Documentation Oracle Cloud Infrastructure

Clés gérées par le client pour Oracle Break Glass

Sécurisez vos environnements d'applications avec Oracle Break Glass et les clés gérées par le client.

Par défaut, vos environnements d'application sont protégés par les clés de cryptage gérées par Oracle. En achetant un abonnement qui inclut le service Oracle Break Glass, vous disposez de l'option des clés gérées par le client qui vous permet de fournir et d'administrer les clés de cryptage qui protègENT vos environnements. Vous pouvez également acheter cette option sous forme d'abonnement complémentaire.

Vous utilisez le service OCI Vault pour créer et gérer les clés de cryptage afin de sécuriser les données stockées au repos dans vos environnements de production et hors production. Vous pouvez configurer les clés sur votre environnement lors de la création de l'environnement ou ajouter une clé à un environnement existant.

Meilleures pratiques pour la configuration et la gestion des coffres et des clés

La meilleure pratique consiste à créer des coffres distincts pour les environnement de production et les autres environnements. Dans le coffre hors production, créez des clés distinctes pour vos environnements de test et de développement. Par exemple, vous pouvez créer les éléments suivants :

Environnement Coffre Clé de chiffrement principale
Production my-production-vault my-production-key
Tester my-non-production-vault my-test-environnement-clé
Développement my-développement-environnement-clé

Avantages des coffres distincts pour la production et la non-production :

  • La maintenance de coffres distincts permet une rotation indépendante des clés pour les environnements de production et autres.
  • Le nombre de clés par coffre est limité. Le fait de disposer de coffres distincts fournit un nombre distinct pour la production et la non-production.

Vous pouvez vérifier les limites et l'utilisation des clés en consultant la page Limites, quotas et utilisation dans laquelle les limites, les quotas et l'utilisation des ressources de la région spécifique sont affichés, répartis par service :

  1. Dans la console, ouvrez le menu de navigation , puis sélectionnez Gouvernance & administration. Sous Gestion des locations, sélectionnez Limites, quotas et utilisation.
  2. Dans la liste Service, sélectionnez Gestion des clés.

    Vérifiez les limites de clé pour : Key Version Count pour les coffres virtuels ou Software Key Version Count pour les coffres virtuels, selon le type de clé que vous avez choisi d'utiliser.

Effectuer des tâches de configuration

Effectuez ces tâches pour configurer vos coffres et vos clés et préparez votre location à utiliser des clés gérées par le client.

L'administrateur de location dispose des droits d'accès requis pour effectuer toutes les tâches de configuration requises. Si vous désignez les tâches de configuration à un autre rôle, assurez-vous qu'elles disposent des autorisations appropriées pour utiliser les coffres et les clés. Reportez-vous à Référence des droits d'accès.

Le tableau récapitule les tâches de configuration détaillées ci-dessous.

Tâche Obligatoire/facultatif Informations supplémentaires
1. Créez des compartiments pour vos coffres et vos clés. Option Il est recommandé de créer des compartiments distincts pour les coffres et les clés afin d'affiner l'accès.
2. Ajoutez la stratégie système pour permettre l'utilisation des clés gérées par le client par l'application. Obligatoire Vous devez ajouter cette stratégie avant d'ajouter le coffre et la clé à votre environnement. Si cette stratégie n'est pas ajoutée, votre environnement ne termine pas le provisionnement (s'il est ajouté lors de la création de l'environnement) ou ne termine pas la demande de travail (s'il est ajouté à un environnement existant).
3. Créez les coffres pour les environnements de production et de non-production. Obligatoire Suivez la procédure du service Vault.
4. Créez les clés pour les environnements de production et de non-production. Obligatoire Suivez la procédure du service Vault.

1. Création d'un compartiment pour vos coffres et vos clés (facultatif)

Bien que cela ne soit pas obligatoire, la configuration d'un compartiment dédié pour vos coffres et vos clés vous permet de mieux contrôler qui a accès à ces ressources. Afin d'activer les clés gérées par le client pour votre location, vous devez créer une stratégie système (tâche 2) pour autoriser l'accès aux coffres et aux clés par les systèmes gérés par Oracle. En plaçant ces ressources dans des compartiments plutôt que de les créer dans la location, vous pouvez limiter votre stratégie aux compartiments essentiels. Pour plus d'informations sur les avantages des compartiments, reportez-vous à Présentation des compartiments.

Les instructions abrégées suivantes permettent de créer un compartiment. Pour plus d'informations sur la gestion des compartiments, reportez-vous à Gestion des compartiments.

Afin de créer un compartiment pour les coffres et les clés, procédez comme suit :

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Compartiments. La liste des compartiments auxquels vous avez accès apparaît.

