Criando uma Chave Mestra de Criptografia

Saiba como criar uma chave de criptografia mestra no serviço Key Management do OCI.

Observe o seguinte ao criar chaves de criptografia principais:

  • Rotação automática: Ao criar uma chave de criptografia mestra em um vault privado virtual, você tem a opção de ativar a rotação automática de chaves. Consulte a seção Rotação Automática de Chaves do tópico Conceitos de Gerenciamento de Chaves e Segredos para obter detalhes completos. Consulte Ativando e Atualizando a Rotação Automática de Chaves para obter instruções sobre como atualizar as definições de rotação automática.

  • Algoritmos disponíveis: Você pode selecionar entre os seguintes algoritmos ao criar uma chave:

    • AES: Chaves AES (Advanced Encryption Standard) são chaves simétricas que você pode usar para criptografar dados em repouso.
    • RSA: As chaves Rivest-Shamir-Adleman (RSA) são chaves assimétricas, também conhecidas como pares de chaves que consistem em uma chave pública e uma chave privada. Você pode usá-los para criptografar dados em trânsito, assinar dados e verificar a integridade dos dados assinados.
    • ECDSA: Chaves de algoritmo de assinatura digital (ECDSA) de criptografia de curva elíptica são chaves assimétricas que você pode usar para assinar dados e verificar a integridade dos dados assinados.

Para obter mais informações sobre chaves no serviço Key Management do OCI, consulte Chaves no tópico Conceitos de Gerenciamento de Chaves e Segredos.

    1. Na página de lista Chaves de Criptografia Principais do vault que você está usando, selecione Criar Chave. Se precisar de ajuda para localizar a página da lista, consulte Listando Chaves.
    2. Selecione um compartimento para criar a chave. de
    3. Para Modo de Proteção, selecione uma das seguintes opções:
      • HSM: Selecione esta opção para criar uma chave de criptografia principal que é armazenada e processada em um módulo de segurança de hardware (HSM).
      • Software: Selecione esta opção para criar uma chave de criptografia mestra que seja armazenada e processada em um servidor.

      Não é possível alterar o modo de proteção de uma chave depois de criá-la. Para obter mais informações sobre chaves, inclusive informações sobre modos de proteção de chaves, consulte Conceitos de Gerenciamento de Chaves e Segredos.

    4. Informe um nome para identificar a chave. Evite digitar informações confidenciais.
    5. Para Forma da Chave: Algoritmo, selecione um dos seguintes algoritmos:
      • AES: Chaves AES (Advanced Encryption Standard) são chaves simétricas que você pode usar para criptografar dados em repouso.
      • RSA: As chaves Rivest-Shamir-Adleman (RSA) são chaves assimétricas, também conhecidas como pares de chaves que consistem em uma chave pública e uma chave privada. Você pode usá-los para criptografar dados em trânsito, assinar dados e verificar a integridade dos dados assinados.
      • ECDSA: Chaves de algoritmo de assinatura digital (ECDSA) de criptografia de curva elíptica são chaves assimétricas que você pode usar para assinar dados e verificar a integridade dos dados assinados.
    6. Somente RSA. Se você selecionou AES ou RSA, selecione o tamanho da forma da chave correspondente, em bits.
    7. Somente ECDSA. Se você selecionou ECDSA, selecione um valor para Forma da Chave: ID da Curva Elíptica.
    8. Somente chaves importadas. Para criar uma chave importando uma chave encapsulada publicamente, selecione Importar Chave Externa e forneça os seguintes detalhes:
      • Algoritmo de Encapsulamento: Selecione RSA_OAEP_AES_SHA256 (RSA-OAEP com um hash SHA-256 para uma chave AES temporária).
      • Origem de Dados da Chave Externa: Faça upload do arquivo que contém o material da chave RSA compactado.
    9. Opcional. Selecione Rotação automática para ativar a rotação automática de chaves. Observe que você pode editar definições de rotação automática após a criação da chave.
    10. Somente para rotação automática. Na seção Programação de Rotação Automática, forneça os seguintes detalhes:
      • Data inicial: Use o ícone de calendário para selecionar uma data para iniciar a programação de rotação de chaves. A rotação ocorre na data programada ou antes dela. Por exemplo, se você criar uma chave hoje ou atualizar uma chave existente e programar a data inicial da rotação automática como 10 de abril com um intervalo predefinido de 90 dias, a rotação automática começará em ou antes de 10 de julho (10 de abril + 90 dias).
        Observação

        O KMS garante que a rotação automática aconteça antes ou na conclusão do intervalo de rotação. A rotação pode iniciar até alguns dias antes do intervalo programado.
      • Intervalo de rotação: Selecione um intervalo predefinido no qual as chaves devem ser giradas. Por padrão, o intervalo é definido como 90 dias.
      • Personalizado: Opcional. Selecione esta opção para definir um intervalo de rotação personalizado entre 60 e 365 dias.
    11. Para aplicar tags, selecione Tags.
      Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
    12. Selecione Criar Chave.
  • Use o comando oci kms management key create e os parâmetros necessários para criar uma chave de criptografia mestra:

    oci kms management key create --compartment-id <target_compartment_ocid> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <kmsmanagement_control_plane_URL>

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Use a API CreateKey com o Ponto Final de Gerenciamento para criar uma nova chave de criptografia mestra.

    Observação

    O Ponto Final de Gerenciamento é usado para operações de gerenciamento, incluindo Criar, Atualizar, Listar, Obter e Excluir. O Ponto Final de Gerenciamento também é chamado de URL do plano de controle ou de ponto final KMSMANAGEMENT.

    O Ponto Final Criptográfico é usado para operações criptográficas, incluindo Criptografar, Decriptografar, Gerar Chave de Criptografia de Dados, Assinar e Verificar. O Ponto Final Criptográfico também é chamado de URL do plano de dados ou ponto final KMSCRYPTO.

    Você pode encontrar os pontos finais de gerenciamento e criptografia nos metadados de detalhes de um vault. Consulte Obtendo Detalhes de um Vault para obter instruções.

    Para pontos finais regionais para APIs de Gerenciamento de Chaves, Gerenciamento de Segredos e Recuperação de Segredos, consulte Referência de API e Pontos Finais.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.