Importer des clés de coffre et des versions de clé
Lorsque vous utilisez du matériel de clé importé, vous restez responsable du matériel de clé tout en permettant au service Vault d'en utiliser une copie.
- Utilisez les informations clés générées par un outil ou une source en fonction de vos besoins.
- Utilisez les mêmes informations clés que sur d'autres systèmes cloud ou sur site.
- Gérez le matériel de clé, son expiration et sa suppression dans le service Vault.
- Possédez et gérez les composants clés en dehors d'Oracle Cloud Infrastructure pour plus de durabilité et à des fins de récupération.
| Type de clé | Taille de clé prise en charge |
|---|---|
| Clés symétriques : les clés symétriques basées sur un algorithme AES (Advanced Encryption Standard) sont utilisées pour crypter ou décrypter. | Vous pouvez importer des clés AES ayant l'une des longueurs suivantes :
|
| Clés asymétriques : les clés assymétriques basées sur un algorithme Rivest-Shamir-Adleman (RSA) sont utilisées pour crypter, décrypter, signer ou vérifier. | Vous pouvez importer des clés RSA ayant l'une des longueurs suivantes :
|
Les clés asymétriques basées sur l'algorithme de signature numérique de courbe elliptique (ECDSA) ne peuvent pas être importées.
La longueur de la clé doit correspondre à ce que vous indiquez au moment de la création ou de l'import d'une clé. En outre, avant de pouvoir importer une clé, vous devez encapsuler les informations de la clé à l'aide de la clé d'encapsulation publique fournie avec chaque coffre. La paire de clés d'encapsulage du coffre permet au module HSM de désencapsuler et de stocker la clé de manière sécurisée. Pour respecter la conformité de l'industrie des cartes de paiement (PCI), vous ne pouvez pas importer une clé d'une force supérieure à celle que vous utilisez pour l'encapsuler.
Les clés d'encapsulation de coffre sont des clés RSA 4096 bits. Par conséquent, pour respecter la conformité PCI, vous ne pouvez pas importer des clés AES de plus de 128 bits. La clé d'encapsulation est créée au moment de la création du coffre et elle est exclusive au coffre. Toutefois, vous ne pouvez pas créer, supprimer ou faire pivoter une clé d'encapsulation.
Si vous envisagez d'utiliser la CLI pour créer une clé externe ou la version d'une clé externe, les données de clé doivent être codées en base64.
Stratégie IAM requise
Les clés associées aux volumes, aux buckets, aux systèmes de fichiers, aux clusters et aux pools de flux de données ne fonctionneront que si vous autorisez Block Volume, Object Storage, File Storage, Kubernetes Engine et Streaming à utiliser des clés en votre nom. Vous devez également autoriser les utilisateurs à déléguer l'utilisation des clés à ces services en premier lieu. Pour plus d'informations, reportez-vous à Autoriser un groupe d'utilisateurs à déléguer l'utilisation des clés dans un compartiment et à Création d'une stratégie pour activer les clés de cryptage dans Stratégies courantes. Les clés associées aux bases de données ne fonctionneront que si vous autorisez un groupe dynamique qui inclut tous les noeuds du système de base de données à gérer les clés dans la location. Pour plus d'informations, reportez-vous à Stratégie IAM requise dans Exadata Cloud Service.
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.
Pour les administrateurs : afin de connaître les stratégies standard qui donnent accès aux coffres, aux clés et aux clés secrètes, reportez-vous à Autoriser les administrateurs de sécurité à gérer des coffres, des clés et des clés secrètes. Pour plus d'informations sur les droits d'accès ou sur l'élaboration de stratégies plus restrictives, reportez-vous à Détails du service Vault.
Si vous ne connaissez pas les stratégies, reportez-vous à Gestion des domaines d'identité et à Stratégies courantes.
Avant de commencer
Pour utiliser votre propre clé, vous devez encapsuler les informations de clé à l'aide de RSA - Optimal Asymmetric Encryption Padding (OAEP) avant de les importer. La transformation du matériel de clé fournit une couche de protection supplémentaire en permettant uniquement au module de sécurité matériel (HSM) en possession de la clé d'encapsulation RSA privée de déballer la clé.
| Type de clé | Mécanisme d'emballage pris en charge |
|---|---|
| Clé symétrique (AES) |
|
| Clé asymétrique (RSA) | RSA_OAEP_AES_SHA256 (RSA-OAEP avec un hachage SHA-256 et une clé AES temporaire) |
Afin d'obtenir la clé d'encapsulage RSA pour un coffre, reportez-vous à Obtention de la clé d'encapsulage RSA public.
Si vous utilisez MacOS ou Linux, vous devez installer la série OpenSSL 1.1.1 pour exécuter les commandes. Si vous prévoyez d'utiliser le retour à la ligne RSA_OAEP_AES_SHA256, vous devez également installer un patch OpenSSL qui le prend en charge. Reportez-vous à la section Configuring OpenSSL to Wrap Key Material. Si vous utilisez Windows, vous devez installer Git Bash pour Windows pour exécuter des commandes.