Documentation sur Oracle Cloud Infrastructure

Utilisation de votre clé principale avec les appareils de l'infrastructure en périphérie de réseau Rover

Voyez comment configurer une clé principale basée sur un système de gestion des clés fournie par l'utilisateur pour gérer les informations de clé secrète sur les appareils de l'infrastructure en périphérie de réseau Rover.

Important

Pour les appareils en périphérie de réseau Rover auto-provisionnés, vous gérez la phrase secrète de la clé principale et tous les mots de passe, ainsi que la clé de récupération. Stockez la phrase secrète, le mot de passe et la clé de récupération dans un emplacement sécurisé tel que le service de chambre forte OCI. Si vous oubliez la phrase secrète de déverrouillage et la clé de récupération, Oracle ne peut pas vous aider à récupérer le périphérique et celui-ci doit être remplacé.

Sur les anciens appareils en périphérie de réseau Rover (appareils provisionnés par Oracle), Oracle gère les informations secrètes sur vos appareils de l'infrastructure en périphérie de réseau Rover, telles que la phrase secrète du superutilisateur et le mot de passe de déverrouillage, à l'aide d'une clé principale basée sur le service de gestion des clés. Oracle utilise également un module de sécurité matériel pour protéger davantage ces données. Toutefois, au lieu de vous fier à la clé principale d'Oracle pour gérer ces données secrètes, vous pouvez fournir votre propre clé principale basée sur KMS à partir de votre propre location OCI.

Note

Vous ne pouvez fournir votre propre clé principale que lors de la création de la ressource de noeud. Vous ne pouvez pas modifier une ressource de noeud existante pour utiliser votre propre clé principale que la ressource a été créée initialement à l'aide d'une clé principale fournie par Oracle.

Rédaction de la politique principale

Pour utiliser votre propre clé principale, vous devez d'abord écrire une politique qui autorise cette capacité à l'aide de l'une des méthodes suivantes :

  • Utilisation de la console Oracle Cloud Infrastructure :

    Créez la politique suivante :

    allow service rover to use keys in compartment ID compartment-id where target.key.id = master-key-id

    master-key-id est l'OCID de la clé principale dans la location du client qui est utilisé pour chiffrer les informations secrètes du client telles que le mot de passe du superutilisateur et déverrouiller la phrase secrète. Par exemple :

    allow service rover to use keys in compartment ID compartment-id where target.key.id = 'ocid1.key.region1..exampleuniqueID'

  • À l'aide de l'interface de ligne de commande :

    Entrez la commande suivante :

    oci rover policy create-master-key-policy --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Par exemple :

    oci rover policy create-master-key-policy --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Sélection de la chambre forte et de la clé principale

Après avoir écrit la politique, sélectionnez votre chambre forte et votre clé principale, ainsi que les compartiments dans lesquels elles résident, à l'aide de l'une des méthodes suivantes :

  • Utilisation de la console Oracle Cloud Infrastructure :

    Lorsque vous créez une ressource de noeud d'infrastructure en périphérie de réseau Rover à l'aide de la boîte de dialogue Créer dans la console Oracle Cloud Infrastructure, la section Clé de chiffrement s'affiche. Ici, vous pouvez sélectionner l'une des options suivantes :

    • Chiffrer à l'aide des clés gérées par Oracle : Choisissez d'avoir le chiffrement des clés géré par le service Oracle Cloud Infrastructure. Aucune autre action n'est requise.

    • Chiffrer à l'aide des clés gérées par le client : Choisissez de fournir votre propre clé de chiffrement.

      Si vous choisissez de fournir votre propre clé, la section Clé de chiffrement affiche les champs supplémentaires suivants :

      • Compartiment de la chambre forte : Sélectionnez dans la liste le compartiment contenant la chambre forte souhaitée.

      • Chambre forte : Sélectionnez une des chambres fortes dans la liste contenue dans le compartiment de chambre forte que vous avez sélectionné précédemment.

      • Compartiment de la clé principale de chiffrement : Sélectionnez dans la liste le compartiment contenant la clé principale de chiffrement.

      • Clé de chiffrement principale : Sélectionnez l'une des clés de chiffrement principales dans la liste de la valeur que vous avez sélectionnée précédemment.

  • À l'aide de l'interface de ligne de commande :

    Incluez l'option master-key-id lorsque vous créez la ressource de noeud du service d'infrastructure en périphérie de réseau Rover. Par exemple :

    oci rover node create --display-name display_name --compartment-id compartment_ocid --shape shape --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Par exemple :

    oci rover node create --display-name 'test1' --compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --shape RED.2.56.GPU --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Après avoir configuré la politique de clé principale, RCS est appelé pour valider l'accès à la chambre forte dans le cadre de la création du noeud.