Configuration d'OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager sans OCI API Gateway
Introduction
Ce tutoriel fournit des instructions pas à pas pour configurer Hold Your Own Key (HYOK) avec Thales CipherTrust Manager (CTM) sans utiliser l'option Oracle Cloud Infrastructure (OCI) API Gateway. Cette approche vous permet de contrôler complètement vos clés de cryptage tout en permettant l'intégration aux services OCI qui prennent en charge la gestion des clés externes.
Nous passerons en revue l'ensemble de la configuration, en commençant par examiner l'architecture réseau et configurer les intégrations d'application dans OCI, puis en configurant Thales CipherTrust Manager pour qu'il communique directement avec Oracle Cloud Infrastructure External Key Management Service (OCI External Key Management Service) via une adresse privée. Le tutoriel inclut également la création et l'inscription de fournisseurs d'identités, de locations OCI, de coffres externes et de clés, ainsi que le test de l'accès au stockage d'objets géré par le client à l'aide de ces clés externes.
À la fin de ce tutoriel, vous disposerez d'une configuration HYOK entièrement opérationnelle, capable de chiffrer et de contrôler l'accès aux ressources OCI à l'aide de clés gérées en externe hébergées sur votre gestionnaire Thales CipherTrust sans avoir besoin d'une passerelle d'API OCI intermédiaire.
Remarque : dans ce tutoriel, les termes Thales CipherTrust Cloud Key Manager (CCKM) et Thales CipherTrust Manager (CTM) sont utilisés de manière interchangeable. Les deux se réfèrent au même produit.
Ce tutoriel s'appuie sur la base technical foundation établie dans le tutoriel : Configuration d'appliances de gestionnaire de clés cloud CipherTrust Thales dans OCI, création d'un cluster entre elles et configuration d'une autorité de certification.
Si vous voulez implémenter HYOK (Hold Your Own Key) à l'aide de Thales CipherTrust Manager avec l'option OCI API Gateway, suivez ce tutoriel : Configurez OCI Hold Your Own Key à l'aide de CipherTrust Manager avec OCI API Gateway.
Objectifs
- Tâche 1 : passez en revue l'architecture du réseau cloud.
- Tâche 2 : créez une application de ressource confidentielle et des applications client confidentielles associées (intégrations d'applications) et collectez le client et les clés secrètes dans OCI.
- Tâche 3 : collectez l'URL du domaine d'identité à partir d'OCI.
- Tâche 4 : créez des fournisseurs d'identités dans Thales CipherTrust Manager.
- Tâche 5 : ajoutez des locations Oracle dans Thales CipherTrust Manager.
- Tâche 6 : créez une adresse privée pour le service OCI External Key Manager.
- Tâche 7 : ajoutez des coffres externes dans Thales CipherTrust Manager.
- Tâche 8 : création d'un coffre OCI External Key Management Service.
- Tâche 9 : ajoutez des clés externes dans Thales CipherTrust Manager.
- Tâche 10 : créez des références de clé dans OCI.
- Tâche 11 : créez un bucket OCI Object Storage avec des clés gérées par le client.
- Tâche 12 : bloquer et débloquer les clés Oracle et tester l'accessibilité du bucket de stockage d'objets dans Thales CipherTrust Manager et OCI.
L'image suivante illustre les composants et la configuration qui configurent toutes les étapes de ce tutoriel.
Tâche 1 : passer en revue l'architecture réseau cloud
Avant d'aborder les étapes techniques de configuration de Hold Your Own Key (HYOK) avec Thales CipherTrust Manager, il est essentiel de comprendre l'architecture du réseau cloud dans lequel réside cette configuration.
Dans ce scénario, trois régions OCI sont utilisées :
- Deux régions OCI simulent des centres de données sur site. Ces régions sont connectées à OCI via des tunnels VPN, représentant des environnements hybrides.
- La troisième région OCI représente l'environnement OCI principal et suit une architecture de réseau cloud virtuel (VCN) de hub-and-spoke. Dans cette conception :
- Le hub VCN héberge des services réseau partagés tels que des pare-feu.
- Plusieurs réseaux cloud virtuels par satellite se connectent au hub et hébergent différentes charges globales.
La connectivité entre les deux centres de données sur site simulés est établie à l'aide de RPC (Remote Peering Connections). Toutefois, pour ce tutoriel, la configuration VPN, la configuration RPC et les détails de l'architecture VCN hub-and-spoke sont considérés comme hors de portée et ne seront pas couverts.
