Documentation Oracle Cloud Infrastructure

Clés gérées par le client pour Oracle Break Glass

Sécurisez vos environnements d'applications avec Oracle Break Glass et les clés gérées par le client.

Par défaut, les environnements de vos applications sont protégés par les clés de cryptage gérées par Oracle. En achetant un abonnement qui inclut le service Oracle Break Glass, vous disposez de la fonctionnalité de clés gérées par le client qui vous permet de fournir et de gérer les clés de cryptage qui protègent vos environnements. Vous pouvez également acheter cette option sous forme d'abonnement complémentaire.

Vous utilisez le service OCI Vault pour créer et gérer les clés de cryptage afin de sécuriser les données stockées au repos dans vos environnements de production et hors production. Vous pouvez configurer les clés sur votre environnement lors de la création de l'environnement ou ajouter une clé à un environnement existant.

Meilleures pratiques pour la configuration et la gestion des coffres et des clés

Il est recommandé de créer des coffres distincts pour les environnements de production et autres. Dans le coffre hors production, créez des clés distinctes pour vos environnements de test et de développement. Par exemple, vous pouvez créer les éléments suivants :

Environnement Coffre Clé de chiffrement principale
Production my-production-vault my-production-key
Tester my-non-production-vault my-test-environnement-clé
Développement my-développement-environnement-clé

Avantages des coffres distincts pour la production et la non-production :

  • La maintenance de coffres distincts permet une rotation indépendante des clés pour les environnements de production et autres.
  • Le nombre de clés par coffre est limité. Le fait de disposer de coffres distincts fournit un nombre distinct pour la production et la non-production.

Vous pouvez vérifier les limites et l'utilisation des clés en consultant la page Limites, quotas et utilisation dans laquelle les limites, les quotas et l'utilisation des ressources de la région spécifique sont affichés, répartis par service :

  1. Dans la console, ouvrez le menu de navigation et cliquez sur Gouvernance et administration. Sous Gestion des locations, cliquez sur Limites, quotas et utilisation.
  2. Dans la liste Service, sélectionnez Gestion des clés.

    Vérifiez les limites de clé pour : Key Version Count pour les coffres virtuels ou Software Key Version Count pour les coffres virtuels, selon le type de clé que vous avez choisi d'utiliser.

Effectuer des tâches de configuration

Effectuez ces tâches pour configurer vos coffres et vos clés et préparez votre location à utiliser des clés gérées par le client.

L'administrateur de location dispose des droits d'accès requis pour effectuer toutes les tâches de configuration requises. Si vous désignez les tâches de configuration à un autre rôle, assurez-vous qu'elles disposent des autorisations appropriées pour utiliser les coffres et les clés. Reportez-vous à Référence des droits d'accès.

Le tableau récapitule les tâches de configuration détaillées ci-dessous.

Tâche Obligatoire/facultatif Informations supplémentaires
1. Créez des compartiments pour vos coffres et vos clés. Option Il est recommandé de créer des compartiments distincts pour les coffres et les clés afin d'affiner l'accès.
2. Ajoutez la stratégie système pour permettre l'utilisation des clés gérées par le client par l'application. Obligatoire Vous devez ajouter cette stratégie avant d'ajouter le coffre et la clé à votre environnement. Si cette stratégie n'est pas ajoutée, votre environnement ne termine pas le provisionnement (s'il est ajouté lors de la création de l'environnement) ou ne termine pas la demande de travail (s'il est ajouté à un environnement existant).
3. Créez les coffres pour les environnements de production et de non-production. Obligatoire Suivez la procédure du service Vault.
4. Créez les clés pour les environnements de production et de non-production. Obligatoire Suivez la procédure du service Vault.

1. Création d'un compartiment pour les coffres et les clés (facultatif)

Bien que cela ne soit pas obligatoire, la configuration d'un compartiment dédié pour vos coffres et vos clés vous permet de mieux contrôler qui a accès à ces ressources. Afin d'activer les clés gérées par le client pour votre location, vous devez créer une stratégie système (tâche 2) pour autoriser l'accès aux coffres et aux clés par les systèmes gérés par Oracle. En plaçant ces ressources dans des compartiments plutôt que de les créer dans la location, vous pouvez limiter votre stratégie aux compartiments essentiels. Pour plus d'informations sur les avantages des compartiments, reportez-vous à Présentation des compartiments.

Vous trouverez ci-dessous des instructions abrégées pour la création d'un compartiment. Pour plus d'informations sur la gestion des compartiments, reportez-vous à Gestion des compartiments.

Afin de créer un compartiment pour les coffres et les clés, procédez comme suit :

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Compartiments. La liste des compartiments auxquels vous avez accès apparaît.

  2. Cliquez sur Créer un compartiment.

  3. Entrez les informations suivantes :
    • Nom : nom unique du compartiment (100 caractères au maximum, comprenant des lettres, des chiffres, des points, des tirets et des traits de soulignement). Le nom doit être unique parmi tous les compartiments de la location. Evitez de saisir des informations confidentielles. Par exemple, my-managed-keys.
    • Description : description conviviale. Si vous le souhaitez, vous pourrez la modifier ultérieurement.
    • Compartiment parent : le compartiment dans lequel vous vous trouvez apparaît. Si vous avez créé d'autres compartiments, vous pouvez en choisir un autre dans lequel le créer.
    • Balises : si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
  4. Cliquez sur Créer un compartiment.

