Documentation sur Oracle Cloud Infrastructure

Création d'une clé secrète

Voyez comment créer une clé secrète dans une chambre forte OCI. Les clés secrètes sont des données d'identification telles que des mots de passe, des certificats, des clés SSH ou des jetons d'authentification que vous utilisez avec les services OCI.

    1. Dans la page de liste Clés secrètes, sélectionnez Créer une clé secrète. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des clés secrètes.
    2. Sélectionnez le compartiment dans lequel vous voulez créer la clé secrète.
    3. Entrez un nom pour identifier la clé secrète. Évitez d'entrer des informations confidentielles.
    4. Facultativement, vous pouvez entrer une description pour vous aider à identifier la clé secrète.

    5. Sélectionnez la clé de chiffrement principale à utiliser pour chiffrer le contenu de la clé secrète lors de son importation dans la chambre forte. Si la clé se trouve dans un autre compartiment, utilisez le sélecteur Compartiment de la clé de chiffrement pour spécifier le compartiment de la clé de chiffrement. Notez ce qui suit :

      • La clé doit se trouver dans la même chambre forte que la clé secrète
      • Vous devez sélectionner une clé symétrique pour créer la clé secrète. Les clés asymétriques ne sont pas prises en charge pour la création de clé secrète.
    6. Sélectionnez une des méthodes suivantes pour générer une clé secrète :
      • Génération automatique de clé secrète : Génère automatiquement la clé secrète. Lorsque cette option est activée, vous n'avez pas besoin de fournir le contenu de la clé secrète. De plus, lors de la création d'une nouvelle version de clé secrète, elle est générée automatiquement en fonction du type et du modèle de génération de clé secrète.
      • Génération manuelle de clé secrète : Permet de fournir manuellement le contenu de la clé secrète.
    7. Si vous avez sélectionné Génération automatique de clé secrète, sélectionnez le type de génération.
      • Si vous avez sélectionné Phrase secrète, sélectionnez le contexte de génération correspondant, fournissez facultativement la longueur de phrase secrète et le format secret.
      • Si vous avez sélectionné Clé SSH, sélectionnez le contexte de génération correspondant et, facultativement, indiquez le format de clé secrète.
      • Si vous avez sélectionné Octets, sélectionnez le contexte de génération correspondant et, facultativement, indiquez le format de clé secrète.
    8. Si vous avez sélectionné Génération manuelle de clé secrète, fournissez les informations suivantes :
      • Dans le modèle de type de clé secrète, spécifiez le format du contenu de clé secrète fourni en sélectionnant un modèle. Vous pouvez fournir le contenu de la clé secrète en texte brut lorsque vous utilisez la console pour créer une clé secrète de chambre forte ou une version de clé secrète de chambre forte, mais le contenu de la clé secrète doit être encodé en base64 avant d'être envoyé au service. L'encodage du contenu de la clé secrète en texte est effectué automatiquement par la console.
      • Dans Contenu de la clé secrète, entrez son contenu. (La taille maximale autorisée pour un ensemble de clé secrète est de 25 Ko.)

    9. Facultativement, vous pouvez activer la réplication inter-région à l'aide du commutateur à bascule pour cette fonction. Vous pouvez répliquer la clé secrète dans jusqu'à 3 régions de destination. Après avoir déplacé le commutateur à bascule, fournissez les informations suivantes :

      • Région de destination : Sélectionnez la région contenant la chambre forte de destination pour la clé secrète répliquée.
      • Chambre forte de destination : Sélectionnez la chambre forte de destination pour la clé secrète répliquée.
      • Clé : Sélectionnez la clé de chiffrement à utiliser pour chiffrer le contenu de la clé secrète dans la chambre forte de destination.

      Pour répliquer la clé secrète dans d'autres chambres fortes, sélectionnez Ajouter un élément et fournissez les détails de la région, de la chambre forte et de la clé pour la chambre forte de destination cible.

    10. Dans la section Rotation de clé secrète, fournissez les détails suivants :
      1. Type de système cible : Sélectionnez le type de système cible Autonomous Database ou Function et indiquez l'ID système cible correspondant.
      2. ID système cible : L'ID système est alimenté automatiquement pour le type de système cible sélectionné.
      3. Activer la rotation automatique : Cochez la case pour activer la rotation automatique.
        Note

        Si vous ne spécifiez pas le type et l'ID système cible, la case à cocher n'est pas activée pour la rotation automatique.
      4. Intervalle de rotation : Facultativement, sélectionnez l'intervalle de rotation pour mettre à jour périodiquement la clé secrète.
    11. Pour appliquer une règle permettant de gérer l'utilisation des clés secrètes de chambre forte, sélectionnez Options avancées, puis Une autre règle. Fournissez les informations suivantes dans l'onglet Règles. Vous pouvez créer une règle relative à la réutilisation du contenu de clé secrète dans les différentes versions d'une clé secrète, ou une règle qui spécifie la date d'expiration du contenu de clé secrète. Pour plus d'informations sur les règles, voir Règles de clé secrète.
      • Type de règle : Sélectionnez Règle de réutilisation de clé secrète ou Règle d'expiration de clé secrète. Vous pouvez définir une règle de chaque catégorie au maximum. Si vous avez déjà une règle et que vous souhaitez en ajouter une autre, sélectionnez Une autre règle.

