Documentation Oracle Cloud Infrastructure

Détails du service Vault

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès au service Vault.

Types individuels de ressource

vaults

keys

key-delegate

secrets

secret-versions

secret-bundles

Type agrégé de ressource

secret-family

Une stratégie qui utilise <verb> secret-family équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource de clé secrète. (Les types de ressource de clé secrète incluent uniquement secrets, secret-versions et secret-bundles.)

Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans secret-family.

key-family

Une stratégie qui utilise <verb> Key-family équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource secrète. (Les types de ressource clé incluent uniquement vaults, keys et key-delegate.)

Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans secret-family.

Variables prises en charge

Vault prend en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.

Variable Type de variable Commentaires
request.includePlainTextKey Chaîne Utilisez cette variable pour déterminer si la clé en texte brut doit être renvoyée, en plus de la clé cryptée, en réponse à une demande de génération d'une clé de cryptage de données.
request.kms-key.id Chaîne Utilisez cette variable pour déterminer si des volumes de blocs ou des buckets peuvent être créés sans clé de cryptage maître Vault.
target.boot-volume.kms-key.id Chaîne Utilisez cette variable pour déterminer si les instances Compute peuvent être lancées avec des volumes d'initialisation créés sans clé de cryptage maître Vault.
target.key.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des clés spécifiques en fonction de l'OCID.
target.vault.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des coffres spécifiques en fonction de l'OCID.
target.secret.name Chaîne Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction du nom.
target.secret.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction de l'OCID.

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.

Par exemple, le verbe use pour le type de ressource keys inclut les mêmes droits d'accès et opérations d'API que le verbe read, plus les droits d'accès KEY_ENCRYPT et KEY_DECRYPT, et plusieurs opérations d'API (Encrypt, Decrypt et GenerateDataEncryptionKey). Le verbe manage offre davantage de droits d'accès et d'opérations d'API que le verbe use.

vaults
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

VAULT_INSPECT

 ListVaults

aucun
read

INSPECT +

VAULT_READ

INSPECT +

GetVault

aucun
use

READ +

VAULT_CREATE_KEY

VAULT_IMPORT_KEY

VAULT_CREATE_SECRET

aucun élément supplémentaire

 

CreateKey (requiert également manage keys)

ImportKey (requiert également manage keys)

CreateSecret (requiert également manage secrets)
manage

USE +

VAULT_CREATE

VAULT_UPDATE

VAULT_DELETE

VAULT_MOVE

VAULT_BACKUP

VAULT_RESTORE

VAULT_REPLICATE

USE +

CreateVault

UpdateVault

ScheduleVaultDeletion

CancelVaultDeletion

ChangeVaultCompartment

BackupVault

RestoreVaultFromFile

RestoreVaultFromObjectStore

CreateVaultReplica

DeleteVaultReplica

aucun
keys
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

KEY_INSPECT

ListKeys

ListKeyVersions

aucun
read

INSPECT +

KEY_READ

INSPECT +

GetKey

GetKeyVersion

aucun
use

READ +

KEY_ENCRYPT

KEY_DECRYPT

KEY_EXPORT

KEY_SIGN

KEY_VERIFY

READ +

Encrypt

Decrypt

ExportKey

Sign

Verify

aucun
manage

USE +

KEY_CREATE

KEY_UPDATE

KEY_ROTATE

KEY_DELETE

KEY_MOVE

KEY_IMPORT

KEY_BACKUP

KEY_RESTORE

USE +

CreateKey

UpdateKey

CreateKeyVersion

CancelKeyDeletion

ChangeKeyCompartment

ImportKeyVersion

BackupKey

RestoreKeyFromFile

RestoreKeyFromObjectStore

CreateKey (requiert également use vaults)

ImportKey (requiert également use vaults)
key-delegate
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
use

KEY_ASSOCIATE

KEY_DISASSOCIATE

Encrypt

GenerateDataEncryptionKey

Decrypt

aucun
key-family

Cette rubrique fournit la liste des verbes, des droits d'accès et des opérations d'API pour le type de ressource key-family.