2. Ajout de la stratégie système pour activer les clés gérées par le client dans votre location

Important

Vous devez ajouter cette stratégie avant d'ajouter la clé gérée par le client à votre environnement. Si cette stratégie n'est pas ajoutée, votre environnement ne termine pas le provisionnement (s'il est ajouté lors de la création de l'environnement) ou ne termine pas la mise à jour (s'il est ajouté à un environnement existant). Reportez-vous à la documentation propre à l'application pour connaître la stratégie requise pour votre application.

Pour créer la stratégie système :

  1. Ouvrez le menu de navigation. Sous Infrastructure, cliquez sur Identité et sécurité pour développer le menu, puis, sous Identité, cliquez sur Stratégies.
  2. Cliquez sur Créer une stratégie.
  3. Entrez les informations suivantes :
    • Nom : nom unique de la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pouvez pas modifier cette valeur ultérieurement.
    • Description : description conviviale. Si vous le souhaitez, vous pourrez la modifier ultérieurement.
    • Compartiment : assurez-vous que la location (compartiment racine) est sélectionnée.
  4. Dans le générateur de stratégies, activez l'option Afficher l'éditeur manuel pour afficher la zone de saisie de texte à format libre.
  5. Entrez les instructions de stratégie de la documentation propre à l'application.
  6. Cliquez sur Créer.

3. Création de coffres pour les environnements

Suivez la procédure Création d'un coffre dans la documentation Vault. Si vous avez créé des compartiments, veillez à créer les coffres dans le compartiment indiqué dans la stratégie système.

Il est recommandé de créer 2 coffres : un pour vos clés d'environnement de production et un pour vos clés d'environnement hors production.

4. Créer des clés

Suivez la procédure de création d'une clé de cryptage maître dans la documentation Vault. Veillez à créer les clés dans le compartiment que vous avez indiqué dans la stratégie système.

Lorsque vous créez des clés pour des applications, vous devez effectuer les sélections suivantes :

  • Pour Forme de clé : algorithme, sélectionnez AES (clé symmetric key used for Encrypt and Decrypt) (vous devez sélectionner cette option pour les clés gérées par le client des applications).
  • Pour Forme de clé : longueur, sélectionnez 256 bits.

Il est recommandé de créer une clé dans le coffre de production pour votre environnement de production et une clé pour chaque environnement hors production dans votre coffre hors production.

Ajout d'une clé gérée par le client à vos environnements

Vous pouvez ajouter la clé gérée par le client lors de la création de l'environnement ou après la création de l'environnement.

Ajout d'une clé gérée par le client lors de la création d'un environnement

Cette procédure comprend uniquement les étapes d'activation de la clé gérée par le client. Pour obtenir la procédure complète de création d'un environnement, reportez-vous à Procédure de création d'un environnement.

Dans la page de création de l'environnement :

  1. Cliquez sur Afficher les options avancées.
  2. Cliquez sur l'onglet Cryptage.

  3. Sélectionnez Crypter à l'aide des clés gérées par le client.

    Si cette option n'apparaît pas, vérifiez que l'abonnement a été ajouté à la location.

  4. Sélectionnez le coffre. Si le coffre ne se trouve pas dans le compartiment dans lequel vous créez votre environnement, vous devez cliquer sur Modifier le compartiment et choisir le compartiment approprié.
  5. Sélectionnez la clé. Si la clé ne se trouve pas dans le compartiment dans lequel vous créez votre environnement, vous devez cliquer sur Modifier le compartiment et choisir le compartiment approprié. Seules les clés AES 256 bits sont affichées.

Une fois toutes les étapes de configuration de l'environnement terminées, le processus de provisionnement commence. L'ajout de la clé gérée par le client ajoute du temps au processus de provisionnement.

Ajout d'une clé gérée par le client pour un environnement existant

Pour activer une clé gérée par le client pour un environnement existant :

  1. Sur la page de liste Environnements, sélectionnez l'environnement à utiliser. Si vous avez besoin d'aide pour rechercher la page de liste, reportez-vous à Procédure pour répertorier les environnements.

  2. Sur la page Détails de l'environnement, cliquez sur l'onglet Cryptage.
  3. Par défaut, le type est géré par Oracle. Cliquez sur Gérer pour ajouter le coffre et la clé.

    Si vous ne voyez pas l'option Gérer, vous n'avez pas acheté l'option ou l'abonnement aux clés gérées par le client n'a pas été ajouté à la location.

