Documentation Oracle Cloud Infrastructure

Création d'une clé secrète

Découvrez comment créer une clé secrète dans un coffre OCI. Les clés secrètes sont les informations d'identification telles que les mots de passe, les certificats, les clés SSH ou les jetons d'authentification que vous utilisez avec les services OCI.

    1. Sur la page de liste Clés secrètes, sélectionnez Créer une clé secrète. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des clés secrètes.
    2. Sélectionnez le compartiment dans lequel créer la clé secrète.
    3. Entrez un nom pour identifier la clé secrète. Evitez de saisir des informations confidentielles.
    4. Vous pouvez éventuellement saisir une description pour vous aider à identifier la clé secrète.

    5. Sélectionnez la clé de cryptage maître à utiliser pour crypter le contenu de la clef secrète pendant l'import vers le coffre. Si la clé se trouve dans un autre compartiment, utilisez le sélecteur Compartiment de clé de cryptage pour spécifier le compartiment de la clé de cryptage. Prenez note des points suivants :

      • La clé doit se trouver dans le même coffre que la clé secrète
      • Vous devez sélectionner une clé symétrique pour créer la clé secrète. Les clés asymétriques ne sont pas prises en charge pour la création de clé secrète.
    6. Choisissez l'une des méthodes suivantes pour générer une clé secrète :
      • Génération automatique de clé secrète : génère la clé secrète automatiquement. Lorsque cette option est activée, vous n'avez pas besoin de fournir le contenu de clé secrète. En outre, lors de la création d'une nouvelle version de clé secrète, elle est générée automatiquement en fonction du type de génération de clé secrète et du modèle de génération.
      • Génération manuelle de clé secrète : permet de fournir manuellement le contenu de clé secrète.
    7. Si vous avez sélectionné Génération automatique de clé secrète, sélectionnez le type de génération.
      • Si vous avez sélectionné Phrase de passe, sélectionnez le contexte de génération correspondant, indiquez éventuellement la longueur de phrase de passe et le format secret.
      • Si vous avez sélectionné Clé SSH, sélectionnez le contexte de génération correspondant et indiquez éventuellement le format secret.
      • Si vous avez sélectionné Octets, sélectionnez le contexte de génération correspondant et indiquez éventuellement le format secret.
    8. Si vous avez sélectionné Génération manuelle de clé secrète, indiquez les informations suivantes :
      • Dans Modèle de type de clé secrète, indiquez le format du contenu de clé secrète que vous fournissez en sélectionnant un modèle. Vous pouvez fournir le contenu de clé secrète en texte brut lorsque vous utilisez la console pour en créer une ou une version, mais le contenu doit être codé par base64 avant d'être envoyé au service. La console encode automatiquement le contenu de clé secrète en texte brut.
      • Dans Contenu de clé secrète, entrez le contenu de la clé secrète. (La taille maximale autorisée pour un package de clé secrète est de 25 ko.)

    9. Vous pouvez éventuellement activer la réplication inter-région à l'aide du commutateur de cette fonctionnalité. Vous pouvez répliquer la clé secrète dans jusqu'à 3 régions de destination. Après avoir déplacé le commutateur, fournissez les informations suivantes :

      • Région de destination : sélectionnez la région contenant le coffre de destination pour la clé secrète répliquée.
      • Coffre de destination : sélectionnez le coffre de destination pour la clé secrète répliquée.
      • Clé : sélectionnez la clé de cryptage à utiliser pour crypter le contenu de la clé secrète dans le coffre de destination.

      Pour répliquer la clé secrète dans d'autres coffres, sélectionnez Ajouter un élément et fournissez la région, le coffre et les détails de clé pour le coffre de destination cible.

    10. Dans la section Rotation de clé secrète, fournissez les détails suivants :
      1. Type de système cible : sélectionnez le type de système cible Autonomous Database ou Function, puis indiquez l'ID de système cible correspondant.
      2. ID système cible : l'ID système est renseigné automatiquement pour le type de système cible sélectionné.
      3. Activer la rotation automatique : cochez la case pour activer la rotation automatique.
        Remarque

        Si vous n'indiquez pas de type et d'ID de système cible, la case à cocher n'est pas activée pour la rotation automatique.
      4. Intervalle de rotation : sélectionnez éventuellement l'intervalle de rotation pour mettre à jour périodiquement la clé secrète.
    11. Pour appliquer une règle afin de gérer l'utilisation des clés secrètes de coffre, sélectionnez Options avancées, puis Autre règle. Fournissez les informations suivantes sous l'onglet Règles. Vous pouvez créer une règle concernant la réutilisation du contenu de clé secrète dans les différentes versions d'une clé secrète, ou créer une règle indiquant le moment où le contenu de clé secrète doit expirer. Pour plus d'informations sur les règles, voir Règles de clé secrète.
      • Type de règle : sélectionnez Règle de réutilisation de clé secrète ou Règle d'expiration de clé secrète. Vous pouvez configurer au maximum une règle de chaque type. Si vous disposez déjà d'une règle, mais que vous souhaitez en ajouter une autre, sélectionnez Une autre règle.

