Présentation de Vault

Remarque

Avant l'introduction des clés secrètes en tant que ressources, Oracle Cloud Infrastructure Vault était appelé Oracle Cloud Infrastructure Key Management. En outre, la prise en charge des clés secrètes n'est pas disponible dans les domaines Oracle Cloud Infrastructure Government Cloud.

Oracle Cloud Infrastructure Vault permet de gérer de manière centralisée les clés de cryptage qui protègent vos données et les informations d'identification secrètes que vous utilisez pour accéder en toute sécurité aux ressources. Vous pouvez utiliser le service Vault pour créer et gérer les ressources suivantes :

  • Coffres
  • Clés
  • Clés secrètes

Les coffres stockent en toute sécurité les clés de cryptage maître et les clés secrètes, qui sont sinon stockées dans des fichiers de configuration ou du code.

Vous pouvez utiliser le service Vault afin d'appliquer les fonctions de gestion du cycle de vie suivantes pour les coffres, les clés de cryptage maître et les clés secrètes, ce qui facilite le contrôle de ces ressources et leur accès :

  • créer des coffres,
  • créer ou importer des informations cryptographiques en tant que clés de cryptage maître,
  • créer des clés secrètes pour stocker les informations d'identification secrètes,
  • activer ou désactiver des clés de cryptage maître à utiliser dans des opérations de cryptage,
  • effectuer la rotation des clés pour générer de nouvelles informations cryptographiques,
  • exporter les métadonnées de clé ou de coffre vers une sauvegarde que vous pouvez restaurer et utiliser à nouveau ultérieurement,

  • mettre à jour les clés secrètes avec un nouveau contenu de clé secrète,
  • indiquer quelle version de clé secrète est actuellement utilisée via la promotion,
  • configurer des règles pour contrôler la gestion et l'utilisation des clés secrètes,
  • baliser les coffres, les clés de cryptage maître ou les clés secrètes pour ajouter des métadonnées aux ressources.
  • supprimer les coffres, les clés ou les clés secrètes lorsqu'ils ne sont plus nécessaires.

Concernant l'utilisation des clés de cryptage maître, vous pouvez effectuer les actions suivantes :

  • utiliser des clés pour le cryptage et le décryptage,
  • affecter des clés aux ressources Oracle Cloud Infrastructure prises en charge, y compris (mais pas seulement) aux buckets et aux systèmes de fichiers,
  • générer des clés de cryptage de données.

Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volume, Oracle Cloud Infrastructure File Storage et Oracle Cloud Infrastructure Streaming s'intègrent au service Vault pour prendre en charge le cryptage des données dans des buckets, des volumes de blocs ou d'initialisation, des systèmes de fichiers et des pools de flux de données. Oracle Cloud Infrastructure Container Engine for Kubernetes s'intègre au service Vault pour la création de clusters avec des clés secrètes Kubernetes cryptées inactives dans la banque clé-valeur etcd.

L'intégration à Oracle Cloud Infrastructure Identity and Access Management (IAM) permet de contrôler les personnes et les services pouvant accéder aux différentes clés et clés secrètes, ainsi que les actions qu'ils peuvent effectuer avec ces ressources. L'intégration à Oracle Cloud Infrastructure Audit permet de surveiller l'utilisation des clés et des clés secrètes. Le service Audit suit les actions administratives effectuées sur les coffres, les clés et les clés secrètes.

Les clés sont stockées sur des modules de sécurité HSM hautement disponibles et durables qui respectent la certification de sécurité de niveau 3 FIPS (Federal Information Processing Standards) 140-2. Le service Vault utilise AES (Advanced Encryption Standard) comme algorithme de cryptage et ses clés sont des clés symétriques AES.

Concepts relatifs à la gestion des clés et des clés secrètes

Les concepts suivants sont essentiels à la compréhension du service Vault.

Coffres
Il s'agit d'entités logiques dans lesquelles le service Vault crée et stocke de façon durable les clés et les clés secrètes. Le type de coffre dont vous disposez détermine les fonctions et fonctionnalités, telles que le degré d'isolement du stockage, l'accès à la gestion et au cryptage, ainsi que l'évolutivité. Le type de coffre a également une incidence sur la tarification.
Le service Vault propose différents types de coffre pour répondre aux besoins et au budget de votre organisation. Un coffre privé virtuel est une partition isolée sur un module de sécurité HSM qui garantit la sécurité et l'intégrité des clés de cryptage et des clés secrètes qui y sont stockées. Les autres coffres partagent les mêmes partitions sur le module de sécurité HSM. Par défaut, les coffres privés virtuels comprennent 1 000 versions de clé. Si vous n'avez pas besoin du degré d'isolement le plus élevé, les coffres standard vous permettent de gérer les coûts en payant les versions de clé individuellement, selon vos besoins. Les versions de clé sont prises en compte dans votre limite de clés et vos coûts. Une clé contient toujours au moins une version de clé active. De même, une clé secrète possède toujours au moins une version de clé secrète. Toutefois, les limites de clés secrètes s'appliquent à la location et non au coffre.
Le service Vault désigne les coffres comme des ressources Oracle Cloud Infrastructure.
Clés
Les clés sont des entités logiques qui représentent des versions de clé contenant les informations cryptographiques utilisées pour crypter et décrypter les données, protégeant ainsi ces dernières à leur emplacement de stockage. Lorsqu'elle est traitée par un algorithme de cryptage, une clé indique comment transformer le texte brut en texte crypté lors du cryptage et comment transformer le texte crypté en texte brut pendant le décryptage. Conceptuellement, le service Vault reconnaît trois types de clé de cryptage : les clés de cryptage maître, les clés d'encapsulage et les clés de cryptage de données.
Vous pouvez créer des clés de cryptage maître à l'aide de la console, de l'interface de ligne de commande ou de l'API. Les clés de cryptage maître peuvent être générées en interne par le service Vault ou importées vers le service à partir d'une source externe. Le service Vault stocke les clés de cryptage maître dans un coffre.
Une fois que vous avez créé votre première clé de cryptage maître, vous pouvez utiliser l'API pour générer les clés de cryptage de données que le service Vault vous renvoie. Certains services peuvent également utiliser une clé de cryptage maître pour générer leurs propres clés de cryptage de données.
La clé d'encapsulage est un type de clé de cryptage qui est inclus par défaut avec chaque coffre. Une clé d'encapsulage est une paire de clés de cryptage asymétriques de 4 096 bits basée sur l'algorithme RSA. Les clés publique et privée sont prises en compte dans vos limites de service en tant que deux versions de clé, mais n'entraînent pas de coûts de service. Vous utilisez la clé publique comme clé de cryptage de clé lorsque vous devez encapsuler les informations de clé pour l'import dans le service Vault. Vous ne pouvez pas effectuer d'opérations de création, de suppression ou de rotation des clés d'encapsulage.
Le service Vault reconnaît les clés de cryptage maître en tant que ressources Oracle Cloud Infrastructure.
Versions de clé
Une version de clé est automatiquement affectée à chaque clé de cryptage maître. Lorsque vous effectuez une rotation de clé, le service Vault génère une nouvelle version de clé. Les informations de clé de la nouvelle version peuvent être générées par le service Vault ou vous pouvez les importer. La rotation périodique des clés limite la quantité de données cryptées par une version de clé. La rotation des clés réduit ainsi les risques en cas de clé compromise. Un identificateur unique affecté par Oracle à la clé, appelé OCID (Oracle Cloud ID), reste identique lors des rotations, mais la version de clé permet au service Vault d'effectuer une rotation des clés de façon transparente pour répondre à vos exigences de conformité. Bien que vous ne puissiez pas utiliser une ancienne version de clé pour le cryptage après rotation, la version de clé reste disponible pour décrypter toutes les données précédemment cryptées. Grâce au service Vault, vous n'avez pas besoin de déterminer quelle version de clé a été utilisée pour crypter les données car le texte de cryptage de la clé contient les informations requises par le service pour le décryptage.
