Documentation Oracle Cloud Infrastructure

Détails du service Vault

Détails du service Vault

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès au service Vault.

Types individuels de ressource

vaults

keys

key-delegate

hsm-cluster

secrets

secret-versions

secret-bundles

Type agrégé de ressource

secret-family

Une stratégie qui utilise <verb> secret-family équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource de clé secrète. (Les types de ressource de clé secrète incluent uniquement secrets, secret-versions et secret-bundles.)

Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans secret-family.

Variables prises en charge

Vault prend en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.

Variable Type de variable Commentaires
request.includePlainTextKey Chaîne Utilisez cette variable pour déterminer si la clé en texte brut doit être renvoyée, en plus de la clé cryptée, en réponse à une demande de génération d'une clé de cryptage de données.
request.kms-key.id Chaîne Utilisez cette variable pour déterminer si des volumes de blocs ou des buckets peuvent être créés sans clé de cryptage maître Vault.
target.boot-volume.kms-key.id Chaîne Utilisez cette variable pour déterminer si les instances Compute peuvent être lancées avec des volumes d'initialisation créés sans clé de cryptage maître Vault.
target.key.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des clés spécifiques en fonction de l'OCID.
target.vault.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des coffres spécifiques en fonction de l'OCID.
target.secret.name Chaîne Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction du nom.
target.secret.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à des clés secrètes, des versions de clé secrète et des groupes de clés secrètes spécifiques en fonction de l'OCID.

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.

Par exemple, le verbe use pour le type de ressource keys inclut les mêmes droits d'accès et opérations d'API que le verbe read, plus les droits d'accès KEY_ENCRYPT et KEY_DECRYPT, et plusieurs opérations d'API (Encrypt, Decrypt et GenerateDataEncryptionKey). Le verbe manage offre davantage de droits d'accès et d'opérations d'API que le verbe use.

vaults
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

VAULT_INSPECT

 ListVaults

aucun
read

INSPECT +

VAULT_READ

VAULT_READ

INSPECT +

GetVault

GetVaultUsage

aucun
use

READ +

VAULT_CREATE_KEY

VAULT_IMPORT_KEY

VAULT_CREATE_SECRET

aucun élément supplémentaire

 

CreateKey (requiert également manage keys)

ImportKey (requiert également manage keys)

CreateSecret (requiert également manage secrets)
manage

USE +

VAULT_CREATE

VAULT_UPDATE

VAULT_DELETE

VAULT_MOVE

VAULT_BACKUP

VAULT_RESTORE

VAULT_REPLICATE

USE +

CreateVault

UpdateVault

ScheduleVaultDeletion

CancelVaultDeletion

ChangeVaultCompartment

BackupVault

RestoreVaultFromFile

RestoreVaultFromObjectStore

CreateVaultReplica

DeleteVaultReplica

aucun
keys
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

KEY_INSPECT

ListKeys

ListKeyVersions

aucun
read

INSPECT +

KEY_READ

INSPECT +

GetKey

GetKeyVersion

aucun
use

READ +

KEY_ENCRYPT

KEY_DECRYPT

KEY_EXPORT

KEY_SIGN

KEY_VERIFY

READ +

Encrypt

Decrypt

ExportKey

Sign

Verify

aucun
manage

USE +

KEY_CREATE

KEY_UPDATE

KEY_ROTATE

KEY_DELETE

KEY_MOVE

KEY_IMPORT

KEY_BACKUP

KEY_RESTORE

USE +

CreateKey

UpdateKey

CreateKeyVersion

CancelKeyDeletion

ChangeKeyCompartment

ImportKeyVersion

BackupKey

RestoreKeyFromFile

RestoreKeyFromObjectStore

CreateKey (requiert également use vaults)

ImportKey (requiert également use vaults)
key-delegate
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
use

KEY_ASSOCIATE

KEY_DISASSOCIATE

Encrypt

GenerateDataEncryptionKey

Decrypt

aucun
cluster hsm
Verbes Droits d'accès API complètement couverte API partiellement couverte
Inspection

HSM_CLUSTER_INSPECT

ListHsmClusters

ListHsmPartitions

Aucun

read

HSM_CLUSTER_READ

GetHsmCluster

GetHsmPartition

Aucun

use

HSM_CLUSTER_UPDATE

GetPreCoUserCredentials

DownloadCertificateSigningRequest

UpdateHsmCluster

UploadPartitionCertificates

Aucun

manage

HSM_CLUSTER_DELETE

HSM_CLUSTER_CREATE

HSM_CLUSTER_MOVE

CreateHsmCluster

ChangeHsmClusterCompartment

ScheduleHsmClusterDeletion

CancelHsmClusterDeletion

Aucun
secrets
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

SECRET_INSPECT

 ListSecrets

aucun
read

INSPECT +

SECRET_READ

INSPECT +

GetSecret

aucun
use

READ +

SECRET_UPDATE

SECRET_ROTATE

READ +

UpdateSecret

Rotate

CancelRotation

READ +

ChangeSecretCompartment (requiert également manage secrets)

