Detalhes do Serviço de Vault
Detalhes do serviço Vault
Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao serviço Vault.
Tipos de Recursos Individuais
vaults
keys
key-delegate
hsm-cluster
secrets
secret-versions
secret-bundles
Agregar Tipo de Recurso
secret-family
Uma política que usa <verb> secret-family
é equivalente a gravar uma instrução <verb> <individual resource-type>
separada para cada um dos tipos de recursos de segredo individuais. (Os tipos de recursos secretos incluem apenas secrets
, secret-versions
e secret-bundles
.)
Consulte a tabela em Detalhes para Combinações de Verbo + Resource-Type para obter um detalhamento das operações da API abrangidas por cada verbo, para cada resource-type individual incluído em secret-family
.
Variáveis Suportadas
O serviço Vault suporta todas as variáveis gerais, além das listadas aqui. Para obter mais informações sobre variáveis gerais suportadas pelos serviços Oracle Cloud Infrastructure, consulte Variáveis Gerais para Todas as Solicitações.
Variável | Tipo de variável | Comentários |
---|---|---|
request.includePlainTextKey
|
String | Use esta variável para controlar se a chave de texto sem formatação será retornada além da chave criptografada em resposta a uma solicitação para gerar uma chave de criptografia de dados. |
request.kms-key.id
|
String | Use esta variável para controlar se volumes em blocos ou buckets podem ser criados sem uma chave de criptografia mestra do serviço Vault. |
target.boot-volume.kms-key.id
|
String | Use esta variável para controlar se as instâncias do serviço Compute podem ser iniciadas com volumes de inicialização que foram criados sem uma chave de criptografia mestra do serviço Vault. |
target.key.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a chaves específicas por OCID. |
target.vault.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a vaults específicos por OCID. |
target.secret.name
|
String | Use esta variável para controlar o acesso a segredos, versões de segredos e pacotes de segredos específicos por nome. |
target.secret.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a segredos, versões de segredos e pacotes de segredos específicos pelo OCID. |
Detalhes para Combinações de Verbo + Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect
> read
> use
> manage
. Por exemplo, um grupo que pode usar um recurso também pode inspecionar e ler esse recurso. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.
Por exemplo, o verbo use
do tipo de recurso keys
inclui as mesmas permissões e operações de API que o verbo read
, além das permissões KEY_ENCRYPT e KEY_DECRYPT e diversas operações de API (Encrypt
, Decrypt
e GenerateDataEncryptionKey
). O verbo manage
permite ainda mais permissões e operações de API em comparação com o verbo use
.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
VAULT_INSPECT |
ListVaults
|
none |
read |
INSPECT + VAULT_READ VAULT_READ |
INSPECT +
|
none |
use |
READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET |
sem extra |
|
manage |
USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | KEY_INSPECT |
|
none |
read | INSPECT + KEY_READ |
INSPECT +
|
none |
use | READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY |
READ +
|
none |
manage | USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE |
USE +
|
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
use | KEY_ASSOCIATE KEY_DISASSOCIATE |
|
none |
Verbos | Permissões | API totalmente coberta | API parcialmente coberta |
---|---|---|---|
Inspeção |
HSM_CLUSTER_INSPECT |
ListHsmClusters ListHsmPartitions |
Nenhum |
read |
HSM_CLUSTER_READ |
GetHsmCluster GetHsmPartition |
Nenhum |
use |
HSM_CLUSTER_UPDATE |
GetPreCoUserCredentials DownloadCertificateSigningRequest UpdateHsmCluster UploadPartitionCertificates |
Nenhum |
manage |
HSM_CLUSTER_DELETE HSM_CLUSTER_CREATE HSM_CLUSTER_MOVE |
CreateHsmCluster ChangeHsmClusterCompartment ScheduleHsmClusterDeletion CancelHsmClusterDeletion |
Nenhum |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | SECRET_INSPECT |
ListSecrets
|
none |
read | INSPECT + SECRET_READ |
INSPECT +
|
none |
use |
READ + SECRET_UPDATE SECRET_ROTATE |
READ +
|
READ +
|
manage | USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE |
USE +
|
USE +
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | SECRET_VERSION_INSPECT |
ListSecretVersions
|
none |
read | INSPECT + SECRET_VERSION_READ |
INSPECT +
|
none |
manage | READ + SECRET_VERSION_DELETE |
sem extra |
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | SECRET_BUNDLE_INSPECT |
ListSecretBundles
|
none |
read | INSPECT + SECRET_BUNDLE_READ |
INSPECT +
|
none |
Permissões Exigidas para Cada Operação de API
Permissão para operações da API do Vault.
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.
Para obter informações sobre permissões, consulte Permissões.
Operação da API | Permissões Necessárias para Usar a Operação |
---|---|
ListVaults
|
VAULT_INSPECT |
GetVault
|
VAULT_READ |
CreateVault
|
VAULT_CREATE |
UpdateVault
|
VAULT_UPDATE |
ScheduleVaultDeletion
|
VAULT_DELETE |
CancelVaultDeletion
|
VAULT_DELETE |
ChangeVaultCompartment
|
VAULT_MOVE |
BackupVault
|
VAULT_BACKUP |
RestoreVaultFromFile
|
VAULT_RESTORE |
RestoreVaultFromObjectStore
|
VAULT_RESTORE |
ListVaultReplicas |
VAULT_INSPECT |
CreateVaultReplica |
VAULT_REPLICATE |
DeleteVaultReplica |
VAULT_REPLICATE |
GetVaultUsage |
VAULT_READ |
ListKeys
|
KEY_INSPECT |
ListKeyVersions
|
KEY_INSPECT |
GetKey
|
KEY_READ |
CreateKey
|
KEY_CREATE e VAULT_CREATE_KEY |
EnableKey
|
KEY_UPDATE |
DisableKey
|
KEY_UPDATE |
UpdateKey
|
KEY_UPDATE |
ScheduleKeyDeletion
|
KEY_DELETE |
CancelKeyDeletion
|
KEY_DELETE |
ChangeKeyCompartment
|
KEY_MOVE |
BackupKey
|
KEY_BACKUP |
RestoreKeyFromFile
|
KEY_RESTORE |
RestoreKeyFromObjectStore
|
KEY_RESTORE |
GetKeyVersion
|
KEY_READ |
CreateKeyVersion
|
KEY_ROTATE |
ImportKey
|
KEY_IMPORT e VAULT_IMPORT_KEY |
ImportKeyVersion
|
KEY_IMPORT |
ExportKey
|
KEY_EXPORT |
GenerateDataEncryptionKey
|
KEY_ENCRYPT |
Encrypt
|
KEY_ENCRYPT |
Decrypt
|
KEY_DECRYPT |
Sign |
KEY_SIGN |
Verify |
KEY_VERIFY |
CreateSecret
|
SECRET_CREATE |
UpdateSecret
|
SECRET_UPDATE |
ListSecrets
|
SECRET_INSPECT |
GetSecret
|
SECRET_READ |
ScheduleSecretDeletion
|
SECRET_DELETE |
ChangeSecretCompartment
|
SECRET_MOVE e SECRET_UPDATE |
ListSecretVersions
|
SECRET_VERSION_INSPECT |
GetSecretVersion
|
SECRET_VERSION_READ |
ScheduleSecretVersionDeletion
|
SECRET_VERSION_DELETE e SECRET_UPDATE |
CancelSecretVersionDeletion
|
SECRET_VERSION_DELETE e SECRET_UPDATE |
ListSecretBundles
|
SECRET_BUNDLE_INSPECT |
GetSecretBundle
|
SECRET_BUNDLE_READ |
GetSecretBundleByName
|
SECRET_BUNDLE_READ |
CreateHsmCluster |
HSM_CLUSTER_CREATE |
GetHsmCluster |
HSM_CLUSTER_READ |
GetHsmPartition |
HSM_CLUSTER_READ |
GetPreCoUserCredentials |
HSM_CLUSTER_UPDATE |
DownloadCertificateSigningRequest |
HSM_CLUSTER_UPDATE |
UpdateHsmCluster |
HSM_CLUSTER_UPDATE |
ChangeHsmClusterCompartment |
HSM_CLUSTER_MOVE |
UploadPartitionOwnerCertificate |
HSM_CLUSTER_UPDATE |
ScheduleHsmClusterDeletion |
HSM_CLUSTER_DELETE |
CancelDeletion |
HSM_CLUSTER_DELETE |
ListHsmClusters |
HSM_CLUSTER_INSPECT |
ListHsmPartitions |
HSM_CLUSTER_INSPECT |