Documentação do Oracle Cloud Infrastructure

Importando Chaves do Vault e Versões de Chaves

Ao usar o material da chave importado, você permanece responsável pelo material da chave enquanto permite que o serviço Vault use uma cópia dele.

Você pode querer "trazer sua própria chave" (BYOK) para:
  • Use material-chave gerado por uma ferramenta ou origem com base em seus requisitos.
  • Use o mesmo material de chaves usado em outros sistemas locais ou na nuvem.
  • Gerencie o material da chave, sua expiração e exclusão no serviço Vault.
  • Possua e gerencie o material-chave fora do Oracle Cloud Infrastructure para maior durabilidade e para fins de recuperação.
Ao criar uma chave ou versão da chave, você pode importar o próprio material da chave, em vez de permitir que o serviço Vault gere o material da chave internamente.
Você pode importar os seguintes tipos de chave e formas de chave para um vault do OCI:
Tipos de Chave e Tamanhos de Chave Suportados
Tipo de Chave Tamanho da Chave Suportado
Chaves Simétricas: As chaves simétricas baseadas no algoritmo AES (Advanced Encryption Standard) são usadas para criptografar ou decriptografar. Você pode importar chaves AES com qualquer um dos seguintes comprimentos:
  • 128 bits (16 bytes)
  • 192 bits (24 bytes)
  • 256 bits (32 bytes)
Chaves Assimétricas: As chaves assimétricas baseadas no algoritmo Rivest-Shamir-Adleman (RSA) são usadas para criptografar, decriptografar, assinar ou verificar. Você pode importar chaves RSA com qualquer um dos seguintes comprimentos:
  • 2048 bits (256 bytes)
  • 3072 bits (384 bytes)
  • 4096 bits (512 bytes)
Observação

As chaves assimétricas baseadas em ECDSA (Elliptic Curve Cryptography Digital Signature Algorithm) não podem ser importadas.

O tamanho do material da chave deve corresponder ao que você especificou no momento da criação ou importação de uma chave. Além disso, para poder importar uma chave, você deve encapsular o material da chave usando a chave de encapsulamento pública fornecida com cada vault. O par de chaves de encapsulamento do vault permite que o HSM desencapsule e armazene a chave com segurança. Para atender à conformidade do setor de cartões de pagamento (PCI), não é possível importar uma chave de maior força do que a chave usada para encapsulá-la.

As chaves de encapsulamento do vault são chaves RSA de 4096 bits. Dessa forma, para atender à conformidade com PCI, não é possível importar chaves AES com mais de 128 bits. Observe que a chave de encapsulamento é criada no momento da criação do vault e é exclusiva do vault. No entanto, você não pode criar, excluir ou girar uma chave de encapsulamento.

Se você planeja usar a CLI para criar uma nova chave externa ou uma versão de chave externa, o material da chave deverá ser codificado em base64.

Política Obrigatória do Serviço IAM

Cuidado

Chaves associadas a volumes, buckets, sistemas de arquivos, clusters e pools de streams não funcionarão, a menos que você autorize Volume em Blocos, Armazenamento de Objetos, Armazenamento de Arquivos, Kubernetes Engine e Streaming a usarem chaves em seu nome. Além disso, você também deve autorizar os usuários a delegarem o uso de chave a esses serviços antes de qualquer outra operação. Para obter mais informações, consulte Permitir que um grupo de usuários delegue o uso de chaves em um compartimento e Criar uma política para ativar chaves de criptografia em Políticas Comuns. As chaves associadas aos bancos de dados não funcionarão, a menos que você autorize um grupo dinâmico que inclua todos os nós do sistema de banco de dados a gerenciar chaves na tenancy. Para obter mais informações, consulte Política do Serviço IAM Obrigatória no Exadata Cloud Service

Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.

Para administradores: para políticas típicas que dão acesso a vaults, chaves e segredos, consulte Permitir que administradores de segurança gerenciem vaults, chaves e segredos. Para obter mais informações sobre permissões, ou se você precisar gravar políticas mais restritivas, consulte Detalhes do Serviço Vault.

Se você for iniciante em políticas, consulte Gerenciando Domínios de Identidades e Políticas Comuns.

Antes de Começar

Para trazer sua própria chave, você deve encapsular o material da chave usando RSA - OAEP (Optimal Asymmetric Encryption Padding) antes de importá-lo. A transformação do material da chave fornece uma camada adicional de proteção, tornando possível que apenas o HSM (hardware security module) esteja na posse da chave de encapsulamento RSA privada para desencapsular a chave.

O serviço Vault suporta os seguintes mecanismos de encapsulamento com base no tipo de chave:
Tipo de Chave Mecanismo de Encapsulamento Suportado
Chave simétrica (AES)
  • RSA_OAEP_SHA256 (RSA-OAEP com um hash SHA-256)
  • RSA_OAEP_AES_SHA256 (RSA-OAEP com um hash SHA-256 e uma chave AES temporária)
Chave assimétrica (RSA) RSA_OAEP_AES_SHA256 (RSA-OAEP com um hash SHA-256 e uma chave AES temporária)

Para obter a chave RSA de encapsulamento de um vault, consulte Obtendo a Chave Pública de Encapsulamento RSA.

Se você estiver usando o MacOS ou Linux, precisará instalar a série OpenSSL 1.1.1 para executar os comandos. Se você planeja usar o encapsulamento RSA_OAEP_AES_SHA256, também deverá instalar um patch OpenSSL que o suporte, consulte Configurando OpenSSL para Encapsular o Material da Chave. Se estiver usando Windows, você precisará instalar o Git Bash para Windows para executar comandos.