Clés gérées par le client pour Oracle Break Glass
Sécurisez les environnements Fusion Applications avec Oracle Break Glass et les clés gérées par le client.
Par défaut, vos environnements Fusion Applications sont protégés par les clés de cryptage gérées par Oracle. En s'abonnant au service Oracle Break Glass, vous bénéficiez de la fonctionnalité de clés gérées par le client, qui vous permet de fournir et d'administrer les clés de cryptage qui protègENT vos environnements. Vous pouvez également acheter cette option sous forme d'abonnement complémentaire.
Avec les clés gérées par le client, vous utilisez des clés stockées dans un coffre OCI pour sécuriser les données stockées au repos dans vos environnements de production et hors production. Vous pouvez activer l'option de clés gérées par le client sur votre environnement lors de la création de l'environnement ou après la création de l'environnement.
Meilleures pratiques pour la configuration et la gestion des coffres et des clés
La meilleure pratique consiste à créer des coffres distincts pour les environnement de production et les autres environnements. Dans le coffre hors production, créez des clés distinctes pour vos environnements de test et de développement. Par exemple, vous pouvez créer les éléments suivants :
| Environnement | Coffre | Clé de cryptage maître |
|---|---|---|
| Production | my-production-vault | my-production-key |
| Test | my-nonproduction-vault | my-test-environment-key |
| Développement | my-development-environment-key |
Avantages des coffres distincts pour les environnements de production et les environnements hors production :
- La maintenance de coffres distincts permet une rotation indépendante des clés pour les environnements de production et hors production.
- Le nombre de clés par coffre n'est limité. Le fait de disposer de coffres distincts fournit un nombre de clés spécifique pour les environnements de production et hors production.
Les actualisations de production à test où l'environnement de test utilise des clés gérées par le client utilisent également des versions de clé. Par conséquent, les opérations P2Ts fréquentes réduisent plus rapidement le nombre de versions de clé restantes dans un coffre.
Vous pouvez vérifier les limites et l'utilisation des clés en consultant la page Limites, quotas et utilisation, dans laquelle les limites, les quotas et l'utilisation des ressources pour la région concernée sont affichés, répartis par service :
- Ouvrez le menu de navigation et sélectionnez Gouvernance et administration. Sous Gestion des locations, sélectionnez Limites, quotas et utilisation.
- En regard de Service, sélectionnez Modifier les filtres.
- Dans la liste Service, sélectionnez Key Management, puis Mettre à jour.
Vérifiez les limites des clés pour Nombre de versions de clef pour les coffres virtuels ou Nombre de versions de clef logicielle pour les coffres virtuels, selon le type de clef que vous choisissez d'utiliser.
Configuration des clés gérées par le client
Fusion Applications s'appuie sur le service OCI Vault pour vous permettre de créer et gérer les clés de cryptage afin d'assurer la sécurité des environnements d'environnement de production et hors de production. Vous pouvez configurer les clés sur votre environnement lors de la création de l'environnement ou ajouter la clé à un environnement existant.
Présentation des tâches de configuration et des rôles
La gestion des clés gérées par le client implique des tâches qui doivent être effectuées par différents rôles dans votre organisation. Voici un récapitulatif des rôles et des tâches effectuées par chacun :
| Rôle | Tâches de configuration | Tâches de maintenance |
|---|---|---|
| Administrateur de location |
|
|
| Administrateur de sécurité |
|
|
| Administrateur Fusion Applications |
|
|
Tâches de configuration pour l'administrateur de location
L'administrateur de location effectue les tâches de configuration de la location pour autoriser l'administrateur de sécurité et l'administrateur Fusion Applications à activer et à gérer les clés gérées par les clients.
Nous vous recommandons de créer un groupe d'administrateurs de sécurité distinct pour limiter l'accès aux fonctionnalités de sécurité de vos environnements Fusion Applications.
La stratégie du groupe d'administrateurs de sécurité permet au groupe de gérer les coffres et les clés, mais n'autorise aucune suppression. La stratégie est la suivante :
allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')
Reportez-vous à Gestion des utilisateurs Oracle Cloud à l'aide de fonctions spécifiques pour connaître les procédures permettant de créer des groupes et des stratégies pour définir des rôles, notamment les droits d'accès requis spécifiques pour le rôle d'administrateur.
read pour les coffres et les clés. Les droits d'accès read permettent à l'administrateur FA d'effectuer les opérations suivantes :- Sélectionnez le coffre et La clé lors de la configuration.
- Vérifier la rotation des clés
- Visualiser le coffre et les clés dans le service OCI Vault à des fins de dépannage
Afin d'ajouter les droits d'accès pour l'administrateur Fusion Applications, procédez comme suit :
- Reportez-vous à la section Gestion des utilisateurs Oracle Cloud avec des fonctionnalités spécifiques, qui décrit la création du rôle d'administrateur Fusion Applications.
- Ajoutez les instructions suivantes au rôle Administrateur d'environnement Fusion Applications, si elles ne sont pas déjà présentes :
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>
Veillez à remplacer toutes les variables <location> par le nom du compartiment dans lequel le coffre et les clés ont été créés.
La stratégie d'activation des clés gérées par le client doit être ajoutée avant d'ajouter le coffre et la clé à votre environnement. Si cette stratégie n'est pas ajoutée :
- Votre environnement ne termine pas le provisionnement.
- La maintenance de votre environnement existant n'est pas terminée.
- L'activation de la clé gérée par le client n'est pas terminée.
Cette stratégie concerne uniquement les locations dans le cloud commercial (domaine OC1). Si votre environnement Fusion Applications se trouve dans un autre domaine (par exemple, Oracle US Government Cloud ou United Kingdom Government Cloud), vous devez ouvrir une demande d'assistance pour obtenir la stratégie appropriée.
Créez une stratégie dans le domaine OC1 avec les instructions suivantes :
define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}Il est recommandé de copier la stratégie précédente dans le domaine OC1 à l'aide de ces instructions exactes. Avant de le faire, consultez ces déclarations avec l'équipe de sécurité de votre organisation pour vous assurer qu'elles sont conformes aux exigences de sécurité interne et aux meilleures pratiques.
Tâches de configuration pour l'administrateur de sécurité
L'administrateur de sécurité configure les coffres et les clés, et fournit les informations à l'administrateur Fusion Applications afin qu'il les ajoute à l'environnement.
Suivez la procédure de création d'un coffre dans la documentation Vault. Pour créer un coffre externe, reportez-vous à Service de gestion des clés externes.
Le type de coffre de base est inclus dans l'abonnement au service Break Glass. Lorsque vous créez un coffre, si vous sélectionnez l'option Définir comme coffre privé virtuel ou si vous choisissez de créer un coffre externe, des frais supplémentaires sont facturés. Pour plus d'informations sur les types de coffre, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.
Nous vous recommandons de créer 2 coffres : un pour les clés d'environnement de production et un pour les clés d'environnement de non production.
Après avoir créé les coffres, répliquez le coffre que vous avez créé pour l'environnement de production. Le coffre répliqué est utilisé pour la récupération après sinistre.
- Vérifiez l'association de régions de récupération après sinistre pour la région dans laquelle se trouve l'environnement Fusion Applications de production. Pour obtenir la liste des associations de régions, reportez-vous à Prise en charge de la récupération après sinistre.
- Abonnez-vous à la région répertoriée en tant qu'association pour votre région. Pour vous abonner à une région, reportez-vous à Abonnement à une région d'infrastructure.
- Répliquez le coffre que vous avez créé pour votre environnement de production en suivant les étapes décrites dans Réplication de coffres et de clés. Lorsque vous sélectionnez la région de destination pour la réplication, veillez à sélectionner la région de récupération après sinistre à laquelle vous êtes abonné à l'étape précédente.
Suivez la procédure Création d'une clé de cryptage maître dans la documentation Vault ou, pour importer vos propres clés, suivez les procédures décrites dans Import de clés et de versions de clé.
Avec le mode de protection de clé HSM (Hardware Security Module), vos clés de chiffrement sont stockées et protégées dans des modules de sécurité matériels certifiés FIPS 140-2 de niveau 3.
Lorsque vous créez des clés pour Fusion Applications, vous devez effectuer les sélections suivantes :
- Pour Forme de clé : algorithme, sélectionnez AES (clé symétrique utilisée pour crypter et décrypter). (Vous devez sélectionner cette option pour les clés gérées par le client Fusion Applications.)
- Pour Forme de clé : longueur, sélectionnez 256 bits.
Nous vous recommandons de créer une clé dans le coffre de production pour votre environnement de production, et une clé pour chaque environnement hors de production dans votre coffre horsproduction.
Après avoir créé le coffre et les clés, indiquez à l'administrateur Fusion Applications les nom, nom et nom de la clé du compartiment de coffre (ainsi que, le cas échéant, le nom de ce dernier).
Ajout de clés gérées par le client à des environnements nouveaux et existants
L'administrateur Fusion Applications ajoute les clés gérées par le client aux environnements. Cette opération peut être effectuée lors de la création de l'environnement ou par la suite. Pour les environnements existants, Oracle fournit à l'administrateur un choix de fenêtres de temps pour planifier la mise à jour. Pour les nouveaux environnements, les clés sont ajoutées au moment du provisionnement de l'environnement et aucune programmation n'est requise.
Une fois les clés gérées par le client activées, l'administrateur peut également modifier une clé dans un environnement. Reportez-vous à Modification et rotation des clés.
N'ajoutez ou ne modifiez pas une clé gérée par le client plus de deux fois sur une période de 24 heures.
Prérequis :
- L'abonnement a été ajouté à la famille d'environnements. Si l'abonnement n'a pas été ajouté, vous ne verrez pas l'option permettant de sélectionner une clé gérée par le client.
- L'administrateur de sécurité a créé le coffre et la clé. Remarque
Le type de coffre de base est inclus dans l'abonnement au service Break Glass. Lorsque vous créez un coffre, si vous sélectionnez l'option Définir comme coffre privé virtuel ou si vous choisissez de créer un coffre externe, des frais supplémentaires sont facturés. Pour plus d'informations sur les types de coffre, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes. - L'administrateur de location a configuré la stratégie système pour activer les clés gérées par un client dans la location.
- L'administrateur de location a créé une stratégie pour que l'administrateur Fusion Applications puisse accéder en lecture aux coffres et aux clés, et les associe aux environnements Fusion Applications.
Cette procédure comprend uniquement les étapes d'activation de la clé gérée par le client. Pour obtenir la procédure complète de création d'un environnement, reportez-vous à Tâches de gestion des environnements.
Sur la page de création d'environnement, procédez comme suit :
- Sous Options avancées, développez la section Cryptage.
- Sélectionnez Clé gérée par le client (recommandé).
Si cette option n'apparaît pas, l'abonnement n'a pas été ajouté à la famille d'environnements.
- Vérifiez que les stratégies sont créées.
- Sélectionnez le coffre
Si le coffre ne se trouve pas dans le même compartiment que celui dans lequel vous créez l'environnement, sélectionnez le compartiment approprié.
- Sélectionnez la clé
Si la clé ne se trouve pas dans le compartiment dans lequel vous créez l'environnement, sélectionnez le compartiment approprié. Seules les clés AES 256 bits sont affichées.
Une fois toutes les étapes de configuration de l'environnement terminées, le processus de provisionnement commence. L'ajout de la clé gérée par le client ajoute du temps au processus de provisionnement. Pendant l'activation de la clé, un message s'affiche vous avertit que l'environnement n'est pas disponible.
- Lorsque vous activez une clé gérée par l'utilisateur dans un environnement existant, le chiffrement n'est pas exécuté immédiatement. Au lieu de cela, Oracle vous offre un choix de fenêtres de temps pour planifier la mise à jour. Ces options sont affichées dans la console OCI lorsque vous ouvrez la boîte de dialogue Modifier le cryptage pour demander la mise à jour. Pour plus d'informations, reportez-vous à Procédure d'activation d'une clé gérée par le client pour un environnement existant dans cette rubrique.
-
Vous pouvez reprogrammer ou annuler cette mise à jour dans la console OCI sans contacter le support technique Oracle, à condition que la mise à jour ait l'état Planifié. Si la mise à jour est en cours ou terminée, vous ne pouvez pas annuler ou annuler la mise à jour.
- Assurez-vous que le temps que vous choisissez pour la mise à jour n'est pas en conflit avec d'autres activités importantes de l'environnement, telles qu'une opération d'actualisation. Pour les opérations d'actualisation, cela signifie que ni l'environnement source ni l'environnement cible ne peuvent être mis à jour pour les clés gérées par le client pendant l'actualisation.
- Tant que la mise à jour n'est pas effectuée pour activer les clés gérées par le client, l'environnement continue d'être chiffré par la clé gérée par Oracle.
Afin d'activer une clé gérée par le client pour un environnement existant, procédez comme suit :
Dans la page de liste Environnements, sélectionnez l'environnement avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Procédure pour répertorier les environnements.
- Sur la page des détails de l'environnement, sélectionnez Sécurité.
- Sous Cryptage, le type est géré par l'Oracle, par défaut. Sélectionnez Modifier le cryptage pour ajouter votre coffre et votre clé.
Si vous ne voyez pas l'option de modification, vous n'avez pas ajouté les options appropriées ou l'environnement est en cours de mise à jour.
- Sélectionnez Clé gérée par le client (recommandé).
- Vérifiez que les stratégies sont créées.
- Sélectionnez le coffre
Si le coffre ne se trouve pas dans le même compartiment que celui dans lequel vous créez l'environnement, sélectionnez le compartiment approprié.