ScheduleSecretVersionDeletion (requiert également manage secret-versions)

CancelSecretVersionDeletion (requiert également manage secret-versions)
manage

USE +

SECRET_CREATE

SECRET_DELETE

SECRET_MOVE

USE +

ScheduleSecretDeletion

CancelSecretDeletion

USE +

CreateSecret (requiert également use vaults)

ChangeSecretCompartment (requiert également use secrets)
secret-versions
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

SECRET_VERSION_INSPECT

 ListSecretVersions

aucun
read

INSPECT +

SECRET_VERSION_READ

INSPECT +

GetKeyVersion

aucun
manage

READ +

SECRET_VERSION_DELETE

aucun élément supplémentaire

ScheduleSecretVersionDeletion (requiert également use secrets)

CancelSecretVersionDeletion (requiert également use secrets)
secret-bundles
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

SECRET_BUNDLE_INSPECT

 ListSecretBundles

aucun
read

INSPECT +

SECRET_BUNDLE_READ

INSPECT +

GetSecretBundle

aucun

Droits d'accès requis pour chaque opération d'API

Droit d'accès pour les opérations d'API Vault.

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
ListVaults VAULT_INSPECT
GetVault VAULT_READ
CreateVault VAULT_CREATE
UpdateVault VAULT_UPDATE
ScheduleVaultDeletion VAULT_DELETE
CancelVaultDeletion VAULT_DELETE
ChangeVaultCompartment VAULT_MOVE
BackupVault VAULT_BACKUP
RestoreVaultFromFile VAULT_RESTORE
RestoreVaultFromObjectStore VAULT_RESTORE
ListVaultReplicas VAULT_INSPECT
CreateVaultReplica VAULT_REPLICATE
DeleteVaultReplica VAULT_REPLICATE
GetVaultUsage VAULT_READ
ListKeys KEY_INSPECT
ListKeyVersions KEY_INSPECT
GetKey KEY_READ
CreateKey KEY_CREATE et VAULT_CREATE_KEY
EnableKey KEY_UPDATE
DisableKey KEY_UPDATE
UpdateKey KEY_UPDATE
ScheduleKeyDeletion KEY_DELETE
CancelKeyDeletion KEY_DELETE
ChangeKeyCompartment KEY_MOVE
BackupKey KEY_BACKUP
RestoreKeyFromFile KEY_RESTORE
RestoreKeyFromObjectStore KEY_RESTORE
GetKeyVersion KEY_READ
CreateKeyVersion KEY_ROTATE
ImportKey KEY_IMPORT et VAULT_IMPORT_KEY
ImportKeyVersion KEY_IMPORT
ExportKey KEY_EXPORT
GenerateDataEncryptionKey KEY_ENCRYPT
Encrypt KEY_ENCRYPT
Decrypt KEY_DECRYPT
Sign KEY_SIGN
Verify KEY_VERIFY
CreateSecret SECRET_CREATE
UpdateSecret SECRET_UPDATE
ListSecrets SECRET_INSPECT
GetSecret SECRET_READ
ScheduleSecretDeletion SECRET_DELETE
ChangeSecretCompartment SECRET_MOVE et SECRET_UPDATE
ListSecretVersions SECRET_VERSION_INSPECT
GetSecretVersion SECRET_VERSION_READ
ScheduleSecretVersionDeletion SECRET_VERSION_DELETE et SECRET_UPDATE
CancelSecretVersionDeletion SECRET_VERSION_DELETE et SECRET_UPDATE
ListSecretBundles SECRET_BUNDLE_INSPECT
GetSecretBundle SECRET_BUNDLE_READ
GetSecretBundleByName SECRET_BUNDLE_READ
CreateHsmCluster HSM_CLUSTER_CREATE
GetHsmCluster HSM_CLUSTER_READ
GetHsmPartition HSM_CLUSTER_READ
GetPreCoUserCredentials HSM_CLUSTER_UPDATE
DownloadCertificateSigningRequest HSM_CLUSTER_UPDATE
UpdateHsmCluster HSM_CLUSTER_UPDATE
ChangeHsmClusterCompartment HSM_CLUSTER_MOVE
UploadPartitionOwnerCertificate HSM_CLUSTER_UPDATE
ScheduleHsmClusterDeletion HSM_CLUSTER_DELETE
CancelDeletion HSM_CLUSTER_DELETE
ListHsmClusters HSM_CLUSTER_INSPECT
ListHsmPartitions HSM_CLUSTER_INSPECT