-
To set up VPN connections to OCI where a data centre is simulated, see Set up an Oracle Cloud Infrastructure Site-to-Site VPN with Static Routing Between two OCI Regions.
-
Pour configurer des connexions RPC entre les régions OCI, reportez-vous à Configuration de la connexion RPC entre deux locataires et leurs passerelles de routage dynamique.
-
Pour configurer une architecture réseau VNC hub et spoke OCI, reportez-vous à Route Hub et Spoke VCN avec pfSense Firewall dans le VCN hub.
Ce tutoriel se concentre strictement sur la configuration d'HYOK à l'aide de Thales CipherTrust Manager déployé dans la région d'Amsterdam (AMS), qui est l'un des centres de données sur site simulés. Toutes les opérations de gestion des clés seront effectuées à partir de cette instance Thales CipherTrust Manager.
Le gestionnaire de clés externes privé permet à OCI de communiquer en toute sécurité avec le gestionnaire Thales CipherTrust externe et sera déployé dans l'un des réseaux cloud virtuels spoke de la région OCI principale. Cela garantit un chemin de communication sécurisé et direct entre les services OCI et le gestionnaire de clés externes sans exposer le trafic au réseau Internet public.
Cette architecture prend en charge de fortes postures de sécurité et de conformité pour les charges de travail sensibles dans OCI en isolant la gestion des clés dans une limite de réseau bien définie et sécurisée.
L'image suivante illustre l'architecture complète.
Tâche 2 : création d'une application de ressource confidentielle et association d'applications client confidentielles (intégrations d'application) et collecte du client et des clés secrètes dans OCI
Pour activer l'intégration HYOK avec Thales CipherTrust Manager, vous devez établir une relation de confiance entre OCI et le gestionnaire de clés externe.
Pour ce faire, vous devez inscrire deux composants clés dans OCI Identity and Access Management (OCI IAM) : une application de ressource confidentielle et une application client confidentielle. Ils sont essentiels pour authentifier et autoriser la communication entre OCI et Thales CipherTrust Manager.
Cette configuration permet à Thales CipherTrust Manager de s'authentifier auprès d'OCI IAM via OAuth 2.0. Le client confidentiel agit pour le compte du gestionnaire de clés externes, tandis que la ressource confidentielle définit la portée de la configuration d'accès et de confiance. OCI ne peut pas valider ou communiquer en toute sécurité avec la source de clé externe sans ces composants.
L'image suivante illustre les composants et la configuration de cette étape.
-
Connectez-vous à la console OCI, accédez à Identité et sécurité, puis cliquez sur Domaines.
-
Cliquez sur le domaine à utiliser pour l'authentification.
-
Cliquez sur Applications intégrées et Ajouter une application.
-
Sélectionnez Application confidentielle et cliquez sur Lancer le workflow.
-
Entrez le nom de l'application (
Resource_App
) et cliquez sur Suivant. -
Dans la section Configuration du serveur de ressources, entrez les informations suivantes.
- Sélectionnez Configurer cette application comme serveur de ressource maintenant.
- Dans Public principal, entrez
https://10.222.10.111/
(adresse IP du serveur AMS CTM1).
-
Dans Ajouter une portée, entrez les informations suivantes.
- Sélectionnez Ajouter des portées.
- Cliquez sur Ajouter.
- Dans Portée, entrez
oci_ekms
. - Cliquez sur Ajouter.
-
Observez la portée ajoutée
oci_ekms
et faites défiler vers le bas. -
Dans la section Configuration du client, saisissez les informations suivantes :
- Sélectionnez Configurer cette application en tant que client maintenant.
- Sélectionnez Informations d'identification client.
- Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Cliquez sur Ignorer et faire plus tard pour ignorer la création de la stratégie de niveau Web et cliquez sur Terminer.
-
Accédez à la page Applications intégrées.
- Notez que l'application d'intégration
Resource_App
est créée. - Sélectionnez l'application d'intégration
Resource_App
. - Cliquez sur le menu déroulant Actions.
- Cliquez sur Activer.
- Notez que l'application d'intégration
-
Cliquez sur Activer l'application.
-
Cliquez sur l'application d'intégration
Resource_App
. -
Faites défiler vers le bas.
-
Copiez l'ID client et stockez-le dans un bloc-notes. Cliquez sur Afficher la clé secrète pour afficher la clé secrète client.
-
Cliquez sur Copier pour copier la clé secrète client et la stocker dans un bloc-notes. Cliquez sur Fermer.
-
Cliquez sur Ajouter une application.
-
Sélectionnez Application confidentielle et cliquez sur Lancer le workflow.
-
Entrez le nom (
Client_App
) de l'application, puis cliquez sur Suivant. -
Dans Configuration du serveur de ressources, sélectionnez Ignorer pour plus tard.
-
Dans Configuration client, entrez les informations suivantes.
- Sélectionnez Configurer cette application en tant que client maintenant.
- Sélectionnez Informations d'identification client.
- Faites défiler vers le bas.
-
Dans Ajouter une portée, entrez les informations suivantes.
- Sélectionnez Ajouter des ressources.
- Sélectionnez Ajouter des portées.
- Dans Portée, entrez
Resource_App
. - Cliquez sur Ajouter.
-
Notez la ressource ajoutée
Resource_App
et cliquez sur Next. -
Cliquez sur Ignorer et faire plus tard pour ignorer la création de la stratégie de niveau Web et cliquez sur Terminer.
-
Accédez à la page Applications intégrées.
- Notez que l'application d'intégration
Client_App
est créée. - Sélectionnez l'application d'intégration
Client_App
. - Cliquez sur le menu déroulant Actions.
- Cliquez sur Activer.
- Notez que l'application d'intégration
-
Cliquez sur Activer l'application.
-
Cliquez sur l'application d'intégration
Client_App
. -
Faites défiler vers le bas.
-
Copiez l'ID client et stockez-le dans un bloc-notes. Cliquez sur Afficher la clé secrète pour afficher la clé secrète client.
-
Cliquez sur Copier pour copier la clé secrète client et la stocker dans un bloc-notes. Cliquez sur Fermer.
Remarque :
- Vous avez collecté les ID client et clés secrètes client
Resource_App
etClient_App
.- Ne mélangez pas ces deux éléments et configurez-les aux endroits appropriés.
Tâche 3 : collecter l'URL de domaine d'identité à partir d'OCI
Pour activer la communication basée sur OAuth entre OCI et Thales CipherTrust Manager, vous devez fournir l'URL de domaine d'identité lors de la configuration du fournisseur d'identités dans Thales CipherTrust Manager.
-
Accédez à la console OCI, accédez à Identité et sécurité, puis cliquez sur Domaines.
-
Sélectionnez le domaine d'identité dans lequel vos applications confidentielles ont été créées.
-
Sur la page de détails du domaine, cliquez sur Copier pour copier l'URL de domaine et la stocker dans un bloc-notes.
Tâche 4 : création de fournisseurs d'identités dans Thales CipherTrust Manager
Dans cette tâche, vous allez configurer le fournisseur d'identités dans le gestionnaire CipherTrust de Thales. Cette configuration permet à Thales CipherTrust Manager de s'authentifier auprès d'OCI à l'aide des informations d'identification OAuth 2.0 créées dans la tâche 3.
L'image suivante illustre les composants et la configuration de cette tâche.
-
Dans Thales CipherTrust Manager, accédez à CTM1 dans AMS et cliquez sur Produits et Gestionnaire de clés cloud.
-
Cliquez sur Conteneurs KMS, Résultats Oracle, sélectionnez Résultats externes et cliquez sur Ajouter un fournisseur d'identités.
-
Dans Ajouter un fournisseur d'identités, entrez les informations suivantes et cliquez sur Ajouter.
- Entrez le nom (
OCI
). - Sélectionnez OpenID Configuration URL comme vérificateur de fournisseur.
- Entrez l'URL de configuration OpenID, URL de domaine copiée dans la tâche 3.
- Ajoutez le suffixe suivant à l'URL :
.well-known/openid-configuration
. L'URL de configuration OpenID complète est donc :https://idcs-<xxx>.identity.oraclecloud.com:443/.well-known/openid-configuration
.
- Ajoutez le suffixe suivant à l'URL :
- Sélectionnez URL protégée jwks.
- Entrez l'ID client et la clé secrète client de l'application intégrée
Resource_App
.
- Entrez le nom (
-
Notez que le fournisseur d'identités est créé.
