Documentation sur Oracle Cloud Infrastructure

Création d'une clé principale de chiffrement

Voyez comment créer une clé de chiffrement principale dans le service de gestion des clés pour OCI.

Notez ce qui suit lors de la création des clés de chiffrement principales :

  • Rotation automatique : Lorsque vous créez une clé de chiffrement principale dans une chambre forte privée virtuelle, vous avez la possibilité d'activer la rotation automatique des clés. Pour plus de détails, voir la section Rotation automatique des clés de la rubrique Concepts relatifs à la gestion des clés et des clés secrètes. Voir Activation et mise à jour de la rotation automatique des clés pour obtenir des instructions sur la mise à jour des paramètres de rotation automatique.

  • Algorithmes disponibles : Vous pouvez sélectionner l'un des algorithmes suivants lors de la création d'une clé :

    • AES : Les clés AES sont des clés symétriques que vous pouvez utiliser pour chiffrer des données au repos.
    • RSA : Les clés Rivest-Shamir-Adleman (RSA) sont des clés asymétriques, également appelées paires de clés composées d'une clé publique et d'une clé privée. Vous pouvez les utiliser pour chiffrer les données en transit, signer les données et vérifier l'intégrité des données signées.
    • ECDSA : Les clés d'algorithme de signature numérique de cryptographie à courbe elliptique sont des clés asymétriques que vous pouvez utiliser pour signer des données et vérifier l'intégrité des données signées.

Pour plus d'informations sur les clés dans le service de gestion des clés d'OCI, voir Clés dans la rubrique Concepts relatifs à la gestion des clés et des clés secrètes.

    1. Dans la page de liste Clés de chiffrement principales de la chambre forte que vous utilisez, sélectionnez Créer une clé. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des clés.
    2. Sélectionnez un compartiment pour créer la clé.
    3. Pour Mode de protection, sélectionnez une des options suivantes :
      • HSM : Sélectionnez cette option pour créer une clé de chiffrement principale stockée et traitée dans un module de sécurité matériel.
      • Logiciel : Sélectionnez cette option pour créer une clé de chiffrement principale qui est stockée et traitée sur un serveur.

      Vous ne pouvez pas modifier le mode de protection d'une clé après l'avoir créée. Pour plus d'informations sur les clés, notamment sur les modes de protection des clés, voir Concepts relatifs à la gestion des clés et des clés secrètes.

    4. Entrez un nom pour identifier la clé. Évitez d'entrer des informations confidentielles.
    5. Pour Forme de clé : Algorithme, sélectionnez l'un des algorithmes suivants :
      • AES : Les clés AES sont des clés symétriques que vous pouvez utiliser pour chiffrer des données au repos.
      • RSA : Les clés Rivest-Shamir-Adleman (RSA) sont des clés asymétriques, également appelées paires de clés composées d'une clé publique et d'une clé privée. Vous pouvez les utiliser pour chiffrer les données en transit, signer les données et vérifier l'intégrité des données signées.
      • ECDSA : Les clés d'algorithme de signature numérique de cryptographie à courbe elliptique sont des clés asymétriques que vous pouvez utiliser pour signer des données et vérifier l'intégrité des données signées.
    6. RSA seulement. Si vous avez sélectionné AES ou RSA, sélectionnez la longueur de la forme de clé correspondante, en bits.
    7. ECDSA uniquement. Si vous avez sélectionné ECDSA, sélectionnez une valeur pour Forme de la clé : ID courbe elliptique.
    8. Clés importées uniquement. Pour créer une clé en important une clé encapsulée publiquement, sélectionnez Importer la clé externe et fournissez les détails suivants :
      • Algorithme d'encapsulation : Sélectionnez RSA_OAEP_AES_SHA256 (RSA-OAEP avec un hachage SHA-256 pour une clé AES temporaire).
      • Source de données de clé externe : Chargez le fichier qui contient le matériel de clé RSA encapsulé.
    9. Facultatif. Sélectionnez Rotation automatique pour activer la rotation automatique des clés. Notez que vous pouvez modifier les paramètres de rotation automatique après la création de la clé.
    10. Pour la rotation automatique uniquement. Dans la section Programme de rotation automatique, fournissez les détails suivants :
      • Date de début : Utilisez l'icône de calendrier pour sélectionner une date de début du programme de rotation des clés. La rotation a lieu à la date programmée ou avant. Par exemple, si vous créez une clé aujourd'hui ou mettez à jour une clé existante et que vous programmez la date de début de la rotation automatique au 10 avril avec un intervalle prédéfini de 90 jours, la rotation automatique commence le 10 juillet ou avant (10 avril + 90 jours).
        Note

        Le service de gestion des clés garantit que la rotation automatique a lieu au plus tard à la fin de l'intervalle de rotation. La rotation peut commencer quelques jours avant l'intervalle programmé.
      • Intervalle de rotation : Sélectionnez un intervalle prédéfini dans lequel les clés doivent faire l'objet d'une rotation. Par défaut, l'intervalle est défini à 90 jours.
      • Personnalisé : Facultatif. Sélectionnez cette option pour définir un intervalle de rotation personnalisé compris entre 60 et 365 jours.
    11. Pour appliquer des marqueurs, sélectionnez Marqueurs.
      Si vous avez l'autorisation de créer une ressource, vous avez également l'autorisation d'appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
    12. Sélectionnez Créer une clé.

  • Utilisez la commande oci kms management key create et les paramètres requis pour créer une clé de chiffrement principale :

    oci kms management key create --compartment-id <target_compartment_ocid> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <kmsmanagement_control_plane_URL>

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Utilisez l'API CreateKey avec le point d'extrémité de gestion pour créer une nouvelle clé de chiffrement principale.

    Note

    Le point d'extrémité de gestion est utilisé pour les opérations de gestion, notamment Créer, Mettre à jour, Lister, Obtenir et Supprimer. Le point d'extrémité de gestion est également appelé URL du plan de contrôle ou point d'extrémité KMSMANAGEMENT.

    Le point d'extrémité cryptographique est utilisé pour des opérations cryptographiques telles que le chiffrement, le déchiffrement, la génération de clé de chiffrement des données, la signature et la vérification. Le point d'extrémité cryptographique est également appelé URL du plan de données ou point d'extrémité KMSCRYPTO.

    Vous pouvez trouver les points d'extrémité de gestion et cryptographiques dans les métadonnées des détails d'une chambre forte. Pour obtenir des instructions, voir Obtention des détails d'une chambre forte.

    Pour les points d'extrémité régionaux pour les API de gestion des clés, de gestion des clés secrètes et d'extraction des clés secrètes, voir Informations de référence sur les API et points d'extrémité d'API.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.