilité en cas d'interruption régionale. Les systèmes dotés de capacités de secours, de basculement et de permutation peuvent avoir besoin de clés secrètes disponibles pour les systèmes de secours.
- Disponibilité : Si vous utilisez une clé secrète dans plusieurs régions, la réplication de la clé secrète dans des régions supplémentaires facilite l'accès et la mise à jour de la clé secrète dans les régions où elle est nécessaire. Assurez-vous de suivre les directives de sécurité de votre organisation concernant l'utilisation d'une clé secrète dans plus d'une région.
Fonctionnement de la réplication
Lorsque vous créez une clé secrète dans une chambre forte, vous avez la possibilité de la répliquer dans 3 autres régions au maximum. Vous pouvez également activer la réplication après avoir créé une clé secrète en la modifiant. Lorsque vous créez des répliques d'une clé secrète, vous spécifiez la région cible, la chambre forte cible dans cette région et la clé de chiffrement à utiliser pour la clé secrète. Les clés secrètes de réplique et les versions de clé secrète utilisent les mêmes OCID que les versions de clé secrète source et de clé secrète. Les clés secrètes de réplique sont comptées avec les clés secrètes sources aux fins des limites régionales de votre location sur les clés secrètes.
Lorsque vous activez la réplication, OCI réplique les éléments suivants :
- Contenu de la clé secrète
- Métadonnées et paramètres de la clé secrète
- Versions de clé secrète
La réplique est en lecture seule et ne peut pas être modifiée. Lorsque vous modifiez ou supprimez une clé secrète source, l'opération de modification ou de suppression est également appliquée aux répliques de la clé secrète. La désactivation de la fonction sur une clé secrète comportant des répliques supprime les répliques. Vous pouvez également supprimer les répliques individuellement tout en conservant la clé secrète source en modifiant la clé secrète source.
Vous pouvez utiliser des demandes de travail pour surveiller les opérations de réplication inter-région. Voir Demandes de travail de clé secrète pour plus de détails sur l'utilisation des demandes de travail avec le service de clé secrète.
Utilisez les instructions suivantes pour gérer les répliques de clé secrète :
- Création d'une clé secrète : Pour créer une nouvelle clé secrète et des répliques inter-régions en même temps.
- Configuration de la réplication de clé secrète inter-région : Pour créer des répliques inter-région d'une clé secrète existante.
- Liste des répliques de clé secrète : Pour voir la liste des répliques d'une clé secrète source.
- Consultation des détails d'une clé secrète : Pour voir les détails d'une réplique de clé secrète.
- Modification d'une clé secrète : Pour modifier les détails d'une clé secrète source. Notez que les répliques de clé secrète sont en lecture seule et que les mises à jour apportées à la clé secrète source sont transmises aux répliques.
- Mise à jour du contenu d'une clé secrète : Pour mettre à jour le contenu d'une clé secrète source. Notez que les répliques de clé secrète sont en lecture seule et que les mises à jour apportées à la clé secrète source sont transmises aux répliques.
- Suppression d'une réplique de clé secrète : Pour supprimer une ou plusieurs répliques de clé secrète tout en conservant la clé secrète source.
- Suppression d'une clé secrète : Pour supprimer une clé secrète source et toutes ses répliques en même temps.
Les clés secrètes ne sont pas répliquées automatiquement lors de la réplication de chambre forte. Vous devez gérer la réplication de clé secrète au niveau de la ressource de clé secrète. Voir Réplication des chambres fortes et des clés pour plus d'informations sur la réplication de chambre forte.
Réacheminement d'écriture pour les opérations de mise à jour sur les clés secrètes de réplique
Facultativement, vous pouvez activer le transfert en écriture pour les clés secrètes répliquées à l'aide de l'API ou de l'interface de ligne de commande. Alors que les clés secrètes répliquées sont en lecture seule, le transfert en écriture vous permet de cibler une clé secrète répliquée pour une opération d'écriture et de l'appliquer automatiquement d'abord à la clé secrète source, puis par des mises à jour asynchrones, à toutes les répliques de la clé secrète source.
Par exemple, si vous avez une clé secrète source dans la région Est des États-Unis (Ashburn) qui est répliquée dans la région Est du Japon (Tokyo), vous pouvez cibler la clé secrète de réplique dans Est du Japon (Tokyo) pour une mise à jour. La demande de mise à jour est ensuite transmise à la clé secrète source dans US East (Ashburn) et exécutée automatiquement sur cette clé secrète. Une fois la clé secrète source mise à jour, la demande de mise à jour est automatiquement appliquée à toutes les répliques de la clé secrète source, y compris la réplique dans Japan East (Tokyo).
Limites
Les limitations suivantes s'appliquent à la fonction de transfert d'écriture pour assurer la sûreté et la sécurité des secrets :
-
Vous ne pouvez pas utiliser le transfert en écriture pour les opérations suivantes :
- planification d'une suppression de clé secrète
- annulation d'une suppression de clé secrète
- mise à jour de la configuration de réplication de la clé secrète source
- Lors de la création d'une nouvelle clé secrète, vous pouvez activer le transfert en écriture, mais vous ne pouvez pas spécifier la chambre forte d'une région distante pour stocker la clé secrète source à l'aide de la fonctionnalité de transfert en écriture.
- Comme l'opération d'écriture se produit de manière asynchrone et que les mises à jour sont d'abord appliquées à la clé secrète source, attendez-vous à un délai entre le moment où vous démarrez la mise à jour sur la réplique et celui où la mise à jour est terminée dans la région de la réplique. Vous pouvez surveiller la progression de votre mise à jour à l'aide des demandes de travail. Voir Demandes de travail de clé secrète pour plus de détails sur l'utilisation des demandes de travail avec le service de clé secrète.
