Importazione delle chiavi e delle versioni delle chiavi del vault
Quando si utilizza il materiale chiave importato, si rimane responsabili del materiale chiave consentendo al servizio Vault di utilizzarne una copia.
- Utilizza il materiale chiave generato da uno strumento o da una fonte in base alle tue esigenze.
- Utilizza lo stesso materiale chiave utilizzato su altri sistemi cloud o on-premise.
- Gestire il materiale chiave, la sua scadenza e l'eliminazione nel servizio Vault.
- Assumi il controllo e gestisci il materiale chiave al di fuori di Oracle Cloud Infrastructure per una maggiore durabilità e per scopi di ripristino.
| Tipo di chiave | Dimensione chiave supportata |
|---|---|
| Chiavi simmetriche: per cifrare o decifrare vengono utilizzate chiavi simmetriche basate sull'algoritmo AES (Advanced Encryption Standard). | È possibile importare chiavi AES con una delle seguenti lunghezze:
|
| Chiavi asimmetriche: le chiavi assimetriche basate su algoritmo Rivest-Shamir-Adleman (RSA) vengono utilizzate per cifrare, decifrare, firmare o verificare. | È possibile importare chiavi RSA con una delle seguenti lunghezze:
|
Le chiavi asimmetriche basate su ECDSA (Elliptic Curve Cryptography Digital Signature Algorithm) non possono essere importate.
La lunghezza del materiale chiave deve corrispondere a quanto specificato al momento della creazione o dell'importazione di una chiave. Inoltre, prima di poter importare una chiave, è necessario avvolgere il materiale della chiave utilizzando la chiave di wrapping pubblica fornita con ogni vault. La coppia di chiavi di wrapping del vault consente all'HSM di annullare il wrapping e memorizzare la chiave in modo sicuro. Per soddisfare la conformità del settore delle carte di pagamento (PCI), non è possibile importare una chiave di maggiore resistenza rispetto alla chiave utilizzata per avvolgerla.
Le chiavi di wrapping del vault sono chiavi RSA a 4096 bit. Pertanto, per soddisfare la conformità PCI, non è possibile importare chiavi AES di lunghezza superiore a 128 bit. Si noti che la chiave di wrapping viene creata al momento della creazione del vault ed è esclusiva per il vault. Tuttavia, non è possibile creare, eliminare o ruotare una chiave di wrapping.
Se si prevede di utilizzare l'interfaccia CLI per creare una nuova chiave esterna o una nuova versione della chiave esterna, il materiale della chiave deve essere codificato in base64.
Criteri IAM necessari
Le chiavi associate a volumi, bucket, file system, cluster e pool di flussi non funzioneranno a meno che non si autorizzi il volume a blocchi, lo storage degli oggetti, lo storage di file, il motore Kubernetes e lo streaming a utilizzare le chiavi per conto dell'utente. Inoltre, è necessario autorizzare gli utenti a delegare l'uso delle chiavi a questi servizi in primo luogo. Per ulteriori informazioni, vedere Consentire a un gruppo di utenti di delegare l'uso delle chiavi in un compartimento e Creare un criterio per abilitare le chiavi di cifratura in Criteri comuni. Le chiavi associate ai database funzioneranno solo se si autorizza un gruppo dinamico che include tutti i nodi del sistema DB a gestire le chiavi nella tenancy. Per ulteriori informazioni, vedere Criterio IAM obbligatorio in Exadata Cloud Service
Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.
Per gli amministratori: per i criteri tipici che consentono l'accesso a vault, chiavi e segreti, vedere Consentire agli amministratori della sicurezza di gestire vault, chiavi e segreti. Per ulteriori informazioni sulle autorizzazioni o se è necessario scrivere criteri più restrittivi, vedere Dettagli per il servizio vault.
Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni.
Informazioni preliminari
Per portare la propria chiave, è necessario avvolgere il materiale chiave utilizzando RSA - Optimal Asymmetric Encryption Padding (OAEP) prima di importarlo. La trasformazione del materiale chiave fornisce un ulteriore livello di protezione consentendo solo al modulo di sicurezza hardware (HSM) in possesso della chiave di wrapping RSA privata di estrarre la chiave.
| Tipo di chiave | Meccanismo di avvolgimento supportato |
|---|---|
| Chiave simmetrica (AES) |
|
| Chiave asimmetrica (RSA) | RSA_OAEP_AES_SHA256 (RSA-OAEP con un hash SHA-256 e una chiave AES temporanea) |
Per ottenere la chiave di wrapping RSA per un vault, vedere Come ottenere la chiave di wrapping RSA pubblica.
Se si utilizza MacOS o Linux, è necessario installare la serie OpenSSL 1.1.1 per eseguire i comandi. Se si prevede di utilizzare il wrapping RSA_OAEP_AES_SHA256, è necessario installare anche una patch OpenSSL che lo supporti. Vedere Configurazione di OpenSSL per il materiale chiave a capo. Se si utilizza Windows, sarà necessario installare Git Bash per Windows per eseguire comandi.