Modules de sécurité HSM
Lorsque vous créez une clé de cryptage maître, le service Vault stocke la version de clé dans un module de sécurité HSM pour fournir une couche de sécurité physique. (Lorsque vous créez une clé secrète, ses versions sont encodées en base64 et cryptées par une clé de cryptage maître, mais ne sont pas stockées dans le module HSM.) Après sa création, la version de clé ou de clé secrète est répliquée au sein de l'infrastructure de service comme mesure de protection contre les pannes matérielles. Les versions de clé ne sont pas stockées ailleurs et ne peuvent pas être exportées à partir d'un module de sécurité HSM. Le service Vault utilise des modules de sécurité HSM qui respectent la certification de sécurité de niveau 3 FIPS (Federal Information Processing Standards) 140-2. Cela signifie que le matériel HSM est inviolable, qu'il possède des mécanismes de protection physique pour l'intégrité, qu'il requiert l'authentification basée sur une identité et qu'il supprime les clés du dispositif lorsqu'il détecte une altération.
Cryptage d'enveloppe
La clé de cryptage de données utilisée pour crypter vos données est elle-même cryptée avec une clé de cryptage maître. Ce concept est appelé cryptage d'enveloppe. Les services Oracle Cloud Infrastructure n'ont pas accès aux données en texte brut sans interaction avec le service Vault et sans accès à la clé de cryptage maître protégée par Oracle Cloud Infrastructure Identity and Access Management (IAM). A des fins de décryptage, Object Storage, Block Volume et File Storage stockent uniquement la forme cryptée de la clé de cryptage de données.
Clés secrètes
Les clés secrètes sont les informations d'identification telles que les mots de passe, les certificats, les clés SSH ou les jetons d'authentification que vous utilisez avec les services Oracle Cloud Infrastructure. Le stockage des clés secrètes dans un coffre permet plus de sécurité qu'un stockage dans un autre emplacement, par exemple dans des fichiers de configuration ou du code. Vous pouvez extraire les clés secrètes à partir du service Vault lorsque vous en avez besoin pour accéder aux ressources ou à d'autres services.
Vous pouvez créer des clés secrètes à l'aide de la console, de l'interface de ligne de commande ou de l'API. Le contenu d'une clé secrète est importé dans le service à partir d'une source externe. Le service Vault stocke les clés secrètes dans des coffres.
Le service Vault prend en charge les clés secrètes en tant que ressources Oracle Cloud Infrastructure.
Versions de clé secrète
Une version de clé secrète est automatiquement affectée à chaque clé secrète. Lorsque vous effectuez une rotation de clé secrète, vous indiquez un nouveau contenu au service Vault pour qu'il génère une nouvelle version de clé secrète. La rotation régulière du contenu de clé secrète permet de réduire l'impact si une clé secrète est exposée. Un identificateur unique et affecté par Oracle aux clés secrètes, appelé OCID (Oracle Cloud ID), reste le même lors des rotations, mais la version de clé secrète permet au service Vault d'effectuer des rotations de contenu de clé secrète de façon à répondre à vos règles ou à vos exigences de conformité. Bien que vous ne puissiez pas utiliser le contenu d'une ancienne version de clé secrète après rotation si une règle est configurée pour empêcher sa réutilisation, la version de clé secrète reste disponible et son état de rotation n'est pas "En cours". Pour plus d'informations sur les versions de clé secrète et leurs états de rotation, reportez-vous à Versions de clé secrète et états de rotation.
Packages de clé secrète
Un package de clé secrète comprend le contenu de la clé secrète, ses propriétés et sa version (par exemple, le numéro de version ou l'état de rotation), ainsi que des métadonnées contextuelles fournies par l'utilisateur pour la clé secrète. Lorsque vous effectuez une rotation de clé secrète, vous créez une version de clé secrète qui inclut également une nouvelle version de package de clé secrète.

Régions et domaines de disponibilité

Le service Vault est disponible dans toutes les régions commerciales d'Oracle Cloud Infrastructure. Reportez-vous à A propos des régions et des domaines de disponibilité pour obtenir la liste des régions disponibles, ainsi que les emplacements associés, les identificateurs de région, les clés de région et les domaines de disponibilité.

Toutefois, contrairement à d'autres services Oracle Cloud Infrastructure, le service Vault ne dispose pas d'une adresse régionale pour toutes les opérations d'API. Le service dispose d'une adresse régionale pour le service de provisionnement qui gère les opérations permettant de créer, de mettre à jour et de répertorier des coffres. Pour les opérations permettant de créer, de mettre à jour et de répertorier des clés, les adresses de service sont distribuées dans plusieurs clusters indépendants. Les adresses de service pour les clés secrètes sont encore davantage distribuées dans différents clusters indépendants.

Dans la mesure où le service Vault dispose d'adresses publiques, vous pouvez utiliser directement les clés de cryptage de données générées par le service pour les opérations cryptographiques dans les applications. Toutefois, si vous voulez utiliser les clés de cryptage maître avec un service intégré à Vault, vous pouvez le faire uniquement lorsque le service et le coffre contenant la clé existent tous les deux dans la même région. Différentes adresses existent pour les opérations de gestion des clés, les opérations de cryptage des clés, les opérations de gestion des clés secrètes et les opérations d'extraction des clés secrètes. Pour plus d'informations, reportez-vous à la documentation relative à l'API Oracle Cloud Infrastructure.

Le service Vault conserve des copies de clés de cryptage et de clés secrètes dans tous les domaines de disponibilité d'une même région. Cette réplication permet au service Vault de produire des clés ou des clés secrètes sur demande, même lorsqu'un domaine de disponibilité est indisponible.

Accès privé à Vault

Le service Vault prend en charge l'accès privé à partir des ressources Oracle Cloud Infrastructure dans un réseau cloud virtuel via une passerelle de service. La configuration et l'utilisation d'une passerelle de service sur un réseau cloud virtuel permettent aux ressources (comme les instances auxquelles les volumes cryptés sont attachés) d'accéder aux services Oracle Cloud Infrastructure publics tels que le service Vault sans les exposer au réseau Internet public. Aucune passerelle Internet n'est requise et les ressources peuvent se trouver dans un sous-réseau privé et utiliser uniquement des adresses IP privées. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

Identificateurs de ressource

Le service Vault prend en charge les coffres, les clés et les clés secrètes en tant que ressources Oracle Cloud Infrastructure. La plupart des types de ressource Oracle Cloud Infrastructure ont un identificateur unique affecté par Oracle appelé ID Oracle Cloud (OCID). Pour plus d'informations sur le format OCID et d'autres façons d'identifier vos ressources, reportez-vous à Identificateurs de ressource.

Méthodes d'accès à Oracle Cloud Infrastructure

Vous pouvez accéder à Oracle Cloud Infrastructure par l'intermédiaire de la console (interface basée sur un navigateur) ou de l'API REST. Les instructions relatives à la console et à l'API sont incluses dans les rubriques de ce guide. Pour obtenir la liste des kits SDK disponibles, reportez-vous à Kits SDK et interface de ligne de commande.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Vous pouvez utiliser le lien Console en haut de cette page pour accéder à la page de connexion. Vous serez invité à saisir votre locataire cloud, votre nom utilisateur et votre mot de passe.

Pour obtenir des informations générales sur l'utilisation de l'API, reportez-vous à API REST.

Authentification et autorisation

Chaque service d'Oracle Cloud Infrastructure s'intègre à IAM à des fins d'authentification et d'autorisation pour toutes les interfaces (console, kit SDK ou CLI, et API REST).

Un administrateur de votre organisation doit configurer des groupes , des compartiments  et des stratégies  qui déterminent quels utilisateurs peuvent accéder à quels services et à quelles ressources, ainsi que le type d'accès. Par exemple, les stratégies déterminent qui peut créer des utilisateurs, créer et gérer le réseau cloud, lancer des instances, créer des buckets, télécharger des objets, etc. Pour plus d'informations, reportez-vous à Introduction aux stratégies. Afin d'obtenir des détails spécifiques sur l'élaboration de stratégies pour chacun des différents services, reportez-vous à Référence de stratégie.

Si vous êtes un utilisateur standard (et non un administrateur) et que vous avez besoin d'utiliser les ressources Oracle Cloud Infrastructure de votre entreprise, contactez l'administrateur afin qu'il configure un ID utilisateur pour vous. L'administrateur peut confirmer les compartiments que vous devez utiliser.

Limites relatives aux ressources Vault

Reportez-vous aux limites de service pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite. Pour définir des limites propres aux compartiments sur une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.

Pour obtenir des instructions sur l'affichage de votre niveau d'utilisation par rapport aux limites de ressource de la location, reportez-vous à Visualisation de l'utilisation, des quotas et des limites de service. Vous pouvez également consulter l'utilisation de chaque coffre par rapport aux limites de clé en affichant le nombre de clés et de versions de clé dans les détails du coffre.