Atribuindo Principais Chaves de Criptografia
Designe chaves de criptografia mestras a recursos suportados e remova-as quando não forem mais necessárias.
Em vez de usar uma chave de criptografia que a Oracle gerencia, você pode designar chaves de criptografia principais que você gerencia para bloquear ou inicializar volumes, bancos de dados, sistemas de arquivos, buckets e pools de streams. Volume em Blocos, Banco de Dados, Armazenamento de Arquivos, Armazenamento de Objetos e Streaming usam as chaves para decriptografar as chaves de criptografia de dados que protegem os dados armazenados por cada serviço respectivo. Por padrão, esses serviços dependem das chaves de criptografia mestras gerenciadas pela Oracle para operações criptográficas. Quando você remove uma atribuição de chave de criptografia principal do serviço Vault de um recurso, o serviço volta a usar uma chave gerenciada pela Oracle para criptografia.
Você também pode designar chaves de criptografia principais aos clusters que cria usando o Kubernetes Engine para criptografar segredos do Kubernetes em repouso no armazenamento de chave/valor do etcd.
A atribuição de chaves inclui as seguintes configurações:
- Criando uma Instância de Computação com um Volume de Inicialização Criptografado
- Criando um Volume de Inicialização Criptografado com uma chave do Vault
- Criando um Cluster do Kubernetes com Segredos Criptografados
- Designando uma Chave a um Bucket de Armazenamento de Objetos
- Designando uma chave a um pool de streams
- Designando uma Chave a um Volume de Inicialização
- Designando uma chave a um sistema de arquivos
- Designando uma Chave a um Volume em Blocos
- Editando uma Chave para um Volume de Inicialização
- Editando uma Chave para um Volume em Blocos
- Removendo uma Designação de Chave de um Volume em Blocos
- Removendo uma Designação de Chave de um Armazenamento de Objetos
Para obter informações sobre como gerenciar a criação e o uso de chaves de criptografia mestras e versões de chave, consulte Gerenciando Chaves. Para obter informações específicas sobre a criação de chaves com seu próprio material de chave, consulte Importando Chaves e Versões de Chave do Vault. Para obter informações sobre como usar chaves em operações criptográficas, consulte Usando Chaves. Para obter informações sobre o que você pode fazer com vaults onde armazena chaves, consulte Gerenciando Vaults.
Política Obrigatória do Serviço IAM
Chaves associadas a volumes, buckets, sistemas de arquivos, clusters e pools de streams não funcionarão, a menos que você autorize Volume em Blocos, Armazenamento de Objetos, Armazenamento de Arquivos, Kubernetes Engine e Streaming a usarem chaves em seu nome. Além disso, você também deve autorizar os usuários a delegarem o uso de chave a esses serviços antes de qualquer outra operação. Para obter mais informações, consulte Permitir que um grupo de usuários delegue o uso de chaves em um compartimento e Criar uma política para ativar chaves de criptografia em Políticas Comuns. As chaves associadas aos bancos de dados não funcionarão, a menos que você autorize um grupo dinâmico que inclua todos os nós do sistema de banco de dados a gerenciar chaves na tenancy. Para obter mais informações, consulte Política do Serviço IAM Obrigatória no Exadata Cloud Service
Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.
Para administradores: para políticas típicas que dão acesso a vaults, chaves e segredos, consulte Permitir que administradores de segurança gerenciem vaults, chaves e segredos. Para obter mais informações sobre permissões, ou se você precisar gravar políticas mais restritivas, consulte Detalhes do Serviço Vault.
Se você for iniciante em políticas, consulte Gerenciando Domínios de Identidades e Políticas Comuns.