Documentation Oracle Cloud Infrastructure

Création d'une clé de cryptage maître

Découvrez comment créer une clé de cryptage maître dans le service Key Management d'OCI.

Lors de la création de clés de cryptage maître, tenez compte des points suivants :

  • Rotation automatique : lorsque vous créez une clé de cryptage maître dans un coffre privé virtuel, vous pouvez activer la rotation automatique des clés. Pour plus d'informations, reportez-vous à la section Rotation automatique des clés de la rubrique Concepts relatifs à la gestion des clés et des clés secrètes. Reportez-vous à Activation et mise à jour de la rotation automatique des clés pour obtenir des instructions sur la mise à jour des paramètres de rotation automatique.

  • Algorithmes disponibles : vous pouvez sélectionner l'un des algorithmes suivants lors de la création d'une clé :

    • AES : les clés AES (Advanced Encryption Standard) sont des clés symétriques que vous pouvez utiliser pour crypter les données au repos.
    • RSA : les clés Rivest-Shamir-Adleman (RSA) sont des clés asymétriques, également appelées paires de clés qui se composent d'une clé publique et d'une clé privée. Vous pouvez les utiliser pour crypter les données en transit, les signer et vérifier l'intégrité des données signées.
    • ECDSA : les clés d'algorithme de signature numérique à courbe elliptique (ECDSA) sont des clés asymétriques que vous pouvez utiliser pour signer des données et vérifier l'intégrité des données signées.

Pour plus d'informations sur les clés dans le service Key Management d'OCI, reportez-vous à Clés dans la rubrique Concepts de gestion des clés et des clés secrètes.

    1. Sur la page de liste Clés de cryptage maître du coffre que vous utilisez, sélectionnez Créer une clé. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des clés.
    2. Sélectionnez un compartiment pour créer la clé.
    3. Pour Mode de protection, sélectionnez l'une des options suivantes :
      • HSM : sélectionnez cette option pour créer une clé de cryptage maître stockée et traitée sur un module de sécurité HSM.
      • Logiciel : sélectionnez cette option pour créer une clé de cryptage maître stockée et traitée sur un serveur.

      Vous ne pouvez pas modifier le mode de protection d'une clé après l'avoir créée. Pour plus d'informations sur les clés, notamment sur les modes de protection des clés, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.

    4. Entrez un nom pour identifier la clé. Evitez de saisir des informations confidentielles.
    5. Pour Forme de clé : Algorithme, sélectionnez l'un des algorithmes suivants :
      • AES : les clés AES (Advanced Encryption Standard) sont des clés symétriques que vous pouvez utiliser pour crypter les données au repos.
      • RSA : les clés Rivest-Shamir-Adleman (RSA) sont des clés asymétriques, également appelées paires de clés qui se composent d'une clé publique et d'une clé privée. Vous pouvez les utiliser pour crypter les données en transit, les signer et vérifier l'intégrité des données signées.
      • ECDSA : les clés d'algorithme de signature numérique à courbe elliptique (ECDSA) sont des clés asymétriques que vous pouvez utiliser pour signer des données et vérifier l'intégrité des données signées.
    6. RSA uniquement. Si vous avez sélectionné AES ou RSA, sélectionnez la longueur de forme de clé correspondante, en bits.
    7. ECDSA uniquement. Si vous avez sélectionné ECDSA, sélectionnez une valeur pour Forme de clé : ID de courbe elliptique.
    8. Clés importées uniquement. Pour créer une clé en important une clé encapsulée publiquement, sélectionnez Importer une clé externe et fournissez les détails suivants :
      • Algorithme d'encapsulation : sélectionnez RSA_OAEP_AES_SHA256 (RSA-OAEP avec un hachage SHA-256 pour une clé AES temporaire).
      • Source des données de la clé externe : téléchargez le fichier contenant les informations de clé RSA encapsulées.
    9. Facultatif. Sélectionnez Rotation automatique pour activer la rotation automatique des clés. Vous pouvez modifier les paramètres de rotation automatique une fois la clé créée.
    10. Pour la rotation automatique uniquement. Dans la section Programmation de rotation automatique, fournissez les détails suivants :
      • Date de début : utilisez l'icône de calendrier pour sélectionner une date de début de la programmation de rotation des clés. La rotation a lieu à la date prévue ou avant cette date. Par exemple, si vous créez une clé aujourd'hui ou mettez à jour une clé existante et que vous planifiez la date de début de la rotation automatique au 10 avril avec un intervalle prédéfini de 90 jours, la rotation automatique commence le 10 juillet ou avant (10 avril + 90 jours).
        Remarque

        KMS garantit que la rotation automatique se produit au plus tard à la fin de l'intervalle de rotation. La rotation peut démarrer quelques jours avant l'intervalle planifié.
      • Intervalle de rotation : sélectionnez un intervalle prédéfini dans lequel les clés doivent faire l'objet d'une rotation. Par défaut, l'intervalle est défini sur 90 jours.
      • Personnalisé : Facultatif. Sélectionnez cette option pour définir un intervalle de rotation personnalisé compris entre 60 et 365 jours.
    11. Pour appliquer des balises, sélectionnez Balises.
      Si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès permettant d'appliquer des balises à format libre à cette ressource. Pour appliquer une balise définie, vous devez disposer des droits d'accès permettant d'utiliser l'espace de noms de la balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
    12. Sélectionnez Créer une clé.

  • Utilisez la commande oci kms management key create et les paramètres requis pour créer une clé de cryptage maître :

    oci kms management key create --compartment-id <target_compartment_ocid> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <kmsmanagement_control_plane_URL>

    Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.

  • Utilisez l'API CreateKey avec l'adresse de gestion pour créer une clé de cryptage maître.

    Remarque

    L'adresse de gestion est utilisée pour les opérations de gestion telles que la création, la mise à jour, la liste, l'obtention et la suppression. L'adresse de gestion est également appelée URL du plan de contrôle ou adresse KMSMANAGEMENT.

    L'adresse cryptographique est utilisée pour les opérations cryptographiques, notamment le cryptage, le décryptage, la génération de clé de cryptage de données, la signature et la vérification. L'adresse cryptographique est également appelée URL de plan de données ou adresse KMSCRYPTO.

    Vous pouvez trouver les adresses de gestion et cryptographiques dans les métadonnées de détails d'un coffre. Pour obtenir des instructions, reportez-vous à Obtention des détails d'un coffre.

    Pour connaître les adresses régionales des API de gestion des clés, de gestion des clés secrètes et d'extraction de clés secrètes, reportez-vous à Adresses et référence d'API.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.