Documentazione dell'infrastruttura Oracle Cloud

Chiavi e OCID richiesti

Se si utilizza un client Oracle (vedere Software Development Kit and Command Line Interface) o un client creato personalmente, è necessario effettuare le operazioni riportate di seguito.

  1. Creare un utente in IAM per la persona o il sistema che chiamerà l'API e inserire tale utente in almeno un gruppo IAM con le autorizzazioni necessarie. Vedere Aggiunta di utenti. È possibile saltare questa operazione se l'utente esiste già.

  2. Ottieni questi elementi:

  3. Caricare la chiave pubblica dalla coppia di chiavi nella console. Vedere Come caricare la chiave pubblica.
    Nota

    Si consiglia di aggiungere un tag a ogni chiave privata.
  4. Se si utilizza uno degli SDK o degli strumenti Oracle, fornire le credenziali richieste elencate sopra in un file di configurazione o in un oggetto di configurazione nel codice. Vedere SDK and CLI Configuration File. Se invece si sta creando il proprio client, vedere Richiedi firme.
Importante

Questa coppia di chiavi non è la chiave SSH utilizzata per accedere alle istanze di computazione. Vedere Credenziali di sicurezza.

La chiave privata e la chiave pubblica devono essere entrambe in formato PEM (non SSH-RSA). La chiave pubblica in formato PEM è simile alla seguente:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQE...
...
-----END PUBLIC KEY-----
Per aumentare la sicurezza delle chiavi API, si consiglia di aggiungere una riga in più con "OCI_API_KEY" alla fine della chiave privata. Se l'utente o qualcuno dell'organizzazione esegue accidentalmente il commit della chiave privata in un repository GitHub pubblico, OCI invierà una notifica per intraprendere azioni correttive. La chiave privata in formato PEM con etichetta ha un aspetto simile al seguente:
-----BEGIN PRIVATE KEY-----
MIIBIjANBgkqhkiG9w0BAQE...
...
-----END PRIVATE KEY-----
OCI_API_KEY

Come generare una chiave di firma API

Nota

Per generare una chiave di firma API, è possibile utilizzare gli strumenti della console o della riga di comando disponibili per Linux, Mac OS o Windows.

Generazione di una chiave di firma API (console)

È possibile utilizzare la console per generare automaticamente la coppia di chiavi privata/pubblica. Se si dispone già di una coppia di chiavi, è possibile scegliere di caricare la chiave pubblica. Quando si utilizza la console per aggiungere la coppia di chiavi, la console genera anche uno snippet di anteprima del file di configurazione.

Le procedure riportate di seguito sono valide per un utente regolare o un amministratore. Gli amministratori possono gestire le chiavi API per un altro utente o per se stessi.

Informazioni sullo snippet del file di configurazione

Quando si utilizza la console per aggiungere la coppia di chiavi di firma API, viene generato uno snippet di anteprima del file di configurazione con le informazioni riportate di seguito:

  • user: OCID dell'utente per il quale viene aggiunta una coppia di chiavi.
  • fingerprint: impronta della chiave appena aggiunta.
  • tenancy: OCID della tenancy.
  • region: l'area attualmente selezionata nella console.
  • key_file- il percorso del file della chiave privata scaricato. Questo valore deve essere aggiornato con il percorso del file system in cui è stato salvato il file di chiavi private.

Se il file di configurazione dispone già di un profilo DEFAULT, è necessario eseguire una delle operazioni riportate di seguito.

  • Sostituire il profilo esistente e il relativo contenuto.
  • Rinominare il profilo esistente.
  • Rinominare questo profilo con un nome diverso dopo averlo incollato nel file di configurazione.

È possibile copiare questo snippet nel file di configurazione per iniziare. Se non si dispone già di un file di configurazione, vedere File di configurazione SDK e CLI per informazioni dettagliate su come crearne uno. Puoi anche recuperare lo snippet del file di configurazione in un secondo momento per una chiave di firma API ogni volta che ne hai bisogno. Vedere: Per ottenere lo snippet del file di configurazione per una chiave di firma API.

Per generare una coppia di chiavi di firma API

Prerequisito: prima di generare una coppia di chiavi, creare la directory .oci nella directory home per memorizzare le credenziali. Per ulteriori informazioni, vedere SDK and CLI Configuration File.

  1. Visualizzare i dettagli dell'utente:
    • Se stai aggiungendo una chiave API per te stesso:

      Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.

    • Se si è un amministratore che aggiunge una chiave API per un altro utente: aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Individuare l'utente nella lista, quindi fare clic sul nome dell'utente per visualizzare i dettagli.
  2. Nella sezione Risorse in basso a sinistra fare clic su Chiavi API
  3. Fare clic su Aggiungi chiave API nella parte superiore sinistra della lista Chiavi API. Viene visualizzata la finestra di dialogo Aggiungi chiave API.

  4. Fare clic su Scarica chiave privata e salvare la chiave nella directory .oci. Nella maggior parte dei casi non è necessario scaricare la chiave pubblica.

    Nota: se il browser scarica la chiave privata in un'altra directory, spostarla nella directory .oci.

  5. Fare clic su Aggiungi.

    La chiave viene aggiunta e viene visualizzata l'anteprima del file di configurazione. Lo snippet di file include i parametri e i valori necessari per creare il file di configurazione. Copiare e incollare lo snippet del file di configurazione dalla casella di testo nel file ~/.oci/config file. Se questo file non è stato ancora creato, vedere File di configurazione SDK e CLI per informazioni dettagliate su come crearne uno.

    Dopo aver incollato il contenuto del file, sarà necessario aggiornare il parametro key_file nella posizione in cui è stato salvato il file di chiavi private.

    Se il file di configurazione dispone già di un profilo DEFAULT, è necessario eseguire una delle operazioni riportate di seguito.
    • Sostituire il profilo esistente e il relativo contenuto.
    • Rinominare il profilo esistente.
    • Rinominare questo profilo con un nome diverso dopo averlo incollato nel file di configurazione.
  6. Aggiornare le autorizzazioni per il file di chiavi private scaricato in modo che solo tu possa visualizzarlo:
    1. Andare alla directory .oci in cui è stato inserito il file della chiave privata.
    2. Utilizzare il comando chmod go-rwx ~/.oci/<oci_api_keyfile>.pem per impostare le autorizzazioni per il file.

Per caricare o incollare una chiave API

Prerequisito: è stata generata una chiave RSA pubblica in formato PEM (minimo 2048 bit). Il formato PEM è simile al seguente:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
  1. Visualizzare i dettagli dell'utente:
    • Se stai aggiungendo una chiave API per te stesso:

      Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.

    • Se si è un amministratore che aggiunge una chiave API per un altro utente: aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Individuare l'utente nella lista, quindi fare clic sul nome dell'utente per visualizzare i dettagli.
  2. Nella sezione Risorse in basso a sinistra fare clic su Chiavi API
  3. Fare clic su Aggiungi chiave API nella parte superiore sinistra della lista Chiavi API. Viene visualizzata la finestra di dialogo Aggiungi chiave API.
  4. Nella finestra di dialogo selezionare Scegli file di chiavi pubbliche per caricare il file oppure Incolla chiave pubblica se si preferisce incollarlo in una casella di testo
  5. Fare clic su Aggiungi.

    La chiave viene aggiunta e viene visualizzata l'anteprima del file di configurazione. Lo snippet di file include i parametri e i valori necessari per creare il file di configurazione. Copiare e incollare lo snippet del file di configurazione dalla casella di testo nel file ~/.oci/config file. Se questo file non è stato ancora creato, vedere File di configurazione SDK e CLI per informazioni dettagliate su come crearne uno.

    Dopo aver incollato il contenuto del file, sarà necessario aggiornare il parametro key_file nella posizione in cui è stato salvato il file di chiavi private.