Tâche 5 : ajout de locations OCI dans Thales CipherTrust Manager
Une fois le fournisseur d'identités configuré dans Thales CipherTrust Manager, la tâche suivante consiste à inscrire votre location OCI. Cela permet à Thales CipherTrust Manager de gérer des coffres et des clés externes pour le compte de votre environnement OCI à l'aide des informations d'identification OAuth configurées précédemment.
L'image suivante illustre les composants et la configuration configurés dans cette tâche.
-
Tout d'abord, nous devons obtenir le nom du locataire et l'OCID à partir d'OCI. Cliquez sur votre profil dans l'angle supérieur droit et cliquez sur Location.
-
Copiez le nom du locataire et l'OCID du locataire et stockez les deux dans un bloc-notes.
-
Accédez à la console Thales Cloud Key Manager.
- Cliquez sur Conteneurs KMS.
- Cliquez sur Coffrets Oracle.
- Cliquez sur Location.
- Cliquez sur Ajouter une location.
-
Dans Ajouter une location, entrez les informations suivantes.
- Sélectionnez la méthode Location Oracle (aucune connexion).
- Entrez le nom de la location collectée à partir d'OCI.
- Entrez l'OCID de location collecté à partir d'OCI.
- Cliquez sur Ajouter.
-
Le locataire OCI est ajouté au gestionnaire Thales CipherTrust.
Tâche 6 : création d'une adresse privée pour le service External Key Manager dans OCI
Pour connecter OCI au gestionnaire CipherTrust de Thales en toute sécurité sans exposer le trafic au réseau Internet public, vous devez créer une adresse privée pour le service OCI External Key Management.
Cela garantit que toutes les communications entre OCI et Thales CipherTrust Manager s'effectuent sur un chemin réseau privé contrôlé.
Assurez-vous que les prérequis suivants sont remplis :
- Le gestionnaire Thales CipherTrust doit être accessible à partir d'OCI via votre configuration de réseau privé. Par exemple, via VPN.
- Assurez-vous que le sous-réseau dispose de règles de routage et de sécurité autorisant le trafic vers l'instance Thales CipherTrust Manager.
L'image suivante illustre les composants et la configuration de cette tâche.
-
Dans la console OCI, accédez à Identité et sécurité et cliquez sur Adresses privées.
-
Accédez à Adresses privées et cliquez sur Créer une adresse privée.
-
Dans Créer une adresse privée, entrez les informations suivantes.
- Entrez le nom de l'adresse privée (
Private-Endpoint-For-Vault
). - Sélectionnez un VCN et un sous-réseau dans lesquels cette adresse privée doit se trouver.
- Entrez l'adresse IP privée du gestionnaire de clés externes
10.222.10.111
comme adresse IP du serveur AMS CTM1. - Entrez Port comme
443
. - Téléchargez le package d'autorité de certification External Key Management et cliquez sur Parcourir.
- Entrez le nom de l'adresse privée (
-
Nous avons sélectionné le certificat de chaîne complète créé dans ce tutoriel : Configuration d'appliances Cloud Key Manager CipherTrust à deux Thales dans OCI, création d'un cluster entre elles et configuration d'une autorité de certification, mais vous pouvez également sélectionner uniquement le certificat racine d'autorité de certification. Cliquez sur Ouvrir.
-
Assurez-vous que le certificat, l'autorité de certification racine ou les certificats de chaîne complète de Thales CipherTrust Manager sont sélectionnés. Cliquez sur Créer.
-
L'adresse privée est créée. Cliquez à présent sur l'adresse privée.
-
Notez que l'adresse IP de l'adresse privée est configurée.
Tâche 7 : ajout de coffres externes dans Thales CipherTrust Manager
Une fois la location OCI et l'adresse privée en place, la tâche suivante consiste à ajouter un coffre externe dans Thales CipherTrust Manager. Un coffre externe dans Thales CipherTrust Manager est un conteneur logique qui est mis en correspondance avec le coffre de gestion des clés externe dans OCI, ce qui permet à Thales CipherTrust Manager de gérer les clés utilisées pour le cryptage HYOK.
L'image suivante illustre les composants et la configuration de cette tâche.
-
Accédez à la console du gestionnaire de clés Thales Cloud.
- Cliquez sur Conteneurs KMS.
- Cliquez sur Coffrets Oracle.
- Sélectionnez Résultats externes.
- Cliquez sur Ajouter un coffre externe.
