Affectation de clés de cryptage maître
Affectez des clés de cryptage maître aux ressources prises en charge et enlevez-les lorsqu'elles ne sont plus nécessaires.
Au lieu d'utiliser une clé de cryptage gérée par Oracle, vous pouvez affecter des clés de cryptage maître que vous gérez à des volumes de bloc ou d'initialisation, des bases de données, des systèmes de fichiers, des buckets et des pools de flux de données. Block Volume, Database, File Storage, Object Storage et Streaming utilisent les clés pour décrypter les clés de cryptage de données qui protègent les données stockées par chaque service. Par défaut, ces services s'appuient sur les clés de cryptage maître gérées par Oracle pour les opérations cryptographiques. Lorsque vous enlevez une affectation de clé de cryptage maître Vault d'une ressource, le service utilise à nouveau une clé gérée par Oracle pour la cryptographie.
Vous pouvez également affecter des clés de cryptage maître aux clusters que vous créez à l'aide de Kubernetes Engine afin de crypter les clés secrètes Kubernetes inactives dans la banque clé-valeur etcd.
L'affectation de clés inclut les configurations suivantes :
- Création d'une instance de calcul avec un volume d'initialisation crypté
- Création d'un volume d'initialisation crypté avec une clé de coffre
- Création d'un cluster Kubernetes avec des clés secrètes cryptées
- Affectation d'une clé à un bucket Object Storage
- Affectation d'une clé à un pool de flux de données
- Affectation d'une clé à un volume d'initialisation
- Affectation d'une clé à un système de fichiers
- Affectation d'une clé à un volume de blocs
- Modification d'une clé d'un volume d'initialisation
- Modification d'une clé dans un volume de blocs
- Suppression d'une affectation de clé d'un volume de blocs
- Suppression d'une affectation de clé d'un stockage d'objets
Pour plus d'informations sur la gestion de la création et de l'utilisation des clés de cryptage maître et des versions de clés, reportez-vous à Gestion des clés. Pour plus d'informations sur la création de clés avec vos propres informations de clé, reportez-vous à Import de clés et de versions de clé de coffre. Pour plus d'informations sur l'utilisation des clés dans les opérations cryptographiques, reportez-vous à Utilisation des clés de cryptage maître. Pour plus d'informations sur les opérations que vous pouvez effectuer avec les coffres dans lesquels vous stockez les clés, reportez-vous à Gestion des coffres.
Stratégie IAM requise
Les clés associées aux volumes, aux buckets, aux systèmes de fichiers, aux clusters et aux pools de flux de données ne fonctionneront que si vous autorisez Block Volume, Object Storage, File Storage, Kubernetes Engine et Streaming à utiliser des clés en votre nom. Vous devez également autoriser les utilisateurs à déléguer l'utilisation des clés à ces services en premier lieu. Pour plus d'informations, reportez-vous à Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment et à Création d'une stratégie pour activer les clés de cryptage dans Stratégies courantes. Les clés associées aux bases de données ne fonctionneront que si vous autorisez un groupe dynamique qui inclut tous les noeuds du système de base de données à gérer les clés dans la location. Pour plus d'informations, reportez-vous à Stratégie IAM requise dans Exadata Cloud Service.
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous indique que vous ne disposez pas des droits d'accès ou des autorisations nécessaires, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.
Pour les administrateurs : afin de connaître les stratégies standard qui donnent accès aux coffres, aux clés et aux clés secrètes, reportez-vous à Autoriser les administrateurs de sécurité à gérer des coffres, des clés et des clés secrètes. Pour plus d'informations sur les droits d'accès ou sur l'élaboration de stratégies plus restrictives, reportez-vous à Détails du service Vault.
Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.