Détails du service Vault
Détails du service Vault
Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès au service Vault.
Types individuels de ressource
vaults
keys
key-delegate
hsm-cluster
secrets
secret-versions
secret-bundles
Type agrégé de ressource
secret-family
Une stratégie qui utilise <verb> secret-family
équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type>
distincte pour chaque type individuel de ressource de clé secrète. (Les types de ressource de clé secrète incluent uniquement secrets
, secret-versions
et secret-bundles
.)
Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans secret-family
.
Variables prises en charge
Vault prend en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.
Variable | Type de variable | Commentaires |
---|---|---|
request.includePlainTextKey
|
Chaîne | Utilisez cette variable pour déterminer si la clé en texte brut doit être renvoyée, en plus de la clé cryptée, en réponse à une demande de génération d'une clé de cryptage de données. |
request.kms-key.id
|
Chaîne | Utilisez cette variable pour déterminer si des volumes de blocs ou des buckets peuvent être créés sans clé de cryptage maître Vault. |
target.boot-volume.kms-key.id
|
Chaîne | Utilisez cette variable pour déterminer si les instances Compute peuvent être lancées avec des volumes d'initialisation créés sans clé de cryptage maître Vault. |
target.key.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des clés spécifiques en fonction de l'OCID. |
target.vault.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des coffres spécifiques en fonction de l'OCID. |
target.secret.name
|
Chaîne | Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction du nom. |
target.secret.id
|
Entité (OCID) | Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction de l'OCID. |
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.
Par exemple, le verbe use
pour le type de ressource keys
inclut les mêmes droits d'accès et opérations d'API que le verbe read
, plus les droits d'accès KEY_ENCRYPT et KEY_DECRYPT, et plusieurs opérations d'API (Encrypt
, Decrypt
et GenerateDataEncryptionKey
). Le verbe manage
offre davantage de droits d'accès et d'opérations d'API que le verbe use
.
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect |
VAULT_INSPECT |
ListVaults
|
aucun |
read |
INSPECT + VAULT_READ VAULT_READ |
INSPECT +
|
aucun |
use |
READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET |
aucun élément supplémentaire |
|
manage |
USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | KEY_INSPECT |
|
aucun |
read | INSPECT + KEY_READ |
INSPECT +
|
aucun |
use | READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY |
READ +
|
aucun |
manage | USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE |
USE +
|
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
use | KEY_ASSOCIATE KEY_DISASSOCIATE |
|
aucun |
Verbes | Droits d'accès | API complètement couverte | API partiellement couverte |
---|---|---|---|
Inspection |
HSM_CLUSTER_INSPECT |
ListHsmClusters ListHsmPartitions |
Aucun |
read |
HSM_CLUSTER_READ |
GetHsmCluster GetHsmPartition |
Aucun |
use |
HSM_CLUSTER_UPDATE |
GetPreCoUserCredentials DownloadCertificateSigningRequest UpdateHsmCluster UploadPartitionCertificates |
Aucun |
manage |
HSM_CLUSTER_DELETE HSM_CLUSTER_CREATE HSM_CLUSTER_MOVE |
CreateHsmCluster ChangeHsmClusterCompartment ScheduleHsmClusterDeletion CancelHsmClusterDeletion |
Aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_INSPECT |
ListSecrets
|
aucun |
read | INSPECT + SECRET_READ |
INSPECT +
|
aucun |
use |
READ + SECRET_UPDATE SECRET_ROTATE |
READ +
|
READ +
|
manage | USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE |
USE +
|
USE +
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_VERSION_INSPECT |
ListSecretVersions
|
aucun |
read | INSPECT + SECRET_VERSION_READ |
INSPECT +
|
aucun |
manage | READ + SECRET_VERSION_DELETE |
aucun élément supplémentaire |
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | SECRET_BUNDLE_INSPECT |
ListSecretBundles
|
aucun |
read | INSPECT + SECRET_BUNDLE_READ |
INSPECT +
|
aucun |
Droits d'accès requis pour chaque opération d'API
Droit d'accès pour les opérations d'API Vault.