-
Dans Ajouter un coffre externe, entrez les informations suivantes.
- Entrez le nom (
OCI
). - Sélectionnez Location Oracle (aucune connexion) en tant que méthodes.
- Sélectionnez la création de location dans la tâche 5.
- Sélectionnez l'émetteur, le fournisseur d'identités créé dans la tâche 4.
- Faites défiler vers le bas.
- Entrez l'ID client de l'application intégrée
Client_App
. - Entrez le nom d'hôte d'URL d'adresse
10.222.10.111
, l'adresse IP du serveur AMS CTM1. - Entrez Port comme
443
. - Cliquez sur Ajouter.
- Entrez le nom (
-
Notez que le coffre externe est configuré. Copiez l'URL du coffre externe et stockez-la dans un bloc-notes.
Une fois configuré, ce coffre devient l'emplacement cible pour le stockage des clés externes référencées par les services OCI. Il relie votre environnement OCI et les clés gérées par CipherTrust, ce qui permet un contrôle complet des opérations de cryptage dans un modèle HYOK.
Tâche 8 : création d'un coffre OCI External Key Management Service
Maintenant que le coffre externe a été défini dans Thales CipherTrust Manager, la tâche suivante consiste à créer un coffre de gestion des clés externes correspondant dans la console OCI.
Ce coffre OCI sera lié à votre gestionnaire CipherTrust Thales et utilisé par les services OCI pour effectuer des opérations de cryptage et de décryptage à l'aide de clés externes.
L'image suivante illustre les composants et la configuration de cette tâche.
-
Extrayez l'URL de domaine de la tâche 3. Vous en aurez besoin pour configurer le coffre de clés externe dans OCI.
-
Dans la console OCI, accédez à Identité et sécurité et cliquez sur Gestion des clés externes.
-
Cliquez sur Créer un coffre.
-
Dans Créer un coffre, entrez les informations suivantes.
- Entrez le nom (
OCI_EKMS_Vault
). - Entrez l'URL de nom de compte IDCS, l'URL de domaine copiée à partir de la tâche 7. L'URL complète sera donc :
https://idcs-<xxx>.identity.oraclecloud.com:443/
. - Entrez l'ID client et la clé secrète de l'application client de l'application intégrée
Client_App
. - Faites défiler vers le bas.
- Sélectionnez l'adresse privée créée dans la tâche 6.
- Entrez l'URL de coffre externe copiée à partir de la tâche 7 lorsque nous avons créé le coffre externe sur CTM1.
- Cliquez sur Créer un coffre.
- Entrez le nom (
-
Le coffre a été créé. Cliquez maintenant sur le coffre.
-
Consultez les Détails du coffre.
OCI va désormais se connecter à Thales CipherTrust Manager à l'aide de l'adresse privée indiquée. Une fois ce coffre actif, il devient l'interface par laquelle OCI interagit avec des clés externes gérées par CCKM, ce qui active la prise en charge HYOK pour les services OCI tels qu'OCI Object Storage, OCI Block Volumes, etc. Nous effectuerons ensuite certains tests avec OCI Object Storage.
Tâche 9 : ajout de clés externes dans Thales CipherTrust Manager
Une fois le coffre externe configuré dans Thales CipherTrust Manager et lié à OCI, la tâche suivante consiste à créer ou à importer les clés de cryptage externes qu'OCI utilisera pour les services compatibles HYOK.
Ces clés résident en toute sécurité dans Thales CipherTrust Manager et sont référencées par OCI via l'interface de gestion des clés externe. Selon vos besoins organisationnels, vous pouvez générer une nouvelle clé directement dans Thales CipherTrust Manager ou importer une clé existante.
L'image suivante illustre les composants et la configuration de cette tâche.
-
Accédez à la console Thales Cloud Key Manager.
- Cliquez sur Clés cloud.
- Cliquez sur Oracle.
- Cliquez sur Ajouter une clé,
-
Dans Ajouter une clé Oracle, entrez les informations suivantes.
- Sélectionnez Oracle External (HYOK).
- Sélectionnez le Vault Thales CipherTrust Manager créé dans la tâche 8.
- Sélectionnez la source CipherTrust (locale).
- Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Dans Clé source, entrez les informations suivantes.
- Sélectionnez la matière clé source à Créer une clé.
- Entrez le nom de la clé (
CM_Key
). - Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
-
Dans Configurer la clé Oracle, entrez les informations suivantes.