- L'entité demandant la mise à jour dans la région de la réplique doit être autorisée à effectuer la mise à jour dans la région de la clé secrète source et dans la région où réside la réplique.
- Vous ne pouvez pas activer le transfert en écriture dans la console OCI. Utilisez les API CreateSecret et UpdateSecret ou les commandes d'interface de ligne de commande pour ces opérations afin d'activer le transfert en écriture. Dans les API, réglez
isWriteForwardEnabled
àtrue
pour activer la fonction.
Politique GIA requise
Utilisez les informations d'autorisation de cette section pour permettre aux utilisateurs ou aux principaux de ressource de configurer la réplication inter-région des clés secrètes.
Autorisations requises pour configurer la réplication
Pour créer ou mettre à jour une configuration de réplication de clé secrète (replicationConfig
), un utilisateur ou un principal de ressource doit disposer de l'autorisation SECRET_REPLICATE_CONFIGURE
. Ceci est inclus sous le verbe manage secrets
.
Pour créer une clé secrète avec la réplication activée, assurez-vous que vous ou le principal de ressource disposez de toutes les autorisations suivantes :
SECRET_CREATE
,KEY_ENCRYPT
,KEY_DECRYPT
,VAULT_CREATE_SECRET
(pour l'utilisation de l'API CreateSecret ou la création de clés secrètes dans la console ou d'autres interfaces.SECRET_REPLICATE_CONFIGURE
Pour mettre à jour (ou supprimer) une configuration de réplication, assurez-vous que vous ou le principal de ressource disposez de toutes les autorisations suivantes :
SECRET_UPDATE
(pour utiliser l'API UpdateSecret ou mettre à jour des clés secrètes dans la console ou d'autres interfaces).SECRET_REPLICATE_CONFIGURE
Exemple de politique
L'exemple de politique suivant comporte des énoncés couvrant toutes les ressources nécessaires pour activer la réplication inter-région pour les clés secrètes nouvelles ou existantes :
Allow group Admins to manage secrets in compartment CompartmentName # for granting SECRET_CREATE, SECRET_UPDATE, SECRET_REPLICATE_CONFIGURE
Allow group Admins to use keys in compartment CompartmentName # for granting KEY_ENCRYPT, KEY_DECRYPT
Allow group Admins to use vaults in compartment CompartmentName # for granting VAULT_CREATE_SECRET
Les verbes d'authentification dans l'exemple de politique (
manage secrets
, use keys
, use vaults
) contiennent également d'autres autorisations non listées dans cette rubrique. Consultez les informations détaillées sur les combinaisons Verbe + Type de ressource lors de l'écriture des politiques IAM pour les clés secrètes.Autorisations requises par les principaux de ressource pour autoriser la réplication de clé secrète inter-région
Lorsque la réplication est activée sur une clé secrète, vous devez fournir à son principal de ressource les autorisations appropriées dans le contexte de région cible pour que la réplication se produise.
Configuration d'un groupe dynamique
Nous vous recommandons de configurer un groupe dynamique pour les clés secrètes que vous allez répliquer afin de faciliter la gestion des politiques. Voici un exemple de règle de correspondance :
All {resource.type = 'vaultsecret', resource.compartment.id = '<compartment ID>'}
Pour plus d'informations sur les règles de mise en correspondance de groupes dynamiques, voir Écriture de règles de mise en correspondance pour définir des groupes dynamiques.
Écrire la politique
La réplication de clé secrète nécessite que le principal de ressource vaultsecret appartenant à votre clé secrète soit autorisé à créer et à gérer la clé secrète de la réplique dans la région cible. Ces autorisations sont SECRET_CREATE
, KEY_ENCRYPT
, KEY_DECRYPT
, VAULT_CREATE_SECRET
et SECRET_REPLICATE
.
Notez que SECRET_REPLICATE
est une autorisation utilisée uniquement pour la fonction de réplication inter-région. Lorsqu'il est accordé, SECRET_REPLICATE
permet à un principal de ressource vaultsecret de créer une réplique dans la région cible.
Exemple de politique pour le principal de ressource vaultsecret
Allow dynamic-group VaultSecretDG to use secret-replication in compartment CompartmentName # for granting SECRET_REPLICATE
Allow dynamic-group VaultSecretDG to manage secrets in compartment CompartmentName # for granting SECRET_CREATE
Allow dynamic-group VaultSecretDG to use vaults in compartment CompartmentName # for granting VAULT_CREATE_SECRET
Allow dynamic-group VaultSecretDG to use keys in compartment CompartmentName # for granting KEY_ENCRYPT, KEY_DECRYPT
- Les verbes d'authentification dans l'exemple de politique (
manage secrets
,use keys
,use vaults
) contiennent également d'autres autorisations non listées dans cette rubrique. Consultez les informations détaillées sur les combinaisons Verbe + Type de ressource lors de l'écriture des politiques IAM pour les clés secrètes. - Ces autorisations doivent être accordées dans le contexte de la région cible. Par exemple, si vous limitez l'accès à l'aide de la variable de contexte ID chambre forte, assurez-vous que la variable spécifiée est l'ID chambre forte de la région cible.
- Si votre compartiment ou clé secrète utilise des marqueurs définis, assurez-vous d'accorder également l'autorisation
use tag-namespaces
à votre groupe dynamique vaultsecret.