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.
Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Opération d'API | Droits d'accès requis pour utiliser l'opération |
---|---|
ListVaults
|
VAULT_INSPECT |
GetVault
|
VAULT_READ |
CreateVault
|
VAULT_CREATE |
UpdateVault
|
VAULT_UPDATE |
ScheduleVaultDeletion
|
VAULT_DELETE |
CancelVaultDeletion
|
VAULT_DELETE |
ChangeVaultCompartment
|
VAULT_MOVE |
BackupVault
|
VAULT_BACKUP |
RestoreVaultFromFile
|
VAULT_RESTORE |
RestoreVaultFromObjectStore
|
VAULT_RESTORE |
ListVaultReplicas |
VAULT_INSPECT |
CreateVaultReplica |
VAULT_REPLICATE |
DeleteVaultReplica |
VAULT_REPLICATE |
GetVaultUsage |
VAULT_READ |
ListKeys
|
KEY_INSPECT |
ListKeyVersions
|
KEY_INSPECT |
GetKey
|
KEY_READ |
CreateKey
|
KEY_CREATE et VAULT_CREATE_KEY |
EnableKey
|
KEY_UPDATE |
DisableKey
|
KEY_UPDATE |
UpdateKey
|
KEY_UPDATE |
ScheduleKeyDeletion
|
KEY_DELETE |
CancelKeyDeletion
|
KEY_DELETE |
ChangeKeyCompartment
|
KEY_MOVE |
BackupKey
|
KEY_BACKUP |
RestoreKeyFromFile
|
KEY_RESTORE |
RestoreKeyFromObjectStore
|
KEY_RESTORE |
GetKeyVersion
|
KEY_READ |
CreateKeyVersion
|
KEY_ROTATE |
ImportKey
|
KEY_IMPORT et VAULT_IMPORT_KEY |
ImportKeyVersion
|
KEY_IMPORT |
ExportKey
|
KEY_EXPORT |
GenerateDataEncryptionKey
|
KEY_ENCRYPT |
Encrypt
|
KEY_ENCRYPT |
Decrypt
|
KEY_DECRYPT |
Sign |
KEY_SIGN |
Verify |
KEY_VERIFY |
CreateSecret
|
SECRET_CREATE |
UpdateSecret
|
SECRET_UPDATE |
ListSecrets
|
SECRET_INSPECT |
GetSecret
|
SECRET_READ |
ScheduleSecretDeletion
|
SECRET_DELETE |
ChangeSecretCompartment
|
SECRET_MOVE et SECRET_UPDATE |
ListSecretVersions
|
SECRET_VERSION_INSPECT |
GetSecretVersion
|
SECRET_VERSION_READ |
ScheduleSecretVersionDeletion
|
SECRET_VERSION_DELETE et SECRET_UPDATE |
CancelSecretVersionDeletion
|
SECRET_VERSION_DELETE et SECRET_UPDATE |
ListSecretBundles
|
SECRET_BUNDLE_INSPECT |
GetSecretBundle
|
SECRET_BUNDLE_READ |
GetSecretBundleByName
|
SECRET_BUNDLE_READ |
CreateHsmCluster |
HSM_CLUSTER_CREATE |
GetHsmCluster |
HSM_CLUSTER_READ |
GetHsmPartition |
HSM_CLUSTER_READ |
GetPreCoUserCredentials |
HSM_CLUSTER_UPDATE |
DownloadCertificateSigningRequest |
HSM_CLUSTER_UPDATE |
UpdateHsmCluster |
HSM_CLUSTER_UPDATE |
ChangeHsmClusterCompartment |
HSM_CLUSTER_MOVE |
UploadPartitionOwnerCertificate |
HSM_CLUSTER_UPDATE |
ScheduleHsmClusterDeletion |
HSM_CLUSTER_DELETE |
CancelDeletion |
HSM_CLUSTER_DELETE |
ListHsmClusters |
HSM_CLUSTER_INSPECT |
ListHsmPartitions |
HSM_CLUSTER_INSPECT |