- Entrez le nom de clé Oracle (
CM_Key
). - Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
- Entrez le nom de clé Oracle (
-
Cliquez sur Ajouter une clé,
-
Cliquez sur Fermer.
-
Notez la clé créée.
Une fois ajoutée, la clé devient disponible pour OCI via le coffre de gestion des clés externe. Toutefois, pour permettre aux services OCI d'utiliser la clé, vous devez créer une référence de clé dans la console OCI, que nous aborderons dans la tâche suivante.
Remarque :
- Ces clés ne quittent jamais le gestionnaire CipherTrust de Thales.
- OCI envoie uniquement des demandes de chiffrement/déchiffrement au gestionnaire de clés externe, ce qui vous garantit un contrôle total sur les éléments de clé.
Tâche 10 : création de références de clé dans OCI
Une fois la clé externe créée ou importée dans Thales CipherTrust Manager, la tâche suivante consiste à créer une référence de clé dans la console OCI. Une référence de clé agit comme un pointeur qui permet aux services OCI d'accéder à la clé externe stockée dans Thales CipherTrust Manager et de l'utiliser via le coffre de gestion de clés externe.
L'image suivante illustre les composants et la configuration de cette tâche.
-
Accédez à la console Thales Cloud Key Manager.
- Cliquez sur Clés cloud.
- Cliquez sur Oracle.
- Cliquez sur Clé créée dans la tâche 9.
-
Notez que la clé aura un ID de clé externe, copiez cet ID.
-
Revenez au coffre dans OCI créé dans la tâche 9 et cliquez sur le coffre.
-
Faites défiler vers le bas.
-
Cliquez sur Créer une référence de clé.
-
Dans Créer une référence de clé, entrez les informations suivantes.
- Entrez le nom (
OCI_Key_Reference
). - Entrez la clé External Key ID (Thales CipherTrust Manager) copiée.
- Cliquez sur Créer une référence de clé.
- Entrez le nom (
-
Notez que la référence de clé a été créée.
OCI va maintenant associer cette référence de clé à la clé externe gérée dans Thales CipherTrust Manager. Cela permet aux services OCI tels qu'OCI Object Storage, OCI Block Volumes et autres d'envoyer des demandes cryptographiques à la clé externe sur l'adresse privée. En revanche, le matériau clé lui-même reste entièrement sous votre contrôle.
Nous allons tester la référence de clé immédiatement en l'attachant à un bucket OCI Object Storage pour vérifier que l'intégration fonctionne comme prévu.
Tâche 11 : création d'un bucket OCI Object Storage avec des clés gérées par le client
Vous pouvez crypter les ressources à l'aide de la clé externe référencée dans OCI. Dans cette tâche, nous allons créer un bucket OCI Object Storage qui utilise la clé externe gérée par le client hébergée sur Thales CipherTrust Manager via le coffre de gestion des clés externe.
Cette configuration garantit que tous les objets stockés dans le bucket sont cryptés à l'aide d'une clé entièrement contrôlée, ce qui répond à des exigences strictes de conformité, de souveraineté ou de stratégie interne.
L'image suivante illustre les composants et la configuration de cette tâche.
-
Accédez à la console OCI, accédez à Stockage et cliquez sur Buckets.
-
Cliquez sur Créer un bucket.
-
Dans Créer un bucket, entrez les informations suivantes.
- Entrez le nom (
OCI_EKMS_Test_Bucket
). - Faites défiler vers le bas.
- Dans Cryptage, sélectionnez Crypter à l'aide des clés gérées par un client.
- Dans Coffre, sélectionnez votre création Coffre de gestion des clés externes dans la tâche 8.
- Dans Clé, sélectionnez la référence de clé créée dans la tâche 10.
- Cliquez sur Créer.
- Entrez le nom (
-
Notez que ce bucket est créé. Cliquez sur le bucket.
-
Vous pouvez faire défiler la page vers le bas pour charger des fichiers ou les laisser vides.
-
Accédez à l'écran d'accueil de la console OCI ou de toute autre page.
Une fois le bucket créé, toutes les données qu'il contient sont cryptées à l'aide de la clé externe gérée par Thales CipherTrust Manager. Cela garantit qu'OCI s'appuie sur votre infrastructure clé pour l'accès et le contrôle, ce qui permet des fonctionnalités complètes de conservation de votre propre clé (HYOK).