Si vous utilisez la récupération après sinistre, vous devez sélectionner un coffre qui prend en charge la réplication. Tous les coffres privés prennent en charge la réplication. Pour les coffres virtuels, reportez-vous à Réplication de coffres et de clés pour plus d'informations sur la manière de déterminer si un coffre virtuel prend en charge la réplication.
- Sélectionnez la clé
Si la clé ne se trouve pas dans le compartiment dans lequel vous créez l'environnement, sélectionnez le compartiment approprié. Seules les clés AES 256 bits sont affichées.
- Sous Programmation de mise à jour de cryptage, sélectionnez la fenêtre de temps dans laquelle commencer la mise à jour de gestion de cryptage. Jusqu'à trois dates sont affichées.
- Sélectionnez Soumettre pour demander la mise à jour qui active les clés gérées par le client dans votre environnement.
Un message en bas de la fenêtre apparaît lorsque le cryptage est programmé. Le cryptage est effectué pendant la fenêtre de temps indiquée. Jusqu'à ce que la mise à jour ait lieu, l'environnement reste crypté par la clé gérée par le service Oracle.
Si vous devez replanifier ou annuler la mise à jour des clés gérées par le client, reportez-vous à Procédure de replanification ou d'annulation d'une mise à jour pour activer les clés gérées par le client.
Replanification ou annulation d'une mise à jour pour activer les clés gérées par le client
Vous pouvez reprogrammer ou annuler une mise à jour pour passer aux clés gérées par le client tant que le statut de la mise à jour est Planifié. Si la mise à jour est en cours ou terminée, elle ne peut pas être annulée ou annulée.
Vous pouvez annuler ou reprogrammer la mise à jour vous-même dans la console OCI, à l'aide des instructions de cette rubrique.
Pour pouvoir utiliser ces instructions, le statut de la mise à jour doit être Planifié.
Dans la page de liste Environnements, sélectionnez l'environnement avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Procédure pour répertorier les environnements.
- Sur la page des détails de l'environnement, sélectionnez Sécurité.
- Sous Cryptage, recherchez la ligne Gérée par le client. Sélectionnez le menu , puis sélectionnez Replanifier ou Annuler.
- Replanifier uniquement : si vous replanifiez la mise à jour des clés gérées par le client, sélectionnez une nouvelle date, puis cliquez sur Soumettre. Remarque
Assurez-vous que l'heure que vous choisissez pour la mise à jour n'est pas en conflit avec d'autres activités d'environnement importantes, telles qu'une opération d'actualisation. Pour les opérations d'actualisation, cela signifie que ni l'environnement source ni l'environnement cible ne peuvent être mis à jour pour les clés gérées par le client pendant l'actualisation.Annuler uniquement : si vous annulez la mise à jour, saisissez le nom de l'environnement pour confirmer l'annulation de la mise à jour, puis sélectionnez Annuler la clé programmée.
Affichage du statut et des détails d'une clé
Pour afficher le statut et les détails d'une clé, procédez comme suit :
Dans la page de liste Environnements, sélectionnez l'environnement avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Procédure pour répertorier les environnements.
- Sur la page des détails de l'environnement, sélectionnez Sécurité.
Sous Cryptage, sélectionnez les noms de coffre et de clé pour accéder à ces ressources pour plus d'informations.
Utiliser des clés gérées par le client
Après avoir ajouté des clés gérées par le client aux environnements Fusion Applications, vous pouvez :
- Modifier la clé de cryptage maître gérée par le client
- Rotation d'une clé
- Désactivation d'une clé
- Activer une clé
- Supprimer une clé
N'ajoutez ou ne modifiez pas de clé gérée par le client, ni ne faites pivoter une clé plus de deux fois sur une période de 24 heures.
Modification et rotation des clés
Vous pouvez modifier la clé de cryptage maître et effectuer une rotation des versions de clé si nécessaire.
N'effectuez pas de rotation des clés plus d'une fois toutes les 15 minutes. Sinon, la rotation des clés prendra plus de temps.
Dans la page de liste Environnements, sélectionnez l'environnement avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Procédure pour répertorier les environnements.
- Sur la page des détails de l'environnement, sélectionnez Sécurité.
- Sous Cryptage, sélectionnez Modifier la clé de cryptage.
- Dans le panneau Modifier la clé de cryptage, sélectionnez un coffre.
Si vous utilisez la récupération après sinistre, vous devez sélectionner un coffre qui prend en charge la réplication. Tous les coffres privés prennent en charge la réplication. Pour plus d'informations sur la prise en charge de la réplication par un coffre virtuel, reportez-vous à Réplication de coffres et de clés.
