Documentação do Oracle Cloud Infrastructure

Exportando Chaves do Vault e Versões de Chaves

Saiba como exportar uma chave de criptografia mestra ou uma versão de chave protegida por software para executar operações criptográficas.

Após exportar uma chave, você poderá usá-la localmente e descartá-la da memória local para proteger o seu conteúdo. O uso de uma chave exportada localmente melhora a disponibilidade, a confiabilidade e a latência.

Observação

Você não pode exportar chaves protegidas por HSM do OCI KMS.

Política Obrigatória do Serviço IAM

Cuidado

Chaves associadas a volumes, buckets, sistemas de arquivos, clusters e pools de streams não funcionarão, a menos que você autorize Volume em Blocos, Armazenamento de Objetos, Armazenamento de Arquivos, Kubernetes Engine e Streaming a usarem chaves em seu nome. Além disso, você também deve autorizar os usuários a delegarem o uso de chave a esses serviços antes de qualquer outra operação. Para obter mais informações, consulte Permitir que um grupo de usuários delegue o uso de chaves em um compartimento e Criar uma política para ativar chaves de criptografia em Políticas Comuns. As chaves associadas aos bancos de dados não funcionarão, a menos que você autorize um grupo dinâmico que inclua todos os nós do sistema de banco de dados a gerenciar chaves na tenancy. Para obter mais informações, consulte Política do Serviço IAM Obrigatória no Exadata Cloud Service

Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.

Para administradores: para políticas típicas que dão acesso a vaults, chaves e segredos, consulte Permitir que administradores de segurança gerenciem vaults, chaves e segredos. Para obter mais informações sobre permissões, ou se você precisar gravar políticas mais restritivas, consulte Detalhes do Serviço Vault.

Se você for iniciante em políticas, consulte Gerenciando Domínios de Identidades e Políticas Comuns.

Antes de Começar

A exportação de uma chave requer que você gere seu próprio par de chaves RSA para encapsular e desencapsular o material da chave. Você pode usar a ferramenta de terceiros de sua escolha para gerar o par de chaves RSA.

Você pode exportar a chave ou a versão da chave usando apenas a CLI. Incluímos scripts de exemplo aos quais você pode fazer referência. Os scripts incluem todas as etapas do processo de exportação, desde o encapsulamento do material da chave até a exportação da chave protegida por software ou versão da chave.

Se você estiver usando o MacOS ou Linux, precisará instalar a série OpenSSL 1.1.1 para executar os comandos. Se você planeja usar o algoritmo de criptografia RSA que usa uma chave AES temporária, também deverá aplicar patch a OpenSSL com um patch que o suporte, consulte Configurando OpenSSL para Encapsular o Material da Chave. Se você estiver usando o Windows, precisará instalar o Git Bash para Windows e executar comandos com essa ferramenta.