    Se il file di configurazione dispone già di un profilo DEFAULT, è necessario eseguire una delle operazioni riportate di seguito.

    • Sostituire il profilo esistente e il relativo contenuto.
    • Rinominare il profilo esistente.
    • Rinominare questo profilo con un nome diverso dopo averlo incollato nel file di configurazione.
Per ottenere lo snippet del file di configurazione per una chiave di firma API
La procedura seguente è valida per un utente normale o un amministratore.
  1. Visualizzare i dettagli dell'utente:
    • Se si ottiene uno snippet del file di configurazione della chiave API per l'utente:

      Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.

    • Se si è amministratori che ricevono uno snippet del file di configurazione della chiave API per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Individuare l'utente nella lista, quindi fare clic sul nome dell'utente per visualizzare i dettagli.
  2. Nella sezione Risorse in basso a sinistra fare clic su Chiavi API.
  3. Sul lato sinistro della pagina fare clic su Chiavi API. Viene visualizzato l'elenco delle impronte digitali delle chiavi API.
  4. Fare clic sul menu Azioni Menu Azioni per l'impronta digitale e selezionare Visualizza file di configurazione.

    Viene visualizzata l'anteprima del file di configurazione. Lo snippet di file include i parametri e i valori necessari per creare il file di configurazione. Copiare e incollare lo snippet del file di configurazione dalla casella di testo nel file ~/.oci/config file. Se questo file non è stato ancora creato, vedere File di configurazione SDK e CLI per informazioni dettagliate su come crearne uno. Dopo aver incollato il contenuto del file, sarà necessario aggiornare il parametro key_file nella posizione in cui è stato salvato il file di chiavi private.

    Se il file di configurazione dispone già di un profilo DEFAULT, è necessario eseguire una delle operazioni riportate di seguito.
    • Sostituire il profilo esistente e il relativo contenuto.
    • Rinominare il profilo esistente.
    • Rinominare questo profilo con un nome diverso dopo averlo incollato nel file di configurazione.

Generazione di una chiave di firma API (Linux e Mac OS X)

Utilizzare i comandi OpenSSL riportati di seguito per generare la coppia di chiavi nel formato PEM richiesto.

  1. Se non è ancora presente, creare una directory .oci per memorizzare le credenziali:

    mkdir ~/.oci

  2. Generare la chiave privata con uno dei comandi seguenti.

    • Per generare la chiave, cifrata con una passphrase fornita quando richiesto:
      Nota

      Si consiglia di utilizzare una passphrase per la chiave.
      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048

    • Per generare la chiave senza passphrase:

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048

  3. Modificare l'autorizzazione del file per assicurarsi che solo l'utente possa leggere il file della chiave privata.

    chmod go-rwx ~/.oci/oci_api_key.pem

  4. Generare la chiave pubblica dalla nuova chiave privata:

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem

  5. Copiare il contenuto della chiave pubblica negli appunti utilizzando pbcopy, xclip o uno strumento simile (è necessario incollare il valore nella console in un secondo momento). Ad esempio:

    cat ~/.oci/oci_api_key_public.pem | pbcopy

Le richieste API verranno firmate con la chiave privata e Oracle utilizzerà la chiave pubblica per verificare l'autenticità della richiesta. È necessario caricare la chiave pubblica in IAM (istruzioni riportate di seguito).

Generazione di una chiave di firma API (Windows)

Se si utilizza Windows, è necessario installare Git Bash per Windows prima di eseguire i seguenti comandi.
Nota

Assicurarsi di includere il file binario openssl nel percorso Windows. Nelle installazioni predefinite, il file openssl.exe è disponibile in C:\Program Files\Git\mingw64\bin.

Utilizzare i comandi OpenSSL riportati di seguito per generare la coppia di chiavi nel formato PEM richiesto.

  1. Se non è ancora presente, creare la directory .oci per memorizzare le credenziali. Ad esempio:

    mkdir %HOMEDRIVE%%HOMEPATH%\.oci

  2. Generare la chiave privata con uno dei comandi seguenti:

    • Per generare la chiave cifrata con una passphrase, fornire quando richiesto:
      Nota

      Si consiglia di utilizzare una passphrase per la chiave.
      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -aes128 -passout stdin 2048

    • Per generare la chiave senza passphrase:

      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem 2048

  3. Generare la chiave pubblica dalla nuova chiave privata:

    openssl rsa -pubout -in %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key_public.pem

  4. Copiare il contenuto della chiave pubblica negli appunti (è necessario incollare il valore nella console in un secondo momento). Ad esempio:

    type \.oci\oci_api_key_public.pem

Le richieste API verranno firmate con la chiave privata e Oracle utilizzerà la chiave pubblica per verificare l'autenticità della richiesta. È necessario caricare la chiave pubblica in IAM (istruzioni riportate di seguito).

Come ottenere l'impronta della chiave

È possibile ottenere l'impronta digitale della chiave con il seguente comando OpenSSL.

Per Linux e Mac OS X:

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Per Windows:
Nota

Se si utilizza Windows, è necessario installare Git Bash per Windows ed eseguire il comando con tale strumento.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Quando si carica la chiave pubblica nella console, viene visualizzata automaticamente anche l'impronta digitale. L'aspetto è simile al seguente: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

Dove recuperare l'OCID della tenancy e l'OCID dell'utente

Entrambi gli OCID si trovano nella console, a cui è possibile accedere effettuando la connessione all'indirizzo: https://cloud.oracle.com. Se non si dispone di login e password per la console, contattare un amministratore. Se non si conosce gli OCID, vedere Identificativi delle risorse.

OCID della tenancy

Ottenere l'OCID tenancy da Oracle Cloud InfrastructureConsole nella pagina Dettagli tenancy:

  1. Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo, quindi selezionare Tenancy: <your_tenancy_name>.

  2. L'OCID tenancy viene visualizzato in Informazioni sulla tenancy. Fare clic su Copia per copiarlo negli Appunti.

OCID utente

Recuperare l'OCID dell'utente nella console nella pagina in cui vengono visualizzati i dettagli dell'utente. Per accedere a tale pagina, effettuare le operazioni riportate di seguito.

  • Se hai effettuato l'accesso come utente:

    Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.

  • Se si è un amministratore che lo fa per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Selezionare l'utente dalla lista.
  • L'OCID utente viene visualizzato in Informazioni utente. Fare clic su Copia per copiarlo negli Appunti.

Come caricare la chiave pubblica

È possibile caricare la chiave pubblica PEM nella console, accessibile effettuando l'accesso all'indirizzo: https://cloud.oracle.com.
Nota

Se non si dispone di login e password per la console o se non si visualizza un menu Profilo, contattare un amministratore.
  1. Aprire la console e connettersi.

  2. Visualizzare i dettagli per l'utente che chiamerà l'API con la coppia di chiavi:

    • Se hai effettuato l'accesso come utente:

      Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata.

    • Se si è un amministratore che lo fa per un altro utente, aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Utenti. Selezionare l'utente dalla lista.
  3. Nella sezione Risorse in basso a sinistra fare clic su Chiavi API
  4. Fare clic su Aggiungi chiave API nella parte superiore sinistra della lista Chiavi API. Viene visualizzata la finestra di dialogo Aggiungi chiave API.
  5. Selezionare il pulsante di opzione Incollare una chiave pubblica.
  6. Incollare il contenuto della chiave pubblica PEM nella finestra di dialogo e fare clic su Aggiungi.

Viene visualizzata l'impronta digitale della chiave (ad esempio, 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef).

Si noti che dopo aver caricato la prima chiave pubblica, è anche possibile utilizzare l'operazione API UploadApiKey per caricare chiavi aggiuntive. Puoi avere fino a tre coppie di chiavi API per utente. In una richiesta API, specifichi l'impronta digitale della chiave per indicare quale chiave stai utilizzando per firmare la richiesta.