Documentation Oracle Cloud Infrastructure

Réplication de coffres et de clés

Répliquez les coffres et les clés pour les scénarios de récupération après sinistre. La réplication facilite la lecture des clés dans un coffre à partir d'une autre région du même domaine.

Vous pouvez répliquer des coffres d'une région vers une autre pour les rendre disponibles, ainsi que les clés qu'ils contiennent, dans la région distante. La réplication des coffres offre les avantages suivants :

  • Récupération après sinistre améliorée : la réplication des clés entre les régions garantit l'accessibilité des données et une récupération plus rapide en cas de perturbations régionales.
  • Protection des Données : Maintenir les copies de clés redondantes garantit contre les pertes accidentelles ou les accès non autorisés.
  • Conformité et résidence des données : pour les secteurs réglementés et les entreprises ayant des exigences spécifiques en matière de résidence des données, la réplication garantit le respect des lois pertinentes.
Remarque

Pour plus d'informations sur la réplication de clés secrètes entre les régions, reportez-vous à Réplication de clés secrètes.

Fonctionnement de la réplication

Lorsque vous configurez la réplication inter-région pour un coffre, le service synchronise automatiquement la création, la suppression, la mise à jour ou le déplacement de clés ou de versions de clé entre un coffre spécifié et une réplique de ce coffre dans une autre région. Le coffre à partir duquel le service réplique les données est appelé coffre source. Le coffre de la région de destination vers laquelle le service réplique les données du coffre source est appelé réplique de coffre.

Le coffre conserve la sécurité FIPS 140-2 niveau 3 lors de la réplication régionale. Les clés sont exportées en tant qu'objets binaires cryptés et restaurées uniquement dans les modules de sécurité HSM FIPS 140-2 niveau 3 fournis par Oracle au sein de votre location. Les clés ne laissent jamais le module HSM en texte brut. Les opérations de démarrage et de suppression de réplication sont journalisées dans les journaux OCI Audit.

Gestion du coffre source et des répliques

Le service prend en charge l'utilisation de la réplique de coffre pour les opérations cryptographiques. Vous ne pouvez pas effectuer d'opérations de gestion directement sur la réplique de coffre et ses clés. Par exemple, vous ne pouvez pas créer de clés directement dans la réplique de coffre, ni sauvegarder la réplique de coffre. Vous pouvez trouver l'adresse cryptographique de la réplique de coffre en visualisant les détails de la réplique de coffre. Vous pouvez utiliser cette adresse si nécessaire.

Pour arrêter la réplication d'un coffre source, supprimez la réplique de coffre dans la région de destination. Etant donné qu'une seule réplique de coffre peut exister pour un coffre source à la fois, vous devez supprimer une réplique de coffre existante pour répliquer le coffre source dans une autre région de destination.

Temps de récupération et point de récupération pendant le basculement

L'objectif de délai de récupération (RTO) est la durée maximale pendant laquelle les applications peuvent être indisponibles lors d'un basculement vers la région de destination. Le RTO est proche de zéro dans un état stable, car chaque clé créée dans la région source est immédiatement répliquée vers la région de destination. Le délai provient principalement de la latence du réseau entre les régions et est mesuré en millisecondes. Par conséquent, les applications peuvent basculer vers la région de destination et accéder aux clés presque instantanément.

L'objectif de point de récupération (RPO) est la quantité maximale de données qui peuvent être perdues dans la région source lors d'un basculement. Le RPO pour les clés de coffre répliquées est égal à zéro car KMS ne confirme pas la réussite d'une opération de réplication tant qu'une clé n'est pas validée dans le stockage HSM persistant, ce qui permet de garantir l'absence de perte de données.

Remarque

OCI KMS prend en charge deux types d'offre de coffre :

  • Vault virtuel : service locataire rentable pour la gestion des clés.
  • Private Vault : service à locataire unique offrant une isolation et une sécurité améliorées.

Notez les restrictions et considérations suivantes :

  • Les coffres virtuels créés avant l'introduction de la fonctionnalité de réplication de coffre inter-région ne peuvent pas être répliqués entre les régions. Cependant, tous les coffres privés prennent en charge la réplication inter-région. Vous pouvez utiliser le paramètre isVaultReplicable de l'API GetVault pour déterminer si un coffre virtuel prend en charge la réplication inter-région. Créez un coffre et de nouvelles clés si vous disposez d'un coffre que vous devez répliquer dans une autre région et que la réplication n'est pas prise en charge pour ce coffre. Les clés existantes ne peuvent pas être copiées dans un nouveau coffre.

    Si vous disposez d'un coffre qui ne prend pas en charge la réplication inter-région, le bouton Répliquer le coffre sur la page de détails du coffre est désactivé.

  • Par défaut, les coffres privés ont une limite de zéro. Vous devez donc demander une augmentation de limite de service dans la région de destination où vous voulez répliquer un coffre privé avant de créer une réplique de coffre.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Pour les administrateurs : afin d'obtenir une stratégie standard qui donne accès aux coffres, aux clés et aux clés secrètes, reportez-vous à Autoriser les administrateurs de sécurité à gérer des coffres, des clés et des clés secrètes. Outre les stratégies pour les utilisateurs et les groupes, vous devez également écrire une stratégie qui donne au service Vault la possibilité de tout faire avec des coffres afin qu'il puisse créer et gérer des coffres en votre nom lors de la réplication. Par exemple, la stratégie suivante autorise le service dans toutes les régions à l'échelle du domaine :

Allow service keymanagementservice to manage vaults in tenancy

Pour restreindre les droits d'accès à des compartiments spécifiques, indiquez plutôt le compartiment. Pour plus d'informations sur les droits d'accès ou sur l'élaboration de stratégies plus restrictives, reportez-vous à Détails du service Vault.

Si vous ne connaissez pas les stratégies, reportez-vous à Gestion des domaines d'identité et à Stratégies courantes.