Documentation Oracle Cloud Infrastructure

KMS dédié

Cette rubrique fournit un aperçu du service de gestion des clés dédiées d'OCI.

Le service Dedicated Key Management (DKMS) est un service géré et hautement disponible qui offre une partition HSM (Hardware Security Module, module de sécurité matérielle) à locataire unique. Cela vous donne un accès exclusif aux partitions dédiées au sein d'un périphérique HSM physique inviolable pour vous assurer que les clés de chiffrement sont entièrement protégées et isolées.

Dans Dedicated KMS, vous possédez cryptographiquement vos partitions HSM avec un contrôle total sur sa génération, son stockage et son utilisation de clés. Les partitions HSM sont certifiées FIPS 140-2 niveau 3, offrant le plus haut niveau de sécurité pour la gestion des clés. Pour effectuer des opérations cryptographiques, le service prend en charge la norme PKCS#11 pour effectuer des opérations cryptographiques sans avoir besoin d'API ou de modules OCI. Dedicated KMS fournit des clusters HSM dans toutes les régions OCI qui sont automatiquement synchronisés et hautement disponibles, avec un contrat de niveau de service de disponibilité de 99,9 %.

Dedicated KMS offre les avantages suivants :
  • Fournit un meilleur contrôle d'accès en gérant non seulement les clés, mais aussi les partitions HSM et les utilisateurs administratifs directement.
  • Un contrôle renforcé vous donne une visibilité plus approfondie sur les opérations cryptographiques et vous permet de personnaliser l'environnement HSM en fonction de vos besoins.
  • L'utilisation de la norme PKCS#11 pour les interactions directes avec le module HSM vous permet de contourner les API OCI pour des opérations cryptographiques plus rationalisées et efficaces.

Responsabilité de partition

Bien qu'Oracle assure une haute disponibilité pour les partitions et les clés HSM au sein d'une région, les clients sont responsables de la synchronisation des utilisateurs et des clés entre toutes les répliques d'un cluster HSM. L'indisponibilité des utilisateurs et des clés dans une ou plusieurs répliques peut avoir une incidence sur la disponibilité des applications client, en particulier si les seules partitions contenant ces utilisateurs ou clés ne sont plus disponibles. Pour plus d'informations sur ces opérations, reportez-vous à Création d'un utilisateur et à Génération de clés dans la documentation Dedicated Key Management.

SDK client pris en charge

Utilisez les SDK client suivants pour interagir avec les clés dans Dedicated KMS :
  • PKCS#11 : cette norme spécifie une API pour la gestion des clés et l'exécution d'opérations cryptographiques dans le module de sécurité HSM (Hardware Security Module). Pour plus d'informations, reportez-vous à la section PKCS #11 Library.
  • JCE (Java Cryptography Extension) : Dedicated KMS propose un fournisseur JCE pour effectuer des opérations cryptographiques à l'aide du kit JDK (Java Development Kit). Pour plus d'informations, reportez-vous à Fournisseur JCE.
  • Windows CNG et KSP : OCI Dedicated Key Management prend en charge l'API de cryptographie : nouvelle génération (CNG) et les fournisseurs de stockage de clés (KSP) pour les applications Microsoft Windows. Pour plus d'informations, reportez-vous à Windows nouvelle génération (CNG) et fournisseurs de stockage de clés (KSP).

Termes et concepts KMS dédiés

terme Description
Cluster HSM Un cluster est un ensemble de partitions HSM individuelles synchronisées par OCI KMS.
Partition HSM (dédiée) Une enclave cryptographique sécurisée à locataire unique au sein du cluster HSM qui est entièrement isolée pour vos clés.
Utilisateurs HSM Un utilisateur HMS est distinct des utilisateurs IAM. Contrairement à un utilisateur IAM, un utilisateur HSM utilisera les informations d'identification HSM pour accéder à l'utilitaire de gestion des utilisateurs afin d'authentifier les opérations sur le HSM car ces dernières ont lieu directement sur le HSM.
CO Utilisateur Crypto Officer pouvant effectuer des opérations de gestion des utilisateurs sur la partition HSM.
UC Utilisateur cryptographique pouvant effectuer des opérations de gestion des clés et de cryptographie sur la clé dans une partition HSM.
PCS #11 Le PKCS #11 est une norme d'interface cryptographique également connue sous le nom de Cryptoki. Il s'agit de l'une des normes de cryptographie à clé publique qui définit l'interface entre une application et un périphérique cryptographique.