  4. Sélectionnez Crypter à l'aide des clés gérées par le client.

  5. Sélectionnez le coffre. Si le coffre ne se trouve pas dans le compartiment dans lequel vous créez votre environnement, vous devez cliquer sur Modifier le compartiment et choisir le compartiment approprié.
  6. Sélectionnez la clé. Si la clé ne se trouve pas dans le compartiment dans lequel vous créez votre environnement, vous devez cliquer sur Modifier le compartiment et choisir le compartiment approprié. Seules les clés AES 256 bits sont affichées.
  7. Cliquez sur Enregistrer les modifications.

La planification du cryptage de votre environnement dépend de l'application. Pour certaines demandes, une demande de travail est soumise immédiatement. Vous pouvez surveiller la demande de travail pour suivre la progression du cryptage. Votre environnement ne sera pas disponible pendant la mise à jour. Pour les autres applications, le cryptage est effectué lors du prochain cycle de maintenance ou de la mise à jour de patch. Jusqu'à ce que la maintenance ait lieu, l'environnement reste crypté par la clé gérée par Oracle.

Consulter le statut et le détail des clés

Pour afficher le statut et les détails de la clé :

  1. Accédez à l'environnement : dans le répertoire de base des applications de la console, cliquez sur le nom de l'application. Sur la page Aperçu, cliquez sur le nom de l'environnement.
  2. Sur la page Détails de l'environnement, cliquez sur l'onglet Cryptage.

  3. Les détails de la clé sont affichés.

Vous pouvez cliquer sur les noms du coffre et de la clé pour accéder à ces ressources dans le service Vault.

Touches de rotation

Vous effectuez la rotation des clés en fonction des pratiques de sécurité de votre organisation. Vous pouvez configurer un travail d'interface de ligne de commande pour effectuer automatiquement la rotation des clés, ou l'administrateur de sécurité désigné peut effectuer cette rotation manuellement via l'interface utilisateur de la console du service Vault. Pour plus d'informations sur les versions de clé, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.

Pour faire pivoter une clé

Suivez la procédure de rotation d'une clé de coffre dans la documentation Vault.

Remarque

Selon votre application, d'autres étapes peuvent être nécessaires. Vérifiez les étapes suivantes de la procédure de rotation dans la documentation propre à l'application.

Désactivation et activation des clés

Si vous rencontrez une situation dans laquelle vous souhaitez arrêter votre service d'application et accéder à la base de données d'application, vous pouvez désactiver la clé pour forcer immédiatement tous les utilisateurs à quitter le système.

Avertissement

La désactivation d'une clé peut entraîner la perte de données. Si la clé est désactivée, Oracle tente de manière proactive d'arrêter l'environnement afin de minimiser les risques d'échec lors de l'utilisation de l'environnement. Toutefois, une fois la clé désactivée, l'environnement ne peut pas être redémarré tant qu'il n'est pas réactivé. Bien que la clé reste désactivée, aucun service cloud d'applications ne peut accéder aux données client précédemment enregistrées.
Remarque

Lorsque vous lancez la désactivation d'une clé, une série de processus ont lieu pour arrêter les composants de l'environnement (par exemple, les services de base de données, le niveau intermédiaire, les équilibreurs de charge), qui peuvent prendre jusqu'à une heure. N'essayez pas de réactiver une clé tant que ces processus ne sont pas terminés.

De même, lorsque vous lancez l'activation d'une clé, l'exécution de l'ensemble de processus pour réactiver le système peut prendre jusqu'à une heure.

Suppression de clés

La suppression des clés et des coffres est une opération hautement destructive qui ne doit être effectuée que par l'administrateur de location dans de rares circonstances.

Lorsqu'un administrateur de location supprime une clé, toutes les données ou toute ressource OCI (y compris votre base de données d'applications) cryptée par cette clé seront immédiatement inutilisables ou irrécupérables.

Il est vivement recommandé de sauvegarder une clé avant de programmer sa suppression. Avec une sauvegarde, vous pouvez restaurer la clé et le coffre si vous voulez continuer à utiliser la clé plus tard.

Pour plus d'informations, reportez-vous à Suppression d'une clé de coffre.

Référence des autorisations

L'administrateur d'application a besoin des droits d'accès read pour les coffres et les clés. Le droit d'accès read permet à l'administrateur d'effectuer les opérations suivantes :
  • Choisissez le coffre et la clé lors de la configuration.
  • Affichez le coffre et les clés dans le service OCI Vault à des fins de dépannage.

Pour ajouter les droits d'accès de l'administrateur d'application :

  1. Reportez-vous à la procédure Applications Services Policy Reference, qui décrit la création du rôle d'administrateur d'applications.
  2. Ajoutez les instructions suivantes au rôle, le cas échéant : 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Si vous souhaitez que l'administrateur de l'application puisse également créer les coffres et les clés, ou si vous désignez un autre individu, tel qu'un administrateur de sécurité pour gérer les coffres et les clés, il doit être membre d'un groupe doté des droits d'accès suivants :

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Les droits d'accès de suppression sont enlevés des instructions de stratégie. Cela permet de s'assurer que seul l'administrateur de location peut effectuer des opérations de suppression. Pour connaître les procédures permettant de créer des groupes et des stratégies pour définir des rôles, reportez-vous à Ajout d'un utilisateur avec un accès limité.