      • Configuration :

        • Pour la règle de réutilisation : Sélectionnez cette option pour appliquer la règle de réutilisation de sorte qu'elle s'applique même aux versions de clé secrète supprimée, ou pour permettre la réutilisation du contenu de clé secrète des versions de clé secrète supprimée.
        • Pour la règle d'expiration : Définissez la fréquence à laquelle vous voulez que le contenu de clé secrète expire et ce qui doit se passer lorsque la clé secrète ou la version de clé secrète expire. L'expiration des versions de clé secrète individuelles est représentée par une période de 1 à 90 jours que vous pouvez spécifier au moyen des boutons fléchés ou en entrant un nombre. L'expiration de la clé secrète elle-même est représentée par une date et une heure absolues, comprises dans un délai de 1 à 365 jours par rapport à la date et à l'heure courantes. Définissez cette date au moyen du sélecteur de date. Vous pouvez configurer des valeurs d'expiration pour une ou les deux versions de clé secrète et de clé secrète. Notez qu'il est possible d'annuler l'intervalle d'expiration de la version de clé secrète, mais vous devez supprimer toute la règle d'expiration et recommencer pour définir une heure absolue pour l'expiration de la clé secrète.
    12. Facultativement, pour appliquer des marqueurs à la clé secrète, sélectionnez Marqueurs, puis Ajouter un marqueur. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne êtes pas sûr d'appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
    13. Sélectionnez Créer une clé secrète.

  • Utilisez la commande oci vault secret create-base64 pour créer une clé secrète dans une chambre forte.

    Note

    Vous devez spécifier une clé symétrique pour chiffrer la clé secrète lors de l'importation dans la chambre forte. Vous ne pouvez pas chiffrer des clés secrètes avec des clés asymétriques. En outre, la clé doit exister dans la chambre forte que vous spécifiez.
    oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state> [OPTIONS]

    Par exemple :

    
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT

    Évitez d'entrer des informations confidentielles.

    Pour activer la génération et la rotation automatiques des clés secrètes, reportez-vous à l'exemple suivant :

    oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --enable-auto-generation true --secret-generation-context file://sample_generation_file.json --rotation-config file://sample_rotation.json

    Exemple de contenu dans le fichier passphrase.json :

    {
	"generation_type": "%GENERATED_PASSPHRASE%",
	"generation_template": "DBAAS_DEFAULT_PASSWORD",
	"secret_template": {
		"username": "ORACLE",
		"password": "<example_password>",
}

    Exemple de contenu dans le fichier sample_rotation.json :

    {
	"rotationInterval": "P30D",
	"isScheduledRotationEnabled": true,
	"target_system_details": {
		"target_system_type": "ADB",
		"adbId": "ocid1.autonomousdatabase.<unique_ID>"
	}
}

    Pour la liste complète des paramètres et valeurs des commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface.

  • Utilisez l'API CreateSecret avec le point d'extrémité de gestion pour créer une clé secrète dans la chambre forte.

    Note

    Le point d'extrémité de gestion est utilisé pour les opérations de gestion, notamment Créer, Mettre à jour, Lister, Obtenir et Supprimer. Le point d'extrémité de gestion est également appelé URL du plan de contrôle ou point d'extrémité KMSMANAGEMENT.

    Le point d'extrémité cryptographique est utilisé pour des opérations cryptographiques telles que le chiffrement, le déchiffrement, la génération de clé de chiffrement des données, la signature et la vérification. Le point d'extrémité cryptographique est également appelé URL du plan de données ou point d'extrémité KMSCRYPTO.

    Vous pouvez trouver les points d'extrémité de gestion et cryptographiques dans les métadonnées des détails d'une chambre forte. Pour obtenir des instructions, voir Obtention des détails d'une chambre forte.

    Pour les points d'extrémité régionaux pour les API de gestion des clés, de gestion des clés secrètes et d'extraction des clés secrètes, voir Informations de référence sur les API et points d'extrémité d'API.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.