Documentation sur Oracle Cloud Infrastructure

Surveillance de l'utilisation des clés

Voyez comment surveiller l'utilisation des clés dans Oracle Cloud Infrastructure à l'aide des données de journal.

La surveillance de l'utilisation des clés pour les opérations de chiffrement et de déchiffrement peut s'avérer utile dans plusieurs cas d'utilisation, notamment :

  • Gestion du cycle de vie : Il est essentiel de savoir quand une clé a été utilisée pour la dernière fois pour prendre des décisions éclairées en matière de conservation. Les clés rarement utilisées, telles que celles qui prennent en charge les charges de travail de base de données, peuvent toujours avoir une importance opérationnelle malgré une activité limitée. L'extension de la conservation des journaux au moyen du centre de connecteurs OCI permet une meilleure visibilité des modèles d'utilisation historiques, ce qui permet aux équipes de prendre des décisions sensibles au risque quant à la conservation, à la rotation ou à la mise hors service des clés.
  • Sécurité : L'utilisation des clés de surveillance peut vous avertir d'une activité inhabituelle.
  • Surveillance ou enquête du comportement de l'application : La corrélation entre le comportement de l'application et l'utilisation des clés peut vous fournir des informations utiles pour résoudre les problèmes liés à vos applications ou améliorer leur performance.

Cette rubrique explique comment utiliser les journaux d'Oracle Cloud Infrastructure (OCI) pour surveiller l'utilisation des clés.

Données de journalisation disponibles

Le service de journalisation OCI fournit plusieurs types de journaux, notamment :

Journaux de vérification

Journaux de vérification : Utilisez les journaux de vérification pour surveiller les opérations de gestion telles que :

  • Opérations de création, de mise à jour et de suppression pour la gestion des clés et des chambres fortes
  • Effectuer une rotation des opérations pour les clés

Les journaux de vérification n'enregistrent pas les opérations cryptographiques telles que Decrypt ou GenerateDataEncryptionKey (activité de plan de données), qui sont éventuellement enregistrées dans les journaux de service.

Journaux de service

Les journaux de service doivent être activés par le client pour être utilisés. Lorsque Key Management est activé, les journaux de service saisissent les métadonnées, notamment :

  • Principe d'appel (l'utilisateur, la fonction ou l'instance qui déclenche l'opération de clé)
  • OCID de la clé
  • Version de clé
  • Type d'opération (par exemple, Decrypt)
  • Estampille
  • Détails de la chambre forte et du compartiment
Important

Les journaux de service n'enregistrent pas d'informations sensibles susceptibles de compromettre la sécurité des données de votre organisation ou de vos clients. Voir Informations détaillées sur Key Management pour plus de détails sur les données collectées par les journaux de service pour Key Management.

Activation de journaux de service pour une chambre forte

Pour activer les journaux de service, vous devez disposer des autorisations IAM requises. Pour plus d'informations, voir Informations détaillées sur le service de journalisation dans la documentation sur le service IAM.

Notez que les journaux de service sont activés au niveau de la chambre forte. Répétez les étapes de cette rubrique pour chaque chambre forte régionale pour laquelle vous voulez activer la journalisation.

Pour plus d'informations, voir Activation de la journalisation pour une ressource dans la documentation sur le service de journalisation.

  1. Ouvrez le menu de navigation et sélectionnez Observabilité et gestion. Sous Journalisation, sélectionnez Journaux.
  2. Sélectionnez Activer le journal de service.
  3. Configurez le journal comme suit :
    • Compartiment : Sélectionnez le compartiment contenant la chambre forte pour laquelle vous activez la journalisation.
    • Service : Gestion des clés
    • Ressource : Sélectionnez la chambre forte à surveiller à l'aide des journaux de service.
    • Catégorie de journal : Opérations cryptographiques.
    • Nom du journal : Entrez un nom pour le journal.
  4. Sélectionnez Activer la journalisation.

Voir et interroger les journaux du service de gestion des clés

  1. Ouvrez le menu de navigation et sélectionnez Observabilité et gestion. Sous Journalisation, sélectionnez Journaux.
  2. Naviguez jusqu'à un journal de service que vous avez créé pour une chambre forte dans la vue de liste des journaux. Voir Obtention des détails d'un journal si vous avez besoin d'instructions.
  3. Utilisez les contrôles Trier et Filtrer par heure pour contrôler les entrées de journal qui s'affichent dans la liste Explorer le journal. La colonne type affiche le type d'opération cryptographique que l'entrée représente. Par exemple, une entrée pour une opération de déchiffrement a le type d'entrée suivant :

    keymanagementservice.vault.crypto.decrypt

    L'illustration suivante présente un exemple de journal avec une liste d'entrées de journal :

    Image de la page des détails d'un journal de service pour les opérations cryptographiques KMS.
  4. Pour voir les détails complets d'une entrée de journal, sélectionnez la flèche à la fin de la rangée pour l'entrée afin de développer l'entrée et d'afficher une vue au format JSON des détails de l'entrée.

    L'illustration suivante présente un exemple des détails d'une entrée de journal au format JSON :

    Image d'une entrée de journal de service KMS au format JSON.
    {
  "datetime": 1754361617552,
  "logContent": {
    "data": {
      "clientIpAddress": "<example_ip>",
      "keyVersionId": "ocid1.keyversion.oc1.iad.<example_ocid>",
      "opcRequestId": "<example_request_id>",
      "principalId": "objectstorage-us-ashburn-1/<example_principle>",
      "requestAction": "DECRYPT",
      "statusCode": 200
    },
    "id": "51777c94-e29c-4e78-9121-946c77301f62",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1.<example_ocid>",
      "ingestedtime": "2025-08-05T02:40:55.747Z",
      "loggroupid": "ocid1.loggroup.oc1.<example_ocid>",
      "logid": "ocid1.log.oc1.iad.<example_ocid>",
      "tenantid": "ocid1.tenancy.oc1.<example_ocid>"
    },
    "source": "ocid1.vault.oc1.iad.<example_ocid>",
    "specversion": "1.0",
    "subject": "ocid1.key.oc1.iad.<example_ocid>",
    "time": "2025-08-05T02:40:17.552Z",
    "type": "com.oraclecloud.keymanagementservice.vault.crypto.decrypt"
  },
  "regionId": "us-ashburn-1"
}
  5. Pour rechercher des entrées par une interrogation personnalisée, sélectionnez Actions, puis Explorer avec la recherche dans les journaux. Le mode de base pour la recherche dans les journaux est affiché par défaut et vous permet d'entrer des mots clés (tels que "chiffrer") ou des valeurs uniques ou des chaînes (telles qu'une valeur principalId) dans le champ Filtres personnalisés. Vous pouvez également sélectionner Mode avancé et utiliser la syntaxe d'interrogation pour rechercher dans le journal. Voir Obtention des détails d'un journal et Recherche de journalisation pour plus d'informations sur la recherche dans les journaux.

Envoi de journaux au stockage d'objets ou à des plates-formes externes telles que SIEM

Par défaut, les journaux de service sont stockés pendant 30 jours. Pour une conservation à long terme ou une analyse externe, utilisez le centre de connecteurs pour transmettre les journaux aux destinations cibles telles que :

  • Stockage d'objets
  • Log Analytics
  • Cibles externes telles que SIEM

Consultez les rubriques suivantes pour plus d'informations :