Détails du service Vault
Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès au service Vault.
Types individuels de ressource
vaults
keys
key-delegate
secrets
secret-versions
secret-bundles
Type agrégé de ressource
secret-family
Une stratégie qui utilise <verb> secret-family
équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type>
distincte pour chaque type individuel de ressource de clé secrète. (Les types de ressource de clé secrète incluent uniquement secrets
, secret-versions
et secret-bundles
.)
Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans secret-family
.
key-family
Une stratégie qui utilise <verb> Key-family
équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type>
distincte pour chaque type individuel de ressource secrète. (Les types de ressource clé incluent uniquement vaults
, keys
et key-delegate
.)
Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans secret-family
.
Variables prises en charge
Vault prend en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.
Variable | Type de variable | Commentaires |
---|---|---|
request.includePlainTextKey
|
Chaîne | Utilisez cette variable pour déterminer si la clé en texte brut doit être renvoyée, en plus de la clé cryptée, en réponse à une demande de génération d'une clé de cryptage de données. |
request.kms-key.id
|
Chaîne | Utilisez cette variable pour déterminer si des volumes de blocs ou des buckets peuvent être créés sans clé de cryptage maître Vault. |
target.boot-volume.kms-key.id
|
Chaîne | Utilisez cette variable pour déterminer si les instances Compute peuvent être lancées avec des volumes d'initialisation créés sans clé de cryptage maître Vault. |
target.key.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des clés spécifiques en fonction de l'OCID. |
target.vault.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des coffres spécifiques en fonction de l'OCID. |
target.secret.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction du nom. |
target.secret.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction de l'OCID. |
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect
> read
> use
> manage
. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.
Par exemple, le verbe use
pour le type de ressource keys
inclut les mêmes droits d'accès et opérations d'API que le verbe read
, plus les droits d'accès KEY_ENCRYPT et KEY_DECRYPT, et plusieurs opérations d'API (Encrypt
, Decrypt
et GenerateDataEncryptionKey
). Le verbe manage
offre davantage de droits d'accès et d'opérations d'API que le verbe use
.
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | VAULT_INSPECT |
ListVaults
|
aucun |
read | INSPECT + VAULT_READ |
INSPECT +
|
aucun |
use | READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET |
aucun élément supplémentaire |
|
manage | USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | KEY_INSPECT |
|
aucun |
read | INSPECT + KEY_READ |
INSPECT +
|
aucun |
use | READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY |
READ +
|
aucun |
manage | USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE |
USE +
|
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
use | KEY_ASSOCIATE KEY_DISASSOCIATE |
|
aucun |
Cette rubrique fournit la liste des verbes, des droits d'accès et des opérations d'API pour le type de ressource key-family.
Verbes | Droits d'accès | Opérations d'API |
---|---|---|
inspect |
KEY_INSPECT VAULT_INSPECT |
|
read |
KEY_INSPECT KEY_READ VAULT_INSPECT VAULT_READ |
|
use |
KEY_ASSOCIATE KEY_DECRYPT KEY_DISSOCIATE KEY_ENCRYPT KEY_INSPECT KEY_READ VAULT_CREATE_KEY VAULT_INSPECT VAULT_READ |
|
manage |
KEY_ASSOCIATE KEY_BACKUP KEY_CREATE KEY_DECRYPT KEY_DELETE KEY_DISSOCIATE KEY_ENCRYPT VAULT_INSPECT VAULT_MOVE |
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_INSPECT |
ListSecrets
|
aucun |
read | INSPECT + SECRET_READ |
INSPECT +
|
aucun |
use | READ + SECRET_UPDATE |
READ +
|
READ +
|
manage | USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE |
USE +
|
USE +
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_VERSION_INSPECT |
ListSecretVersions
|
aucun |
read | INSPECT + SECRET_VERSION_READ |
INSPECT +
|
aucun |
manage | READ + SECRET_VERSION_DELETE |
aucun élément supplémentaire |
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_BUNDLE_INSPECT |
ListSecretBundles
|
aucun |
read | INSPECT + SECRET_BUNDLE_READ |
INSPECT +
|
aucun |
Droits d'accès requis pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Opération d'API | Droits d'accès requis pour utiliser l'opération |
---|---|
ListVaults
|
VAULT_INSPECT |
GetVault
|
VAULT_READ |
CreateVault
|
VAULT_CREATE |
UpdateVault
|
VAULT_UPDATE |
ScheduleVaultDeletion
|
VAULT_DELETE |
CancelVaultDeletion
|
VAULT_DELETE |
ChangeVaultCompartment
|
VAULT_MOVE |
BackupVault
|
VAULT_BACKUP |
RestoreVaultFromFile
|
VAULT_RESTORE |
RestoreVaultFromObjectStore
|
VAULT_RESTORE |
ListVaultReplicas |
VAULT_INSPECT |
CreateVaultReplica |
VAULT_REPLICATE |
DeleteVaultReplica |
VAULT_REPLICATE |
ListKeys
|
KEY_INSPECT |
ListKeyVersions
|
KEY_INSPECT |
GetKey
|
KEY_READ |
CreateKey
|
KEY_CREATE et VAULT_CREATE_KEY |
EnableKey
|
KEY_UPDATE |
DisableKey
|
KEY_UPDATE |
UpdateKey
|
KEY_UPDATE |
ScheduleKeyDeletion
|
KEY_DELETE |
CancelKeyDeletion
|
KEY_DELETE |
ChangeKeyCompartment
|
KEY_MOVE |
BackupKey
|
KEY_BACKUP |
RestoreKeyFromFile
|
KEY_RESTORE |
RestoreKeyFromObjectStore
|
KEY_RESTORE |
GetKeyVersion
|
KEY_READ |
CreateKeyVersion
|
KEY_ROTATE |
ImportKey
|
KEY_IMPORT et VAULT_IMPORT_KEY |
ImportKeyVersion
|
KEY_IMPORT |
ExportKey
|
KEY_EXPORT |
GenerateDataEncryptionKey
|
KEY_ENCRYPT |
Encrypt
|
KEY_ENCRYPT |
Decrypt
|
KEY_DECRYPT |
Sign |
KEY_SIGN |
Verify |
KEY_VERIFY |
CreateSecret
|
KEY_ENCRYPT, KEY_DECRYPT, SECRET_CREATE et VAULT_CREATE_SECRET |
UpdateSecret
|
SECRET_UPDATE |
ListSecrets
|
SECRET_INSPECT |
GetSecret
|
SECRET_READ |
ScheduleSecretDeletion
|
SECRET_DELETE |
ChangeSecretCompartment
|
SECRET_MOVE et SECRET_UPDATE |
ListSecretVersions
|
SECRET_VERSION_INSPECT |
GetSecretVersion
|
SECRET_VERSION_READ |
ScheduleSecretVersionDeletion
|
SECRET_VERSION_DELETE et SECRET_UPDATE |
CancelSecretVersionDeletion
|
SECRET_VERSION_DELETE et SECRET_UPDATE |
ListSecretBundles
|
SECRET_BUNDLE_INSPECT |
GetSecretBundle
|
SECRET_BUNDLE_READ |
GetSecretBundleByName
|
SECRET_BUNDLE_READ |