Gestion des autorités de certification
Utilisez Certificates pour créer et gérer des autorités de certification qui émettent des certificats numériques.
Voici certaines des tâches de gestion des autorités de certification :
- Liste des autorités de certification
- Création d'une autorité de certification
- Emission d'une autorité de certification subordonnée
- Visualisation des détails d'une autorité de certification
- Modification d'une autorité de certification
- Modification de la liste des certificats révoqués
- Modification des règles d'une autorité de certification
- Visualisation des associations d'une autorité de certification
- Renouvellement d'une autorité de certification
- Déplacement d'une autorité de certification
- Suppression d'une autorité de certification
- Annulation de la suppression d'une autorité de certification
Chaque autorité de certification dispose d'au moins une version d'autorité de certification. Ainsi, la gestion des autorités de certification inclut également les tâches suivantes propres aux versions d'autorité de certification :
- Liste des versions d'autorité de certification
- Visualisation des détails d'une version d'autorité de certification
- Visualisation des packages de version d'autorité de certification
- Définition d'une version d'autorité de certification en tant que version en cours
- Révocation d'une version d'autorité de certification (prise en charge pour les autorités de certification subordonnées uniquement)
- Suppression d'une version d'autorité de certification
Stratégie IAM requise
Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité dans une stratégie (IAM) . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'êtes pas autorisé ou que vous n'y êtes pas autorisé, vérifiez auprès de l'administration le type d'accès qui vous est accordé et le compartiment dans lesquels vous devez travailler.
Pour certaines opérations, le service Certificates nécessite également que les ressources disposent d'un accès de sécurité qui n'est pas accordé par les stratégies couvrant les utilisateurs ou les groupes. Cette section explique comment accorder des autorisations aux utilisateurs et aux ressources qui doivent agir sur d'autres ressources.
Etape 1 : création d'un groupe dynamique
resource.type='certificateauthority'Cette règle de mise en correspondance définit un groupe dynamique qui inclut toutes les autorités de certification en tant que membres. Vous avez besoin de ce groupe dynamique pour autoriser les autorités de certification à émettre des appels d'API vers d'autres services, le cas échéant. Les administrateurs ont généralement besoin des droits d'accès aux ressources Oracle Cloud Infrastructure Vault et Oracle Cloud Infrastructure Object Storage. Pour plus d'informations sur les groupes dynamiques, reportez-vous à Gestion des groupes dynamiques.
Etape 2 : création d'une stratégie pour le groupe dynamique
Une fois que vous avez créé le groupe dynamique, vous devez créer une stratégie pour ce dernier. Dans la stratégie suivante, le groupe dynamique d'exemple est nommé CertificateAuthority-DG. La stratégie autorise les membres du groupe dynamique à utiliser des clés Vault et à effectuer n'importe quelle opération avec les objets Object Storage dans les compartiments d'exemple indiqués. Ce type de stratégie est appelé stratégie de principal de ressource car il définit une ressource en tant qu'acteur principal autorisé à effectuer des actions sur d'autres ressources.
Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZEtape 3 : ajout d'une stratégie pour les administrateurs
Vous avez également besoin d'une stratégie qui autorise les administrateurs à accéder aux ressources. La stratégie suivante autorise le groupe d'exemple CertificateAuthorityAdmins à effectuer n'importe quelle opération avec les ressources incluses dans le type agrégé de ressource certificate-authority-family, ainsi qu'à utiliser les ressources Vault et Object Storage requises dans les compartiments d'exemple indiqués, le cas échéant. Cela inclut les droits d'accès requis pour définir la clé de cryptage de l'autorité de certification.
Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEFEnsemble, ces instructions fournissent l'accès minimal requis pour effectuer les tâches d'administration des autorités de certification, comme décrit plus loin dans cette rubrique. Pour obtenir plus d'informations sur les droits d'accès ou pour écrire des stratégies moins restrictives, reportez-vous à Détails du service Certificates. Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes.