Esportazione delle chiavi e delle versioni delle chiavi del vault
Informazioni su come esportare una chiave di cifratura primaria o una versione della chiave protetta da software per eseguire operazioni di crittografia.
Dopo aver esportato una chiave, è possibile utilizzarla localmente, quindi eliminarla dalla memoria locale per proteggere il contenuto della chiave. L'uso di una chiave esportata a livello locale migliora disponibilità, affidabilità e latenza.
Non è possibile esportare chiavi protette da HSM da OCI KMS.
Criteri IAM necessari
Le chiavi associate a volumi, bucket, file system, cluster e pool di flussi non funzioneranno a meno che non si autorizzi il volume a blocchi, lo storage degli oggetti, lo storage di file, il motore Kubernetes e lo streaming a utilizzare le chiavi per conto dell'utente. Inoltre, è necessario autorizzare gli utenti a delegare l'uso delle chiavi a questi servizi in primo luogo. Per ulteriori informazioni, vedere Consentire a un gruppo di utenti di delegare l'uso delle chiavi in un compartimento e Creare un criterio per abilitare le chiavi di cifratura in Criteri comuni. Le chiavi associate ai database funzioneranno solo se si autorizza un gruppo dinamico che include tutti i nodi del sistema DB a gestire le chiavi nella tenancy. Per ulteriori informazioni, vedere Criterio IAM obbligatorio in Exadata Cloud Service
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori: per i criteri tipici che consentono l'accesso a vault, chiavi e segreti, vedere Consentire agli amministratori della sicurezza di gestire vault, chiavi e segreti. Per ulteriori informazioni sulle autorizzazioni o se è necessario scrivere criteri più restrittivi, vedere Dettagli per il servizio vault.
Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni.
Informazioni preliminari
L'esportazione di una chiave richiede la generazione della propria coppia di chiavi RSA per avvolgere ed estrarre il materiale della chiave. È possibile utilizzare lo strumento di terze parti di propria scelta per generare la coppia di chiavi RSA.
È possibile esportare la versione chiave o chiave solo utilizzando l'interfaccia CLI. Abbiamo incluso script di esempio a cui puoi fare riferimento. Gli script includono tutti i passi del processo di esportazione, dal wrapping del materiale chiave all'esportazione della chiave o della versione della chiave protetta dal software.
Se si utilizza MacOS o Linux, è necessario installare la serie OpenSSL 1.1.1 per eseguire i comandi. Se si prevede di utilizzare l'algoritmo di cifratura RSA che utilizza una chiave AES temporanea, è necessario applicare a OpenSSL anche una patch che la supporti, vedere Configurazione di OpenSSL per il materiale della chiave a capo. Se si utilizza Windows, sarà necessario installare Git Bash per Windows ed eseguire il comando con tale strumento.