  2. Sélectionnez Créer un compartiment.

  3. Saisissez les informations suivantes :
    • Nom : nom unique du compartiment (100 caractères au maximum, comprenant des lettres, des chiffres, des points, des tirets et des traits de soulignement). Le nom doit être unique parmi tous les compartiments de la location. Evitez de saisir des informations confidentielles. Par exemple, my-managed-keys.
    • Description : description conviviale. Si vous le souhaitez, vous pourrez la modifier ultérieurement.
    • Compartiment parent : le compartiment dans lequel vous résidez est affiché. Si vous avez créé d'autres compartiments, vous pouvez sélectionner un autre compartiment dans lequel créer ce compartiment.
    • Balises : si vous disposez des droits d'accès nécessaires pour créer une ressource, vous disposez également de droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer des droits d'accès nécessaires pour utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
  4. Sélectionnez Créer un compartiment.

2. Ajout de la stratégie système pour activer les clés gérées par le client dans votre location

Important

Cette stratégie doit être ajoutée avant d'ajouter la clé gérée par le client à votre environnement. Si cette règle n'est pas ajoutée, l'environnement ne termine pas l'approvisionnement (en cas d'ajout lors de l'ajout de l'environnement) ou la mise à jour (en cas d'ajout à un environnement existant). Reportez-vous à la documentation propre à votre application pour connaître la stratégie requise pour votre application.

Pour créer la stratégie système :

  1. Ouvrez le menu de navigation et, sous Infrastructure, sélectionnez Identité et sécurité. Sous Identité, sélectionnez Stratégies.
  2. Sélectionnez Créer une stratégie.
  3. Saisissez les informations suivantes :
    • Nom : nom unique de la stratégie. Le nom doit être unique parmi toutes les stratégies de la location. Vous ne pouvez pas modifier cet élément ultérieurement.
    • Description : description conviviale. Evitez de saisir des informations confidentielles. Si vous le souhaitez, vous pourrez la modifier ultérieurement.
    • Compartiment : assurez-vous que la location (compartiment racine) est sélectionnée.
  4. Dans la section Générateur de stratégies, activez l'option Afficher l'éditeur manuel pour afficher la zone de saisie de texte au format libre.
  5. Entrez les instructions de stratégie de la documentation propre à l'application.
  6. Choisissez Créer.

3. Création de coffres pour les environnements

Suivez la procédure Création d'un coffre dans la documentation Vault. Si vous avez créé des compartiments, veillez à créer les coffres dans le compartiment indiqué dans la stratégie système.

Nous vous recommandons de créer 2 coffres : un pour vos clés d'environnement de production et un pour vos clés d'environnement horsproduction.

4. Créer des clés

Suivez la procédure de création d'une clé de cryptage maître dans la documentation Vault. Veillez à créer les clés dans le compartiment que vous avez indiqué dans la stratégie système.

Lorsque vous créez des clés pour des applications, vous devez effectuer les sélections suivantes :

  • Pour Forme d'une clé : algorithme, sélectionnez AES (clé symétrique utilisée pour le cryptage et la décryptage) (vous devez sélectionner cette option pour les clés gérées par l'utilisateur Applications).
  • Pour Forme de clé : longueur, sélectionnez 256 bits.

Nous vous recommandons de créer une clé dans le coffre de production pour votre environnement de production, et une clé pour chaque environnement hors de production dans votre coffre horsproduction.

Ajout d'une clé gérée par le client à vos environnements

Vous pouvez ajouter la clé gérée par le client lors de la création de l'environnement ou après la création de l'environnement.

Ajout d'une clé gérée par le client lors de la création d'un environnement

Cette procédure comprend uniquement les étapes d'activation de la clé gérée par le client. Pour obtenir la procédure complète de création d'un environnement, reportez-vous à Procédure de création d'un environnement.

Dans la page de création de l'environnement :

  1. Sélectionnez Options avancées.
  2. Sous Cryptage, sélectionnez Crypter à l'aide des clé gérées par l'utilisateur.

    Si cette option n'apparaît pas, vérifiez que l'abonnement a été ajouté à la location.

  3. Sélectionnez le coffre Si le coffre ne se trouve pas dans le même compartiment que celui dans lequel vous créez l'environnement, sélectionnez le compartiment approprié.
  4. Sélectionnez la clé Si la clé ne se trouve pas dans le compartiment dans lequel vous créez l'environnement, sélectionnez le compartiment approprié. Seules les clés AES 256 bits sont affichées.

Une fois toutes les étapes de configuration de l'environnement terminées, le processus de provisionnement commence. L'ajout de la clé gérée par le client ajoute du temps au processus de provisionnement.

Ajout d'une clé gérée par le client pour un environnement existant

Pour activer une clé gérée par le client pour un environnement existant :

  1. Sur la page de liste Environnements, sélectionnez l'environnement à utiliser. Si vous avez besoin d'aide pour rechercher la page de liste, reportez-vous à Procédure pour répertorier les environnements.

  2. Sur la page de détails de l'environnement, sélectionnez le menu Actions, puis Gérer la clé de cryptage.

    Si l'option Gérer la clé de cryptage n'est pas disponible, vous n'avez pas acheté l'option ou l'abonnement aux clés gérées par le client n'a pas été ajouté à la location.

  3. Sélectionnez Crypter à l'aide des clés gérées par le client.

  4. Sélectionnez le coffre Si le coffre ne se trouve pas dans le même compartiment que celui dans lequel vous créez l'environnement, sélectionnez le compartiment approprié.
  5. Sélectionnez la clé Si la clé ne se trouve pas dans le compartiment dans lequel vous créez l'environnement, sélectionnez le compartiment approprié. Seules les clés AES 256 bits sont affichées.
  6. Sélectionnez Enregistrer les modifications.

La planification du cryptage de votre environnement dépend de l'application. Pour certaines demandes, une demande de travail est soumise immédiatement. Vous pouvez surveiller la demande de travail pour suivre la progression du cryptage. Votre environnement ne sera pas disponible pendant la mise à jour. Pour les autres applications, le cryptage est effectué lors du prochain cycle de maintenance ou de la mise à jour de patch. Jusqu'à ce que la maintenance ait lieu, l'environnement reste crypté par la clé gérée par Oracle.

Consulter le statut et le détail des clés

Pour afficher le statut et les détails de la clé :

  1. Accédez à l'environnement : dans le répertoire de base des applications de la console, sélectionnez le nom de l'application.
  2. Sélectionnez Environnements, puis le nom de l'environnement.
  3. Sur la page de détails de l'environnement, les détails de la clé sont affichés dans la section Cryptage.

Vous pouvez sélectionner les noms de coffre et de clé pour accéder à ces ressources dans le service Vault.

Touches de rotation

Vous effectuez la rotation des clés en fonction des pratiques de sécurité de votre organisation. Vous pouvez configurer un travail d'interface de ligne de commande pour effectuer automatiquement la rotation des clés, ou l'administrateur de sécurité désigné peut effectuer cette rotation manuellement via l'interface utilisateur de la console du service Vault. Pour plus d'informations sur les versions de clé, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.

Pour faire pivoter une clé

Suivez la procédure de rotation d'une clé de coffre dans la documentation Vault.

Remarque

Selon votre application, d'autres étapes peuvent être requises. Vérifiez les étapes suivantes de la procédure de rotation dans la documentation propre à votre application.

Désactivation et activation des clés

Si vous rencontrez une situation dans laquelle vous souhaitez arrêter votre service d'application et accéder à la base de données d'application, vous pouvez désactiver la clé pour forcer immédiatement tous les utilisateurs à quitter le système.

Avertissement

La désactivation d'une clé risque d'entraîner la perte de données. Si la clé est désactivée, Oracle tente d'arrêter l'environnement de manière proactive afin d'éviter les risques d'échec lorsque l'environnement est utilisé. Toutefois, une fois la clé désactivée, l'environnement ne peut plus être redémarré tant qu'il n'est pas réactivé. Pendant que la clé reste à l'état désactivé, aucun service cloud d'applications ne peut accéder aux données client précédemment enregistrées.
Remarque

Lorsque vous lancez la désactivation d'une clé, une série de processus est exécutée pour arrêter les composants de l'environnement (par exemple, services de base de données, niveau intermédiaire, équilibreurs de charge), qui peut prendre jusqu'à une heure. N'essayez pas de réactiver une clé tant que ces traitements ne sont pas terminés.

De même, lorsque vous lancez l'activation d'une clé, l'exécution de l'ensemble de processus pour réactiver le système peut prendre jusqu'à une heure.

Suppression de clés

La suppression des clés et des coffres est une opération hautement destructive qui ne doit être effectuée que par l'administrateur de location dans de rares circonstances.

Lorsqu'un administrateur de location supprime une clé, toutes les données ou toute ressource OCI (y compris votre base de données d'applications) cryptée par cette clé seront immédiatement inutilisables ou irrécupérables.

Il est vivement recommandé de sauvegarder une clé avant de programmer sa suppression. Avec une sauvegarde, vous pouvez restaurer la clé et le coffre si vous voulez continuer à utiliser la clé plus tard.

Pour plus d'informations, reportez-vous à Suppression d'une clé de coffre.

Référence des autorisations

L'administrateur d'application a besoin des droits d'accès read pour les coffres et les clés. Le droit d'accès read permet à l'administrateur d'effectuer les opérations suivantes :
  • Sélectionnez le coffre et La clé lors de la configuration.
  • Affichez le coffre et les clés dans le service OCI Vault à des fins de dépannage.

Pour ajouter les droits d'accès de l'administrateur d'application :

  1. Reportez-vous à la procédure Applications Services Policy Reference, qui décrit la création du rôle d'administrateur d'applications.
  2. Ajoutez les instructions suivantes au rôle, le cas échéant : 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Si vous souhaitez que l'administrateur de l'application puisse également créer les coffres et les clés, ou si vous désignez un autre individu, tel qu'un administrateur de sécurité pour gérer les coffres et les clés, il doit être membre d'un groupe doté des droits d'accès suivants :

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Les droits d'accès de suppression sont enlevés des instructions de stratégie pour garantir que seul l'administrateur de location peut effectuer des opérations de suppression. Reportez-vous à Ajout d'un utilisateur avec un accès limité pour connaître les procédures de création de groupes et de stratégies de définition de rôles.