      • Configuration :

        • Règle de réutilisation : sélectionnez cette option pour appliquer la règle d'utilisation de sorte qu'elle s'applique même aux versions de clé secrète supprimées ou que vous puissiez autoriser la réutilisation du contenu de clé secrète à partir de versions supprimées.
        • Pour la règle d'expiration : définissez la fréquence d'expiration du contenu de clé secrète et les opérations qui doivent se produire lorsque la version de clé secrète ou la version de clé secrète expire. L'expiration des différentes versions de clé secrète est représentée par une période de 1 à 90 jours que vous pouvez définir à l'aide des boutons fléchés ou en saisissant un nombre. L'expiration de la clé secrète elle-même est représentée par une date/heure absolue comprise entre 1 et 365 jours à partir de la date et de l'heure en cours. Définissez cette date à l'aide du sélecteur de date. Vous pouvez configurer des valeurs d'expiration pour la version de clé secrète et pour la clé secrète, ou les deux. Vous pouvez effacer l'intervalle d'expiration de la version de clé secrète, mais vous devez supprimer toute la règle d'expiration et recommencer pour définir une heure absolue pour faire expirer la clé secrète.
    12. Vous pouvez éventuellement appliquer des balises à la clé secrète, sélectionner Balises, puis Ajouter une balise. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'avez pas certain de devoir appliquer des balises, ignorez cette option (vous pouvez les appliquer ultérieurement) ou demandez à l'administrateur.
    13. Sélectionnez Créer une clé secrète.

  • Utilisez la commande oci vault secret create-base64 pour créer une clé secrète dans un coffre.

    Remarque

    Vous devez indiquer une clé symétrique pour crypter la clé secrète lors de l'import vers le coffre. Vous ne pouvez pas crypter des clés secrètes avec des clés asymétriques. En outre, la clé doit exister dans le coffre que vous indiquez.
    oci vault secret create-base64 --compartment-id <target_compartment_id> --secret-name <secret_name> --vault-id <target_vault_id> --description <secret_description_text> --key-id <encryption_key_id> --secret-content-content <base64_encoded_secret_content> --secret-content-name <unique_content_name> --secret-content-stage <secret_version_rotation_state> [OPTIONS]

    Par exemple :

    
oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --secret-content-content bXlwYXNzd29yZA== --secret-content-name testpassword1 --secret-content-stage CURRENT

    Evitez de saisir des informations confidentielles.

    Pour activer la génération et la rotation automatiques des clés secrètes, reportez-vous à l'exemple suivant :

    oci vault secret create-base64 --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --secret-name testSecret --vault-id ocid1.vault.oc1.iad.exampleyaaeuk.examplesuxtdqxczlvygwk4ouq2mhzr223g4o2ojs4o4q4ghmt6rlexample --description "this is a test secret" --key-id ocid1.key.oc1.iad.exampleyaaeuk.abuwcvbrswr2nbvrraqomsmhopc74rlqupwyv3byhikd4577rrky7example --enable-auto-generation true --secret-generation-context file://sample_generation_file.json --rotation-config file://sample_rotation.json

    Exemple de contenu dans le fichier passphrase.json :

    {
	"generation_type": "%GENERATED_PASSPHRASE%",
	"generation_template": "DBAAS_DEFAULT_PASSWORD",
	"secret_template": {
		"username": "ORACLE",
		"password": "<example_password>",
}

    Exemple de contenu dans le fichier sample_rotation.json :

    {
	"rotationInterval": "P30D",
	"isScheduledRotationEnabled": true,
	"target_system_details": {
		"target_system_type": "ADB",
		"adbId": "ocid1.autonomousdatabase.<unique_ID>"
	}
}

    Pour obtenir la liste complète des paramètres et des valeurs des commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.

  • Utilisez l'API CreateSecret avec l'adresse de gestion pour créer une clé secrète dans le coffre.

    Remarque

    L'adresse de gestion est utilisée pour les opérations de gestion telles que la création, la mise à jour, la liste, l'obtention et la suppression. L'adresse de gestion est également appelée URL du plan de contrôle ou adresse KMSMANAGEMENT.

    L'adresse cryptographique est utilisée pour les opérations cryptographiques, notamment le cryptage, le décryptage, la génération de clé de cryptage de données, la signature et la vérification. L'adresse cryptographique est également appelée URL de plan de données ou adresse KMSCRYPTO.

    Vous pouvez trouver les adresses de gestion et cryptographiques dans les métadonnées de détails d'un coffre. Pour obtenir des instructions, reportez-vous à Obtention des détails d'un coffre.

    Pour connaître les adresses régionales des API de gestion des clés, de gestion des clés secrètes et d'extraction de clés secrètes, reportez-vous à Adresses et référence d'API.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.