Assegnazione delle chiavi di cifratura master
Assegnare le chiavi di cifratura principali alle risorse supportate e rimuoverle quando non sono più necessarie.
Anziché utilizzare una chiave di cifratura gestita da Oracle, è possibile assegnare chiavi di cifratura master gestite per bloccare o avviare volumi, database, file system, bucket e pool di flussi. Volume a blocchi, database, storage di file, storage degli oggetti e streaming utilizzano le chiavi per decifrare le chiavi di cifratura dei dati che proteggono i dati memorizzati da ciascun rispettivo servizio. Per impostazione predefinita, questi servizi si basano sulle chiavi di cifratura master gestite da Oracle per le operazioni di cifratura. Quando si rimuove un'assegnazione di chiave di cifratura principale Vault da una risorsa, il servizio torna all'utilizzo di una chiave gestita da Oracle per la crittografia.
Puoi anche assegnare chiavi di cifratura master ai cluster creati utilizzando Kubernetes Engine per cifrare i segreti Kubernetes in archivio nell'area di memorizzazione dei valori delle chiavi etcd.
L'assegnazione delle chiavi include le configurazioni riportate di seguito.
- Creazione di un'istanza di computazione con un volume di avvio cifrato
- Creazione di un volume di avvio cifrato con una chiave vault
- Creazione di un cluster Kubernetes con segreti cifrati
- Assegnazione di una chiave a un bucket di storage degli oggetti
- Assegnazione di una chiave a un pool di flussi
- Assegnazione di una chiave a un volume di avvio
- Assegnazione di una chiave a un file system
- Assegnazione di una chiave a un volume a blocchi
- Modifica di una chiave in un volume di avvio
- Modifica di una chiave per un volume a blocchi
- Rimozione di un'assegnazione chiave da un volume a blocchi
- Rimozione di un'assegnazione chiave da uno storage degli oggetti
Per informazioni sulla gestione della creazione e dell'uso delle chiavi di cifratura master e delle versioni delle chiavi, vedere Gestione delle chiavi. Per informazioni specifiche sulla creazione delle chiavi con il materiale della chiave, vedere Importazione delle chiavi del vault e delle versioni chiave. Per informazioni sull'uso delle chiavi nelle operazioni di cifratura, vedere Using Keys. Per informazioni sulle operazioni che è possibile eseguire con i vault in cui memorizzare le chiavi, vedere Gestione dei vault.
Criteri IAM necessari
Le chiavi associate a volumi, bucket, file system, cluster e pool di flussi non funzioneranno a meno che non si autorizzi il volume a blocchi, lo storage degli oggetti, lo storage di file, il motore Kubernetes e lo streaming a utilizzare le chiavi per conto dell'utente. Inoltre, è necessario autorizzare gli utenti a delegare l'uso delle chiavi a questi servizi in primo luogo. Per ulteriori informazioni, vedere Consentire a un gruppo di utenti di delegare l'uso delle chiavi in un compartimento e Creare un criterio per abilitare le chiavi di cifratura in Criteri comuni. Le chiavi associate ai database funzioneranno solo se si autorizza un gruppo dinamico che include tutti i nodi del sistema DB a gestire le chiavi nella tenancy. Per ulteriori informazioni, vedere Criterio IAM obbligatorio in Exadata Cloud Service
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori: per i criteri tipici che consentono l'accesso a vault, chiavi e segreti, vedere Consentire agli amministratori della sicurezza di gestire vault, chiavi e segreti. Per ulteriori informazioni sulle autorizzazioni o se è necessario scrivere criteri più restrittivi, vedere Dettagli per il servizio vault.
Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni.