Documentação do Oracle Cloud Infrastructure

Criando uma Chave Mestra de Criptografia

Saiba como criar uma chave de criptografia mestra no serviço Key Management do OCI.

Observe o seguinte ao criar chaves de criptografia principais:

  • Rotação automática: Ao criar uma chave de criptografia mestra em um vault privado virtual, você tem a opção de ativar a rotação automática de chaves. Consulte a seção Rotação Automática de Chaves do tópico Conceitos do Serviço Vault and Key Management para obter detalhes completos. Consulte Ativando e Atualizando a Rotação Automática de Chaves para obter instruções sobre como atualizar as definições de rotação automática.

  • Algoritmos disponíveis: Você pode selecionar entre os seguintes algoritmos ao criar uma chave:

    • AES: Chaves AES (Advanced Encryption Standard) são chaves simétricas que você pode usar para criptografar dados em repouso.
    • RSA: As chaves Rivest-Shamir-Adleman (RSA) são chaves assimétricas, também conhecidas como pares de chaves que consistem em uma chave pública e uma chave privada. Você pode usá-los para criptografar dados em trânsito, assinar dados e verificar a integridade dos dados assinados.
    • ECDSA: Chaves de algoritmo de assinatura digital (ECDSA) de criptografia de curva elíptica são chaves assimétricas que você pode usar para assinar dados e verificar a integridade dos dados assinados.

Para obter mais informações sobre chaves no serviço Key Management do OCI, consulte Chaves no tópico Conceitos do Serviço Vault and Key Management.

    1. Na página de lista Chaves de Criptografia Principais do vault que você está usando, selecione Criar Chave. Se precisar de ajuda para localizar a página da lista, consulte Listando Chaves.
    2. Selecione um compartimento para criar a chave. de
    3. Para Modo de Proteção, selecione uma das seguintes opções:
      • HSM: Selecione esta opção para criar uma chave de criptografia principal que é armazenada e processada em um módulo de segurança de hardware (HSM).
      • Software: Selecione esta opção para criar uma chave de criptografia mestra que seja armazenada e processada em um servidor.

      Não é possível alterar o modo de proteção de uma chave depois de criá-la. Para obter mais informações sobre chaves, incluindo informações sobre modos de proteção de chaves, consulte Conceitos do Serviço Vault and Key Management.

    4. Informe um nome para identificar a chave. Evite digitar informações confidenciais.
    5. Para Forma da Chave: Algoritmo, selecione um dos seguintes algoritmos:
      • AES: Chaves AES (Advanced Encryption Standard) são chaves simétricas que você pode usar para criptografar dados em repouso.
      • RSA: As chaves Rivest-Shamir-Adleman (RSA) são chaves assimétricas, também conhecidas como pares de chaves que consistem em uma chave pública e uma chave privada. Você pode usá-los para criptografar dados em trânsito, assinar dados e verificar a integridade dos dados assinados.
      • ECDSA: Chaves de algoritmo de assinatura digital (ECDSA) de criptografia de curva elíptica são chaves assimétricas que você pode usar para assinar dados e verificar a integridade dos dados assinados.
    6. Somente RSA. Se você tiver selecionado AES ou RSA, selecione o comprimento da forma da chave correspondente, em bits.
    7. Somente ECDSA. Se você selecionou ECDSA, selecione um valor para Forma da Chave: ID da Curva Elíptica.
    8. Somente chaves importadas. Para criar uma chave importando uma chave encapsulada publicamente, selecione Importar Chave Externa e forneça os seguintes detalhes:
      • Algoritmo de Encapsulamento: Selecione RSA_OAEP_AES_SHA256 (RSA-OAEP com um hash SHA-256 para uma chave AES temporária).
      • Origem de Dados da Chave Externa: Faça upload do arquivo que contém o material da chave RSA compactado.
    9. Opcional. Selecione Rotação automática para ativar a rotação automática de chaves. Observe que você pode editar definições de rotação automática após a criação da chave.
    10. Somente para rotação automática. Na seção Programação de Rotação Automática, forneça os seguintes detalhes:
      • Data inicial: Use o ícone de calendário para selecionar uma data para iniciar a programação de rotação de chaves. A rotação ocorre na data programada ou antes dela. Por exemplo, se você criar uma chave hoje ou atualizar uma chave existente e programar a data inicial da rotação automática como 10 de abril com um intervalo predefinido de 90 dias, a rotação automática começará em ou antes de 10 de julho (10 de abril + 90 dias).
        Observação

        O KMS garante que a rotação automática aconteça antes ou na conclusão do intervalo de rotação. A rotação pode iniciar até alguns dias antes do intervalo programado.
      • Intervalo de rotação: Selecione um intervalo predefinido no qual as chaves devem ser giradas. Por padrão, o intervalo é definido como 90 dias.
      • Personalizado: Opcional. Selecione esta opção para definir um intervalo de rotação personalizado entre 60 e 365 dias.
    11. Para aplicar tags, selecione Tags.
      Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
    12. Selecione Criar Chave.

  • Use o comando oci kms management key create e os parâmetros necessários para criar uma chave de criptografia mestra:

    oci kms management key create --compartment-id <target_compartment_ocid> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <kmsmanagement_control_plane_URL>

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Use a API CreateKey com o Ponto Final de Gerenciamento para criar uma nova chave de criptografia mestra.

    Observação

    O Ponto Final de Gerenciamento é usado para operações de gerenciamento, incluindo Criar, Atualizar, Listar, Obter e Excluir. O Ponto Final de Gerenciamento também é chamado de URL do plano de controle ou de ponto final KMSMANAGEMENT.

    O Ponto Final Criptográfico é usado para operações criptográficas, incluindo Criptografar, Decriptografar, Gerar Chave de Criptografia de Dados, Assinar e Verificar. O Ponto Final Criptográfico também é chamado de URL do plano de dados ou ponto final KMSCRYPTO.

    Você pode encontrar os pontos finais de gerenciamento e criptografia nos metadados de detalhes de um vault. Consulte Obtendo Detalhes de um Vault para obter instruções.

    Para pontos finais regionais para APIs de Gerenciamento de Chaves, Gerenciamento de Segredos e Recuperação de Segredos, consulte Referência de API e Pontos Finais.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.