Criando uma Chave Mestra de Criptografia

Crie uma chave principal de criptografia do vault.

• Console
• CLI
• API

• 1. Abra o menu de navegação, clique em Identidade e Segurança e, em seguida, clique em Vault.
  2. Em Escopo da lista, selecione um compartimento que contenha o vault que contém a chave que você deseja criar.
  3. Clique no nome do vault no qual você deseja criar a chave.

     Se você precisar criar um novo vault para a chave, siga as instruções em Criar Vault e, em seguida, clique no nome do vault.

  4. Em Recursos, clique em Principais Chaves de Criptografia e, em seguida, clique em Criar Chave.
  5. Clique em Chaves de Criptografia Principais e, em seguida, clique em Criar Chave. As chaves também podem existir em outro compartimento, em seguida, no vault.
  6. Para Modo de Proteção, selecione uma das seguintes opções:
     • Para criar uma chave de criptografia principal que é armazenada e processada em um módulo de segurança de hardware (HSM), escolha HSM.
     • Para criar uma chave de criptografia mestra armazenada e processada em um servidor, escolha Software.

     Não é possível alterar o modo de proteção de uma chave após criá-la. Para obter mais informações sobre chaves, incluindo informações sobre modos de proteção de chaves, consulte Conceitos de Gerenciamento de Chaves e Segredos.

  7. Informe um nome para identificar a chave. Evite digitar informações confidenciais.
  8. Para Forma da Chave: Algoritmo, selecione um dos seguintes algoritmos:
     • AES. As chaves AES (Advanced Encryption Standard) são chaves simétricas que você pode usar para criptografar dados em repouso.
     • RSA. As chaves Rivest-Shamir-Adleman (RSA) são chaves assimétricas, também conhecidas como pares de chaves que consistem em uma chave pública e uma chave privada. Você pode usá-los para criptografar dados em trânsito, assinar dados e verificar a integridade dos dados assinados.
     • ECDSA. As chaves do algoritmo de assinatura digital de criptografia de curva elíptica (ECDSA) são chaves assimétricas que você pode usar para assinar dados e verificar a integridade dos dados assinados.
  9. Se você selecionou AES ou RSA, selecione o tamanho de forma de chave correspondente em bits.
  10. Se você selecionou ECDSA, selecione um valor para Forma da Chave: ID da Curva Elíptica.
  11. Para criar uma chave importando uma chave encapsulada publicamente, marque a caixa de seleção Importar Chave Externa e forneça os seguintes detalhes:
      • Informações da Chave de Encapsulamento. Esta seção é somente leitura, mas você pode exibir os detalhes da chave de encapsulamento pública.
      • Algoritmo de Encerramento. Selecione RSA_OAEP_AES_SHA256 (RSA-OAEP com um SHA-256 com uma chave AES temporária).
      • Origem de Dados da Chave Externa. Faça upload do arquivo que contém o material da chave RSA encapsulado.
  12. Marque a caixa de seleção Rotação automática para ativar a rotação automática de chaves.
  13. Na seção Programação de Rotação Automática, forneça os seguintes detalhes:
      • Data inicial. Use o ícone de calendário para selecionar uma data para iniciar a programação de rotação de chaves. A rotação ocorre aproximadamente na data programada ou antes dela. Por exemplo, se você criar uma chave hoje ou atualizar uma chave existente, programar a data inicial de rotação automática como 10 de abril com um intervalo predefinido de 90 dias, a rotação automática começará aproximadamente em ou antes de July10 (10 de abril + 90 dias).
        Observação
        
        O KMS garante que a rotação automática aconteça no intervalo de rotação ou antes dele, mesmo que isso signifique iniciar a rotação alguns dias antes do intervalo programado.
      • Intervalo de rotação. Selecione um intervalo predefinido no qual as chaves devem ser giradas. Por padrão, o intervalo é definido como 90 dias. Para personalizar o intervalo de rotação, você pode selecionar Personalizado.
      • Intervalo de Rotação Personalizado. Informe um intervalo personalizado (entre 60 e 365 dias) diferente do intervalo de rotação predefinido.

      Observação
      
      No entanto, você sempre pode editar as definições de rotação automática após a criação da chave.
  14. Opcionalmente, para aplicar tags, clique em Mostrar opções avançadas.
      Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  15. clique em Criar Chave.

• Abra um prompt de comando e execute o comando key create para criar uma nova chave:

  oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <control_plane_url> --is-auto-rotation-enabled <true | false> --auto-key-rotation-details <schedule_interval_information>

  Por exemplo, em uma máquina MacOS ou Linux:

  
  oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com --is-auto-rotation-enabled enabled --auto-key-rotation-details '{"rotationIntervalInDays": 90, "timeOfScheduleStart": "2024-02-20T00:00:00Z"}' 

  Ou, por exemplo, em uma máquina Windows:

  
  oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

  Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comando da CLI do KMS.

  
  oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --protection-mode SOFTWARE --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

  Para obter uma lista completa dos parâmetros e valores dos comandos da CLI, consulte a Referência de Comandos da CLI.

• Execute a operação CreateKey para criar uma nova chave de criptografia mestra do vault usando o ponto final KMSMANAGMENT.

  Você pode ver a operação CreateKeyDetails para obter detalhes da chave que deseja criar.

  Observação
  
  Cada região usa o ponto final KMSMANAGMENT para gerenciar chaves. Este ponto final é chamado de URL do plano de controle ou ponto final de gerenciamento de vault. Para pontos finais regionais, consulte a Documentação da API.

  Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.