Exportation des clés de chambre forte et des versions de clé
Voyez comment exporter une clé de chiffrement principale protégée par logiciel ou une version de clé pour effectuer des opérations cryptographiques.
Après avoir exporté une clé, vous pouvez l'utiliser localement, puis la supprimer de la mémoire locale pour protéger le contenu de la clé. L'utilisation d'une clé exportée localement améliore la disponibilité, la fiabilité et la latence.
Vous ne pouvez pas exporter des clés protégées par module de sécurité matériel à partir du service de gestion des clés pour OCI.
Politique GIA requise
Les clés associées aux volumes, seaux, systèmes de fichiers, grappes et groupes de flux ne fonctionneront que si vous autorisez les volumes par blocs, le stockage d'objets, le stockage de fichiers, le moteur Kubernetes et le service de flux à utiliser des clés en votre nom. De plus, vous devez également avant tout autoriser les utilisateurs à déléguer l'utilisation des clés à ces services. Pour plus d'informations, voir Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment et Créer une politique pour activer les clés de chiffrement dans Politiques communes. Les clés associées aux bases de données ne fonctionneront pas sauf si vous autorisez un groupe dynamique qui inclut tous les noeuds du système de base de données à gérer les clés dans la location. Pour plus d'informations, voir Politique IAM requise dans Exadata Cloud Service
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel l'accès de sécurité est accordé dans une politique par un administrateur de location. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur de la location quel type d'accès vous avez et dans quel compartiment votre accès fonctionne.
Pour les administrateurs : Pour les politiques standard qui permettent l'accès aux chambres fortes, aux clés et aux clés secrètes, voir Autoriser les administrateurs de la sécurité à gérer les chambres fortes, les clés et les clés secrètes. Pour plus d'informations sur les autorisations ou si vous devez écrire des politiques plus restrictives, voir Informations détaillées sur le service de chambre forte.
Pour en savoir plus sur les politiques, voir Gestion des domaines d'identité et Politiques communes.
Avant de commencer
L'exportation d'une clé nécessite la génération de votre propre paire de clés RSA pour encapsuler et dérouler le matériel de clé. Vous pouvez utiliser l'outil tiers de votre choix pour générer la paire de clés RSA.
Vous pouvez exporter la clé ou la version de clé à l'aide de l'interface de ligne de commande uniquement. Nous avons inclus des exemples de scripts auxquels vous pouvez vous référer. Les scripts incluent toutes les étapes du processus d'exportation, de l'encapsulation du matériel de clé à l'exportation de la clé protégée par le logiciel ou de la version de clé.
Si vous utilisez MacOS ou Linux, vous devez installer la série OpenSSL 1.1.1 pour exécuter les commandes. Si vous prévoyez d'utiliser l'algorithme de chiffrement RSA qui utilise une clé AES temporaire, vous devez également appliquer un correctif à OpenSSL avec un correctif qui le prend en charge, voir Configuration de OpenSSL pour encapsuler le matériel de clé. Si vous utilisez Windows, vous devez installer Git Bash pour Windows et exécuter les commandes avec cet outil.