Supposons que la clé externe ne soit plus disponible (par exemple, désactivée ou bloquée dans Thales CipherTrust Manager). Dans ce cas, l'accès au bucket et à son contenu sera refusé, ce qui offre un point de contrôle puissant pour votre état de sécurité des données. C'est quelque chose que nous allons tester dans la prochaine tâche.
Tâche 12 : bloquer et débloquer les clés Oracle et tester l'accessibilité du bucket OCI Object Storage dans Thales CipherTrust Manager et OCI
L'un des principaux avantages du modèle Hold Your Own Key (HYOK) est la possibilité de conserver un contrôle opérationnel complet sur vos clés de chiffrement, y compris la possibilité de les bloquer ou de les débloquer à tout moment. Cette section explique comment utiliser Thales CipherTrust Manager pour contrôler l'accès à un bucket de stockage d'objets géré par Oracle en bloquant ou en débloquant la clé externe.
Le blocage d'une clé limite effectivement l'accès à toute ressource OCI cryptée avec cette clé sans supprimer la clé ou les données. Le déblocage restaure l'accès.
-
Accédez à la console Thales Cloud Key Manager.
- Cliquez sur Clés cloud.
- Cliquez sur Oracle.
- Cliquez sur les trois points à la fin de la clé.
- Sélectionnez Bloquer.
-
Sélectionnez Bloquer.
-
Notez que la clé est désormais bloquée dans le gestionnaire CipherTrust de Thales.
-
Accédez à la console OCI, accédez à Stockage et cliquez sur Buckets.
-
Cliquez sur le bucket créé dans la tâche 11.
-
Une erreur s'affiche et vous ne pouvez plus accéder au bucket ni à aucun fichier téléchargé dans le bucket.
Maintenant, débloquons à nouveau la clé dans Thales CipherTrust Manager.
Le diagramme ci-dessous illustre la configuration des composants et de la configuration dans cette tâche.
-
Accédez à la console Thales Cloud Key Manager.
- Cliquez sur Clés cloud.
- Cliquez sur Oracle.
- Cliquez sur les trois points à la fin de la clé.
- Sélectionnez Débloquer.
-
Sélectionnez Débloquer.
-
Notez que la clé est maintenant débloquée dans le gestionnaire CipherTrust de Thales.
-
Revenez à la page Détails du bucket ou actualisez le navigateur si vous êtes toujours sur cette page.
-
Vous ne pouvez pas accéder de nouveau au bucket OCI Object Storage lorsqu'il est débloqué.
Cette fonctionnalité fournit un mécanisme puissant pour les interventions d'urgence, la conformité réglementaire et l'application de la souveraineté des données, ce qui vous garantit un contrôle total sur le moment et la façon dont vos données sont accessibles dans OCI.
Etapes suivantes
Dans ce tutoriel, nous avons terminé la configuration d'OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager sans dépendre de l'option OCI API Gateway. En suivant les étapes de la configuration des intégrations d'identités et du réseau au déploiement de clés et de coffres externes, vous avez activé une architecture de gestion des clés sécurisée et conforme dans laquelle vous gardez un contrôle total sur vos clés de cryptage.
Cette configuration garantit que les services OCI tels qu'OCI Object Storage utilisent vos clés gérées en externe pour les opérations de cryptage, tandis que les composants de clé restent entièrement sous votre gouvernance. Vous avez également vu à quel point HYOK peut être puissant, avec la possibilité de bloquer et de débloquer l'accès aux ressources cloud simplement en basculant l'état des clés dans Thales CipherTrust Manager.
En n'utilisant pas la passerelle d'API OCI, vous avez simplifié l'architecture tout en appliquant une limite de sécurité ferme via un réseau privé et une sécurisation des identités basée sur OAuth.
Vous disposez désormais d'une implémentation HYOK prête pour la production qui prend en charge les politiques de sécurité d'entreprise, la conformité réglementaire et les exigences de souveraineté des données, vous permettant ainsi de contrôler entièrement votre stratégie de cryptage cloud.
Liens connexes
Accusés de réception
- Auteur - Iwan Hoogendoorn (ceinture noire de mise en réseau cloud)
Ressources de formation supplémentaires
Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.
Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.
Set up an OCI Hold Your Own Key using Thales CipherTrust Manager without OCI API Gateway
G38098-01
Copyright ©2025, Oracle and/or its affiliates.