Détails relatifs au coffre, à la gestion des clés et aux clés secrètes

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès au service Vault.

Types individuels de ressource

vaults

keys

key-delegate

hsm-cluster

secrets

secret-versions

secret-bundles

secret-replication

Type agrégé de ressource

secret-family

Une stratégie qui utilise <verb> secret-family équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource de clé secrète. (Les types de ressource de clé secrète incluent uniquement secrets, secret-versions et secret-bundles. Le type de ressource secret-replication n'est PAS inclus dans le verbe secret-family.)

Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans secret-family.

Variables prises en charge

Vault prend en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.


Variable	Type de variable	Commentaires
`request.includePlainTextKey`	Chaîne	Utilisez cette variable pour déterminer si la clé en texte brut doit être renvoyée, en plus de la clé cryptée, en réponse à une demande de génération d'une clé de cryptage de données.
`request.kms-key.id`	Chaîne	Utilisez cette variable pour déterminer si des volumes de blocs ou des buckets peuvent être créés sans clé de cryptage maître Vault.
`target.boot-volume.kms-key.id`	Chaîne	Utilisez cette variable pour déterminer si les instances Compute peuvent être lancées avec des volumes d'initialisation créés sans clé de cryptage maître Vault.
`target.key.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des clés spécifiques en fonction de l'OCID.
`target.vault.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des coffres spécifiques en fonction de l'OCID.
`target.secret.name`	Chaîne	Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction du nom.
`target.secret.id`	Entité (OCID)	Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction de l'OCID.

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.

Par exemple, le verbe use pour le type de ressource keys inclut les mêmes droits d'accès et opérations d'API que le verbe read, plus les droits d'accès KEY_ENCRYPT et KEY_DECRYPT, et plusieurs opérations d'API (Encrypt, Decrypt et GenerateDataEncryptionKey). Le verbe manage offre davantage de droits d'accès et d'opérations d'API que le verbe use.

vaults


Verbes	Droits d'accès	API complètement couvertes	API partiellement couvertes
inspect	VAULT_INSPECT	`ListVaults`	aucun
read	INSPECT + VAULT_READ	INSPECT + `GetVault` `GetVaultUsage`	aucun
use	READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET	aucun élément supplémentaire	`CreateKey` (requiert également `manage keys`) `ImportKey` (requiert également `manage keys`) `CreateSecret` (requiert également `manage secrets`)
manage	USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE	USE + `CreateVault` `UpdateVault` `ScheduleVaultDeletion` `CancelVaultDeletion` `ChangeVaultCompartment` `BackupVault` `RestoreVaultFromFile` `RestoreVaultFromObjectStore` `CreateVaultReplica` `DeleteVaultReplica`	aucun

keys


Verbes	Droits d'accès	API complètement couvertes	API partiellement couvertes
inspect	KEY_INSPECT	`ListKeys` `ListKeyVersions`	aucun
read	INSPECT + KEY_READ	INSPECT + `GetKey` `GetKeyVersion`	aucun
use	READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY	READ + `Encrypt` `Decrypt` `ExportKey` `Sign` `Verify`	aucun
manage	USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE	USE + `UpdateKey` `CreateKeyVersion` `CancelKeyDeletion` `ChangeKeyCompartment` `ImportKeyVersion` `BackupKey` `RestoreKeyFromFile` `RestoreKeyFromObjectStore`	`CreateKey` (requiert également `use vaults`) `ImportKey` (requiert également `use vaults`)

key-delegate

Remarque

Les droits d'accès key-delegate sont utilisés pour permettre aux services OCI intégrés d'utiliser une clé spécifique dans un compartiment spécifique. Par exemple, vous pouvez utiliser ce type de droit d'accès pour permettre au service Object Storage de créer ou de mettre à jour un bucket crypté, ainsi que pour permettre au service de crypter ou de décrypter des données dans le bucket. Les utilisateurs disposant d'autorisations déléguées ne sont pas autorisés à utiliser la clé spécifiée elle-même, mais sont plutôt autorisés à laisser les services spécifiés utiliser la clé. Pour plus d'informations, reportez-vous aux stratégies courantes suivantes :


