Exporter des clés de coffre et des versions de clé
Découvrez comment exporter une clé de cryptage maître ou une version de clé protégée par logiciel pour effectuer des opérations cryptographiques.
Après avoir exporté une clé, vous pouvez l'utiliser localement, puis la supprimer de la mémoire locale pour protéger le contenu de la clé. L'utilisation d'une clé exportée localement améliore la disponibilité, la fiabilité et la latence.
Vous ne pouvez pas exporter de clés protégées par HSM à partir d'OCI KMS.
Stratégie IAM requise
Les clés associées aux volumes, aux buckets, aux systèmes de fichiers, aux clusters et aux pools de flux de données ne fonctionneront que si vous autorisez Block Volume, Object Storage, File Storage, Kubernetes Engine et Streaming à utiliser des clés en votre nom. Vous devez également autoriser les utilisateurs à déléguer l'utilisation des clés à ces services en premier lieu. Pour plus d'informations, reportez-vous à Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment et à Création d'une stratégie pour activer les clés de cryptage dans Stratégies courantes. Les clés associées aux bases de données ne fonctionneront que si vous autorisez un groupe dynamique qui inclut tous les noeuds du système de base de données à gérer les clés dans la location. Pour plus d'informations, reportez-vous à Stratégie IAM requise dans Exadata Cloud Service.
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.
Pour les administrateurs : afin de connaître les stratégies standard qui donnent accès aux coffres, aux clés et aux clés secrètes, reportez-vous à Autoriser les administrateurs de sécurité à gérer des coffres, des clés et des clés secrètes. Pour plus d'informations sur les droits d'accès ou sur l'élaboration de stratégies plus restrictives, reportez-vous à Détails du service Vault.
Si vous ne connaissez pas les stratégies, reportez-vous à Gestion des domaines d'identité et à Stratégies courantes.
Avant de commencer
Pour exporter une clé, vous devez générer votre propre paire de clés RSA pour encapsuler et déballer les informations de clé. Vous pouvez utiliser l'outil tiers de votre choix pour générer la paire de clés RSA.
Vous pouvez exporter la clé ou la version de clé à l'aide de l'interface de ligne de commande uniquement. Nous avons inclus des exemples de scripts auxquels vous pouvez faire référence. Les scripts incluent toutes les étapes du processus d'exportation, de l'encapsulation des informations de clé à l'exportation de la clé ou de la version de clé protégée par logiciel.
Si vous utilisez MacOS ou Linux, vous devez installer la série OpenSSL 1.1.1 pour exécuter les commandes. Si vous prévoyez d'utiliser l'algorithme de cryptage RSA qui utilise une clé AES temporaire, vous devez également appliquer un patch à OpenSSL avec un patch qui le prend en charge. Reportez-vous à Configuration de OpenSSL pour encapsuler les informations de clé. Si vous utilisez Windows, vous devez installer Git Bash pour Windows et exécuter les commandes avec cet outil.