Documentation sur Oracle Cloud Infrastructure

Utilisation de votre clé principale avec les appareils de l'infrastructure en périphérie de réseau Rover

Voyez comment configurer une clé principale basée sur un système de gestion des clés fournie par l'utilisateur pour gérer les informations de clé secrète sur les appareils en périphérie de réseau Rover. Cela s'applique uniquement aux anciens appareils en périphérie de réseau Rover (provisionnés par Oracle).

Important

Cette section ne s'applique pas aux appareils en périphérie de réseau Rover qui sont auto-provisionnés. Pour de tels appareils, les mots de passe clés sont générés lors du provisionnement et ils ne quittent jamais l'appareil. Pour plus d'informations sur les clés de récupération sur ces appareils, voir Récupération de votre appareil d'infrastructure en périphérie de réseau Rover après avoir déchiqueté la clé principale.

Sur les anciens appareils en périphérie de réseau Rover (appareils provisionnés par Oracle), Oracle gère les informations secrètes sur vos appareils de l'infrastructure en périphérie de réseau Rover, telles que la phrase secrète du superutilisateur et le mot de passe de déverrouillage, à l'aide d'une clé principale basée sur le service de gestion des clés. Oracle utilise également un module de sécurité matériel pour protéger davantage ces données. Toutefois, au lieu de vous fier à la clé principale d'Oracle pour gérer ces données secrètes, vous pouvez fournir votre propre clé principale basée sur KMS à partir de votre propre location OCI.

Note

Vous ne pouvez fournir votre propre clé principale que lors de la création de la ressource de noeud. Vous ne pouvez pas modifier une ressource de noeud existante pour utiliser votre propre clé principale que la ressource a été créée initialement à l'aide d'une clé principale fournie par Oracle.

Rédaction de la politique principale

Pour utiliser votre propre clé principale, vous devez d'abord écrire une politique qui autorise cette capacité à l'aide de l'une des méthodes suivantes :

  • Utilisation de la console Oracle Cloud Infrastructure :

    Créez la politique suivante :

    allow service rover to use keys in compartment ID compartment-id where target.key.id = master-key-id

    master-key-id est l'OCID de la clé principale dans la location du client qui est utilisé pour chiffrer les informations secrètes du client telles que le mot de passe du superutilisateur et déverrouiller la phrase secrète. Par exemple :

    allow service rover to use keys in compartment ID compartment-id where target.key.id = 'ocid1.key.region1..exampleuniqueID'

  • À l'aide de l'interface de ligne de commande :

    Entrez la commande suivante :

    oci rover policy create-master-key-policy --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Par exemple :

    oci rover policy create-master-key-policy --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Sélection de la chambre forte et de la clé principale

Après avoir écrit la politique, sélectionnez votre chambre forte et votre clé principale, ainsi que les compartiments dans lesquels elles résident, à l'aide de l'une des méthodes suivantes :

  • Utilisation de la console Oracle Cloud Infrastructure :

    Lorsque vous créez une ressource de noeud d'infrastructure en périphérie de réseau Rover à l'aide de la boîte de dialogue Créer dans la console Oracle Cloud Infrastructure, la section Clé de chiffrement s'affiche. Ici, vous pouvez sélectionner l'une des options suivantes :

    • Chiffrer à l'aide des clés gérées par Oracle : Choisissez d'avoir le chiffrement des clés géré par le service Oracle Cloud Infrastructure. Aucune autre action n'est requise.

    • Chiffrer à l'aide des clés gérées par le client : Choisissez de fournir votre propre clé de chiffrement.

      Si vous choisissez de fournir votre propre clé, la section Clé de chiffrement affiche les champs supplémentaires suivants :

      • Compartiment de la chambre forte : Sélectionnez dans la liste le compartiment contenant la chambre forte souhaitée.

      • Chambre forte : Sélectionnez une des chambres fortes dans la liste contenue dans le compartiment de chambre forte que vous avez sélectionné précédemment.

      • Compartiment de la clé principale de chiffrement : Sélectionnez dans la liste le compartiment contenant la clé principale de chiffrement.

      • Clé de chiffrement principale : Sélectionnez l'une des clés de chiffrement principales dans la liste de la valeur que vous avez sélectionnée précédemment.

  • À l'aide de l'interface de ligne de commande :

    Incluez l'option master-key-id lorsque vous créez la ressource de noeud du service d'infrastructure en périphérie de réseau Rover. Par exemple :

    oci rover node create --display-name display_name --compartment-id compartment_ocid --shape shape --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Par exemple :

    oci rover node create --display-name 'test1' --compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --shape RED.2.56.GPU --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Après avoir configuré la politique de clé principale, RCS est appelé pour valider l'accès à la chambre forte dans le cadre de la création du noeud.