Verbes Droits d'accès Opérations d'API
inspect

KEY_INSPECT

VAULT_INSPECT

ListKeys

ListVaultReplicas
read

KEY_INSPECT

KEY_READ

VAULT_INSPECT

VAULT_READ

ListKeys

GetKey

ListVaultReplicas

GetVault
use

KEY_ASSOCIATE

KEY_DECRYPT

KEY_DISSOCIATE

KEY_ENCRYPT

KEY_INSPECT

KEY_READ

VAULT_CREATE_KEY

VAULT_INSPECT

VAULT_READ

Encrypt

Decrypt

GenerateDataEncryptionKey

Encrypt

ListKeys

GetKey

CreateKey

ListVaultReplicas

GetVault
manage

KEY_ASSOCIATE

KEY_BACKUP

KEY_CREATE

KEY_DECRYPT

KEY_DELETE

KEY_DISSOCIATE

KEY_ENCRYPT

VAULT_INSPECT

VAULT_MOVE

Encrypt

BackupKey

CreateKey

Decrypt

ScheduleKeyDeletion

GenerateDataEncryptionKey

Encrypt

ListVaultReplicas

ChangeVaultCompartment
secrets
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

SECRET_INSPECT

 ListSecrets

aucun
read

INSPECT +

SECRET_READ

INSPECT +

GetSecret

aucun
use

READ +

SECRET_UPDATE

READ +

UpdateSecret

READ +

ChangeSecretCompartment (requiert également manage secrets)

ScheduleSecretVersionDeletion (requiert également manage secret-versions)

CancelSecretVersionDeletion (requiert également manage secret-versions)
manage

USE +

SECRET_CREATE

SECRET_DELETE

SECRET_MOVE

USE +

ScheduleSecretDeletion

CancelSecretDeletion

USE +

CreateSecret (requiert également use vaults)

ChangeSecretCompartment (requiert également use secrets)
secret-versions
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

SECRET_VERSION_INSPECT

 ListSecretVersions

aucun
read

INSPECT +

SECRET_VERSION_READ

INSPECT +

GetKeyVersion

aucun
manage

READ +

SECRET_VERSION_DELETE

aucun élément supplémentaire

ScheduleSecretVersionDeletion (requiert également use secrets)

CancelSecretVersionDeletion (requiert également use secrets)
secret-bundles
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

SECRET_BUNDLE_INSPECT

 ListSecretBundles

aucun
read

INSPECT +

SECRET_BUNDLE_READ

INSPECT +

GetSecretBundle

aucun

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
ListVaults VAULT_INSPECT
GetVault VAULT_READ
CreateVault VAULT_CREATE
UpdateVault VAULT_UPDATE
ScheduleVaultDeletion VAULT_DELETE
CancelVaultDeletion VAULT_DELETE
ChangeVaultCompartment VAULT_MOVE
BackupVault VAULT_BACKUP
RestoreVaultFromFile VAULT_RESTORE
RestoreVaultFromObjectStore VAULT_RESTORE
ListVaultReplicas VAULT_INSPECT
CreateVaultReplica VAULT_REPLICATE
DeleteVaultReplica VAULT_REPLICATE
ListKeys KEY_INSPECT
ListKeyVersions KEY_INSPECT
GetKey KEY_READ
CreateKey KEY_CREATE et VAULT_CREATE_KEY
EnableKey KEY_UPDATE
DisableKey KEY_UPDATE
UpdateKey KEY_UPDATE
ScheduleKeyDeletion KEY_DELETE
CancelKeyDeletion KEY_DELETE
ChangeKeyCompartment KEY_MOVE
BackupKey KEY_BACKUP
RestoreKeyFromFile KEY_RESTORE
RestoreKeyFromObjectStore KEY_RESTORE
GetKeyVersion KEY_READ
CreateKeyVersion KEY_ROTATE
ImportKey KEY_IMPORT et VAULT_IMPORT_KEY
ImportKeyVersion KEY_IMPORT
ExportKey KEY_EXPORT
GenerateDataEncryptionKey KEY_ENCRYPT
Encrypt KEY_ENCRYPT
Decrypt KEY_DECRYPT
Sign KEY_SIGN
Verify KEY_VERIFY
CreateSecret KEY_ENCRYPT, KEY_DECRYPT, SECRET_CREATE et VAULT_CREATE_SECRET
UpdateSecret SECRET_UPDATE
ListSecrets SECRET_INSPECT
GetSecret SECRET_READ
ScheduleSecretDeletion SECRET_DELETE
ChangeSecretCompartment SECRET_MOVE et SECRET_UPDATE
ListSecretVersions SECRET_VERSION_INSPECT
GetSecretVersion SECRET_VERSION_READ
ScheduleSecretVersionDeletion SECRET_VERSION_DELETE et SECRET_UPDATE
CancelSecretVersionDeletion SECRET_VERSION_DELETE et SECRET_UPDATE
ListSecretBundles SECRET_BUNDLE_INSPECT
GetSecretBundle SECRET_BUNDLE_READ
GetSecretBundleByName SECRET_BUNDLE_READ