Documentação do Oracle Cloud Infrastructure

Usando Sua própria Chave Principal com Dispