Documentation Oracle Cloud Infrastructure

Utilisation de votre propre clé maître avec les appareils Roving Edge Infrastructure

Découvrez comment configurer une clé maître basée sur KMS fournie par l'utilisateur pour gérer les informations secrètes sur les appareils Roving Edge Infrastructure.

Important

Pour les appareils Roving Edge auto-provisionnés, vous gérez la phrase de passe de clé maître, tous les mots de passe et la clé de récupération. Stockez la phrase de passe, le mot de passe et la clé de récupération dans un emplacement sécurisé tel qu'OCI Vault. Si vous oubliez la phrase de passe de déverrouillage et la clé de récupération, Oracle ne peut pas vous aider à récupérer le périphérique et celui-ci doit être remplacé.

Sur les anciens appareils Roving Edge (périphériques provisionnés par Oracle), Oracle gère les informations secrètes sur vos appareils Roving Edge Infrastructure, telles que la phrase de passe du superutilisateur et le mot de passe de déverrouillage, à l'aide d'une clé maître basée sur KMS. Oracle utilise également un module de sécurité matérielle pour protéger davantage ces données. Cependant, au lieu de compter sur la clé maître d'Oracle pour gérer ces données secrètes, vous pouvez fournir votre propre clé maître basée sur KMS à partir de votre propre location OCI.

Remarque

Vous pouvez uniquement fournir votre propre clé maître lors de la création de la ressource de noeud. Vous ne pouvez pas modifier une ressource de noeud existante pour utiliser votre propre clé maître que la ressource a initialement créée à l'aide d'une clé maître fournie par Oracle.

Ecrire la stratégie de clé maître

Pour utiliser votre propre clé maître, vous devez d'abord écrire une stratégie qui autorise cette fonctionnalité à l'aide de l'une des méthodes suivantes :

  • Utilisation de la console Oracle Cloud Infrastructure:

    Créez la stratégie suivante :

    allow service rover to use keys in compartment ID compartment-id where target.key.id = master-key-id

    master-key-id est l'OCID de clé maître dans la location client utilisé pour crypter les informations de clé secrète client telles que le mot de passe du superutilisateur et la phrase de passe de déverrouillage. Par exemple :

    allow service rover to use keys in compartment ID compartment-id where target.key.id = 'ocid1.key.region1..exampleuniqueID'

  • A l'aide de la CLI :

    Entrez la commande suivante :

    oci rover policy create-master-key-policy --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Par exemple :

    oci rover policy create-master-key-policy --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Sélectionner le coffre et la clé maître

Après avoir écrit la stratégie, sélectionnez le coffre et la clé maître, ainsi que les compartiments dans lesquels ils résident à l'aide de l'une des méthodes suivantes :

  • Utilisation de la console Oracle Cloud Infrastructure:

    Lorsque vous créez une ressource de noeud Roving Edge Infrastructure à l'aide de la boîte de dialogue Créer dans la console Oracle Cloud Infrastructure, la section Clé de cryptage apparaît. Ici, vous pouvez sélectionner l'une des options suivantes :

    • Cryptage à l'aide des clés gérées par Oracle : choisissez de gérer le cryptage de clé par le service Oracle Cloud Infrastructure. Aucune action supplémentaire n'est requise.

    • Crypter à l'aide des clés gérées par le client : choisissez de fournir votre propre clé de cryptage.

      Si vous choisissez de fournir votre propre clé, la section Clé de cryptage affiche les champs supplémentaires suivants :

      • Compartiment de coffre : sélectionnez dans la liste le compartiment contenant le coffre de votre choix.

      • Coffre : sélectionnez l'un des coffres dans la liste contenue dans le compartiment de coffre que vous avez choisi précédemment.

      • Compartiment de clé de cryptage maître : sélectionnez dans la liste le compartiment contenant la clé de cryptage maître de votre choix.

      • Clé de cryptage maître : sélectionnez l'une des clés de cryptage maître dans la liste de la valeur de clé de cryptage maître que vous avez choisie précédemment.

  • A l'aide de la CLI :

    Incluez l'option master-key-id lorsque vous créez la ressource de noeud Roving Edge Infrastructure. Par exemple :

    oci rover node create --display-name display_name --compartment-id compartment_ocid --shape shape --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Par exemple :

    oci rover node create --display-name 'test1' --compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --shape RED.2.56.GPU --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Après avoir configuré la stratégie de clé maître, RCS est appelé pour valider l'accès au coffre dans le cadre de la création du noeud.