Documentation Oracle Cloud Infrastructure

Surveiller l'utilisation des clés

Découvrez comment surveiller l'utilisation des clés dans Oracle Cloud Infrastructure à l'aide des données de journal.

La surveillance de l'utilisation des clés pour les opérations de chiffrement et de déchiffrement peut s'avérer utile dans plusieurs cas d'utilisation, notamment :

  • Gestion du cycle de vie : il est essentiel de comprendre quand une clé a été utilisée pour la dernière fois pour prendre des décisions éclairées en matière de conservation. Les clés rarement utilisées, telles que celles qui prennent en charge les charges de travail de base de données, peuvent toujours être importantes sur le plan opérationnel malgré une activité limitée. L'extension de la conservation des journaux via OCI Connector Hub permet une visibilité plus approfondie sur les modèles d'utilisation historiques, ce qui permet aux équipes de prendre des décisions tenant compte des risques quant à la conservation, à la rotation ou à la suppression des clés.
  • Sécurité : l'utilisation de la clé de surveillance peut vous alerter d'une activité inhabituelle.
  • Surveillance ou étude du comportement des applications : la corrélation entre le comportement des applications et l'utilisation des clés peut vous fournir des informations utiles pour résoudre les problèmes liés aux applications ou améliorer leurs performances.

Cette rubrique explique comment utiliser les journaux Oracle Cloud Infrastructure (OCI) pour surveiller l'utilisation des clés.

Données de journalisation disponibles

Le service de journalisation OCI fournit plusieurs types de journaux, notamment les suivants :

Journaux d'audit

Journaux d'audit : utilisez les journaux d'audit pour surveiller les opérations de gestion telles que :

  • Créer, mettre à jour et supprimer des opérations de gestion des clés et des coffres
  • Opérations de rotation des clés

Les journaux d'audit n'enregistrent pas les opérations cryptographiques telles que Decrypt ou GenerateDataEncryptionKey (activité de plan de données), qui sont éventuellement enregistrées dans les journaux de service.

Journaux de service

Les journaux de service doivent être activés par le client pour être utilisés. Lorsque cette option est activée pour Key Management, les journaux de service capturent les métadonnées, notamment :

  • Principe d'appel (utilisateur, fonction ou instance à l'origine de l'opération de clé)
  • OCID de clé
  • Version de clé
  • Type d'opération (par exemple, Decrypt)
  • Horodatage
  • Détails du coffre et du compartiment
Important

Les journaux de service n'enregistrent pas d'informations sensibles susceptibles de compromettre la sécurité des données pour votre organisation ou vos clients. Pour obtenir des détails complets sur les données collectées par les journaux de service pour Key Management, reportez-vous à Détails de Key Management.

Activation des journaux de service pour un coffre

Pour activer les journaux de service, vous devez disposer des droits d'accès IAM requis. Pour plus d'informations, reportez-vous à Détails de journalisation dans la documentation IAM Service.

Les journaux de service sont activés au niveau du coffre. Répétez les étapes de cette rubrique pour chaque coffre régional pour lequel vous souhaitez activer la journalisation.

Pour plus d'informations, reportez-vous à Activation de la journalisation pour une ressource dans la documentation du service Logging.

  1. Ouvrez le menu de navigation et sélectionnez Observation et gestion. Sous Journalisation, sélectionnez Journaux.
  2. Sélectionnez Activer le journal de services.
  3. Configurez le journal de la manière suivante :
    • Compartiment : sélectionnez le compartiment contenant le coffre pour lequel vous activez la journalisation.
    • Service : Key Management
    • Ressource : sélectionnez le coffre à surveiller à l'aide des journaux de service.
    • Catégorie de journal : opérations de cryptage.
    • Nom du journal : entrez le nom du journal.
  4. Sélectionnez Activer la journalisation.

Afficher et interroger les journaux KMS

  1. Ouvrez le menu de navigation et sélectionnez Observation et gestion. Sous Journalisation, sélectionnez Journaux.
  2. Accédez au journal de service que vous avez créé pour un coffre dans la vue de liste des journaux. Pour obtenir des instructions, reportez-vous à Obtention des détails d'un journal.
  3. Utilisez les contrôles Trier et Filtrer par heure pour contrôler les entrées de journal affichées dans la liste d'entrées Explorer le journal. La colonne type affiche le type d'opération de cryptage représenté par l'entrée. Par exemple, une entrée pour une opération de décryptage a le type d'entrée suivant :

    keymanagementservice.vault.crypto.decrypt

    L'image suivante présente un exemple de journal avec une liste d'entrées de journal :

    Image d'une page de détails de journal de service pour les opérations cryptographiques KMS.
  4. Pour afficher les détails complets d'une entrée de journal, sélectionnez la flèche à la fin de la ligne de l'entrée afin de développer l'entrée et d'afficher une vue des détails de l'entrée au format JSON.

    L'image suivante présente un exemple des détails d'une entrée de journal au format JSON :

    Image d'une entrée de journal de service KMS au format JSON.
    {
  "datetime": 1754361617552,
  "logContent": {
    "data": {
      "clientIpAddress": "<example_ip>",
      "keyVersionId": "ocid1.keyversion.oc1.iad.<example_ocid>",
      "opcRequestId": "<example_request_id>",
      "principalId": "objectstorage-us-ashburn-1/<example_principle>",
      "requestAction": "DECRYPT",
      "statusCode": 200
    },
    "id": "51777c94-e29c-4e78-9121-946c77301f62",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1.<example_ocid>",
      "ingestedtime": "2025-08-05T02:40:55.747Z",
      "loggroupid": "ocid1.loggroup.oc1.<example_ocid>",
      "logid": "ocid1.log.oc1.iad.<example_ocid>",
      "tenantid": "ocid1.tenancy.oc1.<example_ocid>"
    },
    "source": "ocid1.vault.oc1.iad.<example_ocid>",
    "specversion": "1.0",
    "subject": "ocid1.key.oc1.iad.<example_ocid>",
    "time": "2025-08-05T02:40:17.552Z",
    "type": "com.oraclecloud.keymanagementservice.vault.crypto.decrypt"
  },
  "regionId": "us-ashburn-1"
}
  5. Pour rechercher des entrées par requête personnalisée, sélectionnez Actions, puis Explorer avec la recherche de journal. Le mode de base de la recherche de journal est affiché par défaut et vous permet de saisir des mots-clés (tels que "crypt") ou des valeurs ou chaînes uniques (telles qu'une valeur principalId) dans le champ Filtres personnalisés. Vous pouvez également sélectionner Mode avancé et utiliser la syntaxe de requête pour rechercher dans le journal. Pour plus d'informations sur la recherche de journaux, reportez-vous à Obtention des détails d'un journal et à Recherche de journal.

Envoi de journaux vers Object Storage ou des plates-formes externes telles que SIEM

Par défaut, les journaux de service sont stockés pendant 30 jours. Pour la conservation à long terme ou l'analyse externe, utilisez Connector Hub pour transférer les journaux vers des destinations cible telles que :

  • Object Storage
  • Analyses de journal
  • Cibles externes telles que SIEM

Pour plus d'informations, reportez-vous aux rubriques suivantes :