Documentazione di Oracle Cloud Infrastructure

Utilizzo della propria chiave master con i dispositivi dell'infrastruttura Roving Edge

Scopri come impostare una chiave master basata su KMS fornita dall'utente per gestire le informazioni segrete sui dispositivi dell'infrastruttura Roving Edge.

Importante

Per i dispositivi Roving Edge di cui è stato eseguito il provisioning automatico, è possibile gestire la passphrase della chiave master, tutte le password e la chiave di recupero. Memorizzare la passphrase, la password e la chiave di recupero in un luogo sicuro, ad esempio OCI Vault. Se si dimenticano la passphrase di sblocco e la chiave di recupero, Oracle non può aiutarti a recuperare il dispositivo e il dispositivo deve essere sostituito.

Sui dispositivi Roving Edge meno recenti (dispositivi di cui Oracle ha eseguito il provisioning), Oracle gestisce le informazioni segrete sui dispositivi dell'infrastruttura Roving Edge, quali la passphrase del superutente e la password di sblocco, utilizzando una chiave master basata su KMS. Oracle utilizza anche un modulo di sicurezza hardware per proteggere ulteriormente questi dati. Tuttavia, come alternativa all'utilizzo della chiave master di Oracle per gestire questi dati segreti, puoi fornire la tua chiave master basata su KMS dalla tua tenancy OCI.

Nota

È possibile fornire la propria chiave principale solo quando si crea la risorsa nodo. Impossibile modificare una risorsa nodo esistente per utilizzare la propria chiave principale. La risorsa è stata originariamente creata utilizzando una chiave principale fornita da Oracle.

Scrittura del criterio chiave principale

Per utilizzare la propria chiave master, è innanzitutto necessario scrivere un criterio che autorizzi questa funzionalità utilizzando uno dei metodi riportati di seguito.

  • Utilizzando la console di Oracle Cloud Infrastructure:

    Creare il seguente criterio:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = master-key-id

    dove master-key-id è l'OCID della chiave master nella tenancy del cliente utilizzato per cifrare le informazioni segrete del cliente, ad esempio la password del superutente e la passphrase di sblocco. Ad esempio:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = 'ocid1.key.region1..exampleuniqueID'

  • Utilizzando l'interfaccia CLI:

    Immettere il seguente comando:

    oci rover policy create-master-key-policy --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Ad esempio:

    oci rover policy create-master-key-policy --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Selezione del vault e della chiave master

Dopo aver scritto il criterio, selezionare il vault e la chiave master e i compartimenti in cui risiedono utilizzando uno dei metodi riportati di seguito.

  • Utilizzando la console di Oracle Cloud Infrastructure:

    Quando si crea una risorsa nodo dell'infrastruttura Roving Edge utilizzando la finestra di dialogo Crea nella console di Oracle Cloud Infrastructure, viene visualizzata la sezione Chiave di cifratura. Qui è possibile selezionare una delle seguenti opzioni:

    • Cifra utilizzando chiavi gestite da Oracle: scegliere di gestire la cifratura delle chiavi dal servizio Oracle Cloud Infrastructure. Nessuna altra azione richiesta.

    • Cifra mediante chiavi gestite dal cliente: scegliere di fornire la propria chiave di cifratura.

      Se si sceglie di fornire la propria chiave, nella sezione Chiave di cifratura vengono visualizzati i campi aggiuntivi riportati di seguito.

      • Compartimento vault: selezionare il compartimento contenente il vault desiderato dalla lista.

      • Vault: selezionare uno dei vault dalla lista contenuta nel compartimento vault scelto in precedenza.

      • Compartimento chiave di cifratura master: selezionare dalla lista il compartimento contenente la chiave di cifratura master desiderata.

      • Chiave di cifratura master: selezionare una delle chiavi di cifratura master dall'elenco all'interno del valore della chiave di cifratura master scelto in precedenza.

  • Utilizzando l'interfaccia CLI:

    Includere l'opzione master-key-id quando si crea la risorsa nodo dell'infrastruttura Roving Edge. Ad esempio:

    oci rover node create --display-name display_name --compartment-id compartment_ocid --shape shape --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Ad esempio:

    oci rover node create --display-name 'test1' --compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --shape RED.2.56.GPU --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Dopo aver impostato il criterio della chiave master, viene richiamato RCS per convalidare l'accesso al vault durante la creazione del nodo.