Gestion des autorités de certification
Utilisez le service de certificats pour créer et gérer les autorités de certification qui émettent des certificats numériques.
Les tâches de gestion des autorités de certification (AC) sont les suivantes :
- Liste des autorités de certification
- Création d'une autorité de certification
- Définition d'une autorité de certification subordonnée
- Affichage des détails d'une autorité de certification
- Modification d'une autorité de certification
- Modification d'une liste de révocation de certificats
- Modification des règles d'une autorité de certification
- Affichage des associations d'une autorité de certification
- Renouvellement d'une autorité de certification
- Déplacement d'une autorité de certification
- Suppression d'une autorité de certification
- Annulation de la suppression de l'autorité de certification
Chaque autorité de certification possède une ou plusieurs versions. Ainsi, la gestion d'une autorité de certification implique également les tâches suivantes, propres aux versions de l'autorité de certification :
- Liste des versions d'une autorité de certification
- Affichage des détails d'une version d'autorité de certification
- Affichage des ensembles AC d'une version d'autorité de certification
- Définition d'une version d'autorité de certification en tant que version courante
- Révocation d'une version d'autorité de certification (prise en charge uniquement pour les autorités de certification subordonnées)
- Suppression d'une version d'autorité de certification
Politique GIA requise
Pour utiliser Oracle Cloud Infrastructure, un accès de sécurité doit vous être accordé dans une politique (IAM) par un administrateur. Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment à utiliser.
Pour certaines opérations, le service de certificats nécessite également que les ressources aient un accès de sécurité non accordé par les politiques qui couvrent les utilisateurs ou les groupes. Cette section décrit comment autoriser des utilisateurs, ainsi que des ressources qui doivent agir sur d'autres ressources.
Étape 1 : Créer un groupe dynamique
resource.type='certificateauthority'Cette règle de correspondance définit un groupe dynamique comprenant toutes les autorités de certification. Vous avez besoin de ce groupe dynamique pour autoriser les autorités de certification à transmettre des appels d'API à d'autres services, si nécessaire. Les autorités de certification ont généralement besoin d'une autorisation pour accéder aux ressources Oracle Cloud Infrastructure Vault et Oracle Cloud Infrastructure Object Storage. Pour plus d'informations sur les groupes dynamiques, voir Gestion des groupes dynamiques.
Étape 2 : Créer une politique pour le groupe dynamique
Après avoir créé le groupe dynamique, vous devez créer une politique pour ce groupe. Dans l'exemple de politique suivant, le nom du groupe dynamique est CertificateAuthority-DG. Cette politique donne aux membres du groupe dynamique l'autorisation d'utiliser les clés du service de chambre forte et d'effectuer toutes les opérations liées aux objets du service de stockage d'objets dans les compartiments spécifiés. Ce type de politique est appelé politique de principal de ressource car il autorise une ressource à agir sur d'autres ressources en tant qu'acteur principal.
Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZÉtape 3 : Ajouter une politique pour les administrateurs
Vous avez également besoin d'une politique pour autoriser les administrateurs à accéder aux ressources. La politique suivante autorise le groupe CertificateAuthorityAdmins à effectuer toutes les opérations liées aux ressources du type de ressource agrégé certificate-authority-family et à utiliser les ressources requises des services de chambre forte et de stockage d'objets dans les compartiments spécifiés. Les autorisations nécessaires pour spécifier la clé de chiffrement pour l'autorité de certification sont incluses.
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEFEnsemble, ces énoncés fournissent l'accès minimal requis pour effectuer les tâches administratives liées aux autorités de certification, décrites dans la suite de cette rubrique. Pour plus d'informations sur les autorisations ou si vous devez écrire des politiques moins restrictives, voir Informations détaillées sur le service de certificats. Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes.