Documentazione di Oracle Cloud Infrastructure

Creazione di una chiave di cifratura master

Scopri come creare una chiave di cifratura master nel servizio Key Management di OCI.

Durante la creazione delle chiavi di cifratura master, tenere presente quanto riportato di seguito.

  • Rotazione automatica: quando si crea una chiave di cifratura master in un vault privato virtuale, è possibile abilitare la rotazione automatica delle chiavi. Per informazioni dettagliate complete, vedere la sezione Rotazione automatica delle chiavi dell'argomento Concetti di gestione di chiavi e segreti. Per istruzioni sull'aggiornamento delle impostazioni di rotazione automatica, vedere Abilitazione e aggiornamento della rotazione automatica dei tasti.

  • Algoritmi disponibili: è possibile selezionare uno dei seguenti algoritmi quando si crea una chiave:

    • AES: le chiavi AES (Advanced Encryption Standard) sono chiavi simmetriche che è possibile utilizzare per cifrare i dati in archivio.
    • RSA: le chiavi Rivest-Shamir-Adleman (RSA) sono chiavi asimmetriche, note anche come coppie di chiavi costituite da una chiave pubblica e una chiave privata. È possibile utilizzarli per cifrare i dati in transito, firmare i dati e verificare l'integrità dei dati firmati.
    • ECDSA: le chiavi dell'algoritmo di firma digitale per la crittografia della curva ellittica (ECDSA) sono chiavi asimmetriche che è possibile utilizzare per firmare i dati e per verificare l'integrità dei dati firmati.

Per ulteriori informazioni sulle chiavi nel servizio Key Management di OCI, vedere Keys nell'argomento Key and Secret Management Concepts.

    1. Nella pagina di elenco Chiavi di cifratura principali per il vault in uso, selezionare Crea chiave. Per assistenza nella ricerca della pagina di elenco, vedere Lista delle chiavi.
    2. Selezionare un compartimento per creare la chiave.
    3. In Modalità di protezione selezionare una delle opzioni riportate di seguito.
      • HSM: selezionare questa opzione per creare una chiave di cifratura master memorizzata ed elaborata in un modulo di sicurezza hardware (HSM).
      • Software: selezionare questa opzione per creare una chiave di cifratura master memorizzata ed elaborata su un server.

      Non è possibile modificare la modalità di protezione di una chiave dopo averla creata. Per ulteriori informazioni sulle chiavi, incluse le informazioni sulle modalità di protezione delle chiavi, vedere Concetti di gestione delle chiavi e dei segreti.

    4. Immettere un nome per identificare la chiave. Evitare di inserire informazioni riservate.
    5. Per Forma chiave: algoritmo, selezionare uno degli algoritmi riportati di seguito.
      • AES: le chiavi AES (Advanced Encryption Standard) sono chiavi simmetriche che è possibile utilizzare per cifrare i dati in archivio.
      • RSA: le chiavi Rivest-Shamir-Adleman (RSA) sono chiavi asimmetriche, note anche come coppie di chiavi costituite da una chiave pubblica e una chiave privata. È possibile utilizzarli per cifrare i dati in transito, firmare i dati e verificare l'integrità dei dati firmati.
      • ECDSA: le chiavi dell'algoritmo di firma digitale per la crittografia della curva ellittica (ECDSA) sono chiavi asimmetriche che è possibile utilizzare per firmare i dati e per verificare l'integrità dei dati firmati.
    6. Solo RSA. Se è stata selezionata l'opzione AES o RSA, selezionare la lunghezza della forma della chiave corrispondente in bit.
    7. Solo ECDSA. Se è stata selezionata l'opzione ECDSA, selezionare un valore per Forma chiave: ID curva ellittica.
    8. Solo chiavi importate. Per creare una chiave importando una chiave con wrapping pubblico, selezionare Importa chiave esterna e fornire i dettagli riportati di seguito.
      • Algoritmo di wrapping: selezionare RSA_OAEP_AES_SHA256 (RSA-OAEP con un hash SHA-256 per una chiave AES temporanea).
      • Origine dati chiave esterna: caricare il file contenente il materiale della chiave RSA con wrapping.
    9. Facoltativo. Selezionare Rotazione automatica per abilitare la rotazione automatica delle chiavi. Si noti che è possibile modificare le impostazioni di rotazione automatica dopo la creazione della chiave.
    10. Solo per la rotazione automatica. Nella sezione Programma di rotazione automatica, fornire i seguenti dettagli:
      • Data inizio: utilizzare l'icona del calendario per selezionare una data per iniziare la pianificazione della rotazione delle chiavi. La rotazione avviene in corrispondenza o prima della data programmata. Ad esempio, se si crea una chiave oggi o si aggiorna una chiave esistente e si pianifica la data di inizio della rotazione automatica come 10 aprile con un intervallo predefinito di 90 giorni, la rotazione automatica inizia il o prima del 10 luglio (10 aprile + 90 giorni).
        Nota

        KMS garantisce che la rotazione automatica avvenga al momento o prima della conclusione dell'intervallo di rotazione. La rotazione può iniziare fino a pochi giorni prima dell'intervallo pianificato.
      • Intervallo di rotazione: selezionare un intervallo predefinito entro il quale ruotare le chiavi. Per impostazione predefinita, l'intervallo è impostato su 90 giorni.
      • Personalizzato: facoltativo. Selezionare questa opzione per impostare un intervallo di rotazione personalizzato compreso tra 60 e 365 giorni.
    11. Per applicare le tag, selezionare Tag.
      Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare le tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
    12. Selezionare Crea chiave.

  • Utilizzare il comando oci kms management key create e i parametri richiesti per creare una chiave di cifratura master:

    oci kms management key create --compartment-id <target_compartment_ocid> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <kmsmanagement_control_plane_URL>

    Per un elenco completo dei parametri e dei valori per i comandi della CLI, vedere il manuale CLI Command Reference.

  • Utilizzare l'interfaccia API CreateKey con l'endpoint di gestione per creare una nuova chiave di cifratura master.

    Nota

    L'endpoint di gestione viene utilizzato per le operazioni di gestione, tra cui Crea, Aggiorna, Elenca, Recupera ed Elimina. L'endpoint di gestione è anche denominato URL del piano di controllo o endpoint KMSMANAGEMENT.

    L'endpoint crittografico viene utilizzato per operazioni di crittografia tra cui Cifra, Decifra, Genera chiave di cifratura dati, Firma e Verifica. L'endpoint crittografico viene anche definito URL del piano dati o endpoint KMSCRYPTO.

    È possibile trovare gli endpoint di gestione e crittografici nei metadati dei dettagli di un vault. Per istruzioni, vedere Recupero dei dettagli di un vault.

    Per gli endpoint regionali per le API di gestione delle chiavi, gestione dei segreti e recupero dei segreti, vedere Riferimento e endpoint delle API.

    Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.