Si le coffre sélectionné se trouve dans un autre compartiment, vous devrez peut-être créer des stratégies IAM pour l'accès au coffre. Voir 3. Pour plus de détails, ajoutez la stratégie système afin d'activer les clés gérées par le client dans votre location.
- Sélectionner une clé de cryptage maître.
- Sélectionnez Soumettre, puis confirmez que vous voulez modifier la clé.
Procédure de rotation des clés
Vous effectuez la rotation des clés en fonction des pratiques de sécurité de votre organisation. Vous pouvez configurer un travail d'interface de ligne de commande pour effectuer automatiquement la rotation des clés, ou l'administrateur de sécurité désigné peut effectuer cette rotation manuellement via l'interface utilisateur de la console du service Vault. Pour plus d'informations sur les versions de clé, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.
Pour pouvoir effectuer la rotation des clés, les conditions suivantes doivent être remplies :
- L'état de cycle de vie de l'environnement doit être Actif et l'état général doit être Disponible.
- Vous ne devez pas avoir atteint la limite des versions de clé disponibles pour le coffre. Les régénérations de production à test dans lesquelles l'environnement de test utilise des clés gérées par le client utilisent également des versions de clé. Par conséquent, la fréquence P2Ts réduit également le nombre de versions de clé restantes dans un coffre.
Conséquences de la rotation des clés :
- Il n'y a aucun temps d'inactivité et l'état général de l'environnement reste Disponible.
- Un message d'accueil sur la page de détails de l'environnement vous avertit que la rotation est en cours.
- Le statut de clé est Rotation en cours.
Suivez la procédure de rotation d'une clé de coffre dans la documentation Vault.
Procédure de vérification de la rotation des clés
Une fois que vous avez effectué la rotation des clés, vous pouvez la vérifier sur la page de détails de l'environnement :
Dans la page de liste Environnements, sélectionnez l'environnement avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Procédure pour répertorier les environnements.
- Sur la page des détails de l'environnement, sélectionnez Sécurité.
- Sous Cryptage, sélectionnez la version de clé à vérifier qu'elle correspond à la version du service Vault.
Désactivation et activation de clés
Si vous rencontrez une situation dans laquelle vous voulez arrêter Fusion Applications et accéder à la base de données Fusion, l'administrateur de sécurité peut désactiver la clé pour forcer immédiatement tous les utilisateurs à quitter le système.
La désactivation d'une clé risque d'entraîner la perte de données. Si la clé est désactivée, le service cloud Fusion Applications tente de manière proactive d'arrêter l'environnement afin d'éviter les risques d'échec lorsque l'environnement est utilisé. Toutefois, une fois la clé désactivée, l'environnement ne peut plus être redémarré tant qu'il n'est pas réactivé. Pendant que la clé reste à l'état désactivé, aucun service cloud Fusion Applications ne pourra accéder aux données client précédemment enregistrées.
- L'état général de l'environnement devient Indisponible. L'état de cycle de vie devient Désactivé. Tous les utilisateurs sont contraints de quitter l'application.
- Un message d'accueil sur la page de détails de l'environnement vous avertit que le cryptage a été désactivé.
- Le statut de clé est Désactivé.
Lorsque vous lancez la désactivation d'une clé, une série de processus est effectuée pour arrêter le composant de l'environnement (par ex. services de base de données, niveau intermédiaire, équilibreurs de charge), qui peut prendre jusqu'à une heure. N'essayez pas de réactiver une clé tant que ces processus ne sont pas terminés.
De même, lorsque vous lancez l'activation d'une clé, l'exécution de l'ensemble de processus pour réactiver le système peut prendre jusqu'à une heure.
Procédure de désactivation d'une clé
Suivez la procédure de désactivation d'une clé de coffre dans la documentation Vault.
Procédure d'activation d'une clé
Suivez la procédure d'activation d'une clé de coffre dans la documentation Vault.
Suppression de clés
Les droits d'accès accordés au rôle d'administrateur de sécurité n'incluent aucune valeur delete pour les clés et les coffres. La suppression des clés et des coffres est une opération hautement destructrice qui doit uniquement être effectuée par l'administrateur de location dans de rares circonstances.
Lorsqu'un administrateur d'une location supprime une clé, toute donnée ou toute ressource OCI (y compris votre base de données Fusion Applications) cryptée par cette clé devient immédiatement inutilisable ou irrécupérable.
Il est vivement recommandé de sauvegarder la clé avant de programmer sa suppression. Avec une sauvegarde, vous pouvez restaurer la clé et le coffre si vous voulez continuer à utiliser la clé plus tard.
Pour plus d'informations, reportez-vous à Suppression d'une clé de coffre.