Verbes	Droits d'accès	API complètement couvertes	API partiellement couvertes
use	KEY_ASSOCIATE KEY_DISASSOCIATE	`Encrypt` `GenerateDataEncryptionKey` `Decrypt`	aucun

hsm-cluster


Verbes	Droits d'accès	API complètement couverte	API partiellement couverte
Inspection	HSM_CLUSTER_INSPECT	ListHsmClusters ListHsmPartitions	Aucun
read	INSPECT + HSM_CLUSTER_READ	GetHsmCluster GetHsmPartition	Aucun
use	READ + HSM_CLUSTER_UPDATE	GetPreCoUserCredentials DownloadCertificateSigningRequest UpdateHsmCluster UploadPartitionCertificates	Aucun
manage	USE + HSM_CLUSTER_DELETE HSM_CLUSTER_CREATE HSM_CLUSTER_MOVE	CreateHsmCluster ChangeHsmClusterCompartment ScheduleHsmClusterDeletion CancelHsmClusterDeletion	Aucun

secrets


Verbes	Droits d'accès	API complètement couvertes	API partiellement couvertes
inspect	SECRET_INSPECT	`ListSecrets`	aucun
read	INSPECT + SECRET_READ	INSPECT + `GetSecret`	aucun
use	READ + SECRET_UPDATE	READ + `Rotate` `CancelRotation`	READ + `UpdateSecret` (pour la fonctionnalité de réplication de clé secrète inter-région uniquement, requiert également `manage secrets` ou le droit d'accès `SECRET_REPLICATE_CONFIGURE`) `ChangeSecretCompartment` (requiert également `manage secrets)` `ScheduleSecretVersionDeletion` (requiert également `manage secret-versions`) `CancelSecretVersionDeletion` (requiert également `manage secret-versions`)
manage	USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE SECRET_ROTATE SECRET_REPLICATE_CONFIGURE	USE + `ScheduleSecretDeletion` `CancelSecretDeletion` `RotateSecret`	USE + `CreateSecret` (requiert également `use vaults`) `ChangeSecretCompartment` (requiert également `use secrets`)

secret-replication


Verbes	Droits d'accès	API complètement couvertes	API partiellement couvertes
use	SECRET_REPLICATE	`none`	droit d'accès requis à un principal de ressource vaultsecret pour permettre la réplication de clé secrète inter-région.

secret-versions


Verbes	Droits d'accès	API complètement couvertes	API partiellement couvertes
inspect	SECRET_VERSION_INSPECT	`ListSecretVersions`	aucun
read	INSPECT + SECRET_VERSION_READ	INSPECT + `GetKeyVersion`	aucun
manage	READ + SECRET_VERSION_DELETE	aucun élément supplémentaire	`ScheduleSecretVersionDeletion` (requiert également `use secrets`) `CancelSecretVersionDeletion` (requiert également `use secrets`)

secret-bundles


Verbes	Droits d'accès	API complètement couvertes	API partiellement couvertes
inspect	SECRET_BUNDLE_INSPECT	`ListSecretBundles`	aucun
read	INSPECT + SECRET_BUNDLE_READ	INSPECT + `GetSecretBundle`	aucun

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.


Opération d'API	Droits d'accès requis pour utiliser l'opération
`ListVaults`	VAULT_INSPECT
`GetVault`	VAULT_READ
`CreateVault`	VAULT_CREATE
`UpdateVault`	VAULT_UPDATE
`ScheduleVaultDeletion`	VAULT_DELETE
`CancelVaultDeletion`	VAULT_DELETE
`ChangeVaultCompartment`	VAULT_MOVE
`BackupVault`	VAULT_BACKUP
`RestoreVaultFromFile`	VAULT_RESTORE
`RestoreVaultFromObjectStore`	VAULT_RESTORE
`ListVaultReplicas`	VAULT_INSPECT
`CreateVaultReplica`	VAULT_REPLICATE
`DeleteVaultReplica`	VAULT_REPLICATE
`GetVaultUsage`	VAULT_READ
`ListKeys`	KEY_INSPECT
`ListKeyVersions`	KEY_INSPECT
`GetKey`	KEY_READ
`CreateKey`	KEY_CREATE et VAULT_CREATE_KEY
`EnableKey`	KEY_UPDATE
`DisableKey`	KEY_UPDATE
`UpdateKey`	KEY_UPDATE
`ScheduleKeyDeletion`	KEY_DELETE
`CancelKeyDeletion`	KEY_DELETE
`ChangeKeyCompartment`	KEY_MOVE
`BackupKey`	KEY_BACKUP
`RestoreKeyFromFile`	KEY_RESTORE
`RestoreKeyFromObjectStore`	KEY_RESTORE
`GetKeyVersion`	KEY_READ
`CreateKeyVersion`	KEY_ROTATE
`ImportKey`	KEY_IMPORT et VAULT_IMPORT_KEY
`ImportKeyVersion`	KEY_IMPORT
`ExportKey`	KEY_EXPORT
`GenerateDataEncryptionKey`	KEY_ENCRYPT (utilisez KEY_ASSOCIATE lors de la délégation de droits d'accès à un service intégré)
`Encrypt`	KEY_ENCRYPT (utilisez KEY_ASSOCIATE lors de la délégation de droits d'accès à un service intégré)
`Decrypt`	KEY_DECRYPT (utilisez KEY_ASSOCIATE lors de la délégation de droits d'accès à un service intégré)
`Sign`	KEY_SIGN
`Verify`	KEY_VERIFY
`CreateSecret`	KEY_ENCRYPT, KEY_DECRYPT, SECRET_CREATE et VAULT_CREATE_SECRET (ajoutez SECRET_REPLICATE_CONFIGURE pour permettre la configuration de la réplication inter-région dans la région de la clé secrète source)
`UpdateSecret`	SECRET_UPDATE (ajoutez SECRET_REPLICATE_CONFIGURE pour permettre la configuration de la réplication inter-région dans la région de la clé secrète source)
`ListSecrets`	SECRET_INSPECT
`GetSecret`	SECRET_READ
`RotateSecret`	SECRET_ROTATE
`ScheduleSecretDeletion`	SECRET_DELETE
`ChangeSecretCompartment`	SECRET_MOVE et SECRET_UPDATE
`ListSecretVersions`	SECRET_VERSION_INSPECT
`GetSecretVersion`	SECRET_VERSION_READ
`ScheduleSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`CancelSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`ListSecretBundles`	SECRET_BUNDLE_INSPECT
`GetSecretBundle`	SECRET_BUNDLE_READ
`GetSecretBundleByName`	SECRET_BUNDLE_READ
`ScheduleSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`CancelSecretVersionDeletion`	SECRET_VERSION_DELETE et SECRET_UPDATE
`ListSecretBundles`	SECRET_BUNDLE_INSPECT
`GetSecretBundle`	SECRET_BUNDLE_READ
`GetSecretBundleByName`	SECRET_BUNDLE_READ
`CreateHsmCluster`	HSM_CLUSTER_CREATE
`GetHsmCluster`	HSM_CLUSTER_READ
`GetHsmPartition`	HSM_CLUSTER_READ
`GetPreCoUserCredentials`	HSM_CLUSTER_UPDATE
`DownloadCertificateSigningRequest`	HSM_CLUSTER_UPDATE
`UpdateHsmCluster`	HSM_CLUSTER_UPDATE
`ChangeHsmClusterCompartment`	HSM_CLUSTER_MOVE
`UploadPartitionOwnerCertificate`	HSM_CLUSTER_UPDATE
`ScheduleHsmClusterDeletion`	HSM_CLUSTER_DELETE
`CancelDeletion`	HSM_CLUSTER_DELETE
`ListHsmClusters`	HSM_CLUSTER_INSPECT
`ListHsmPartitions`	HSM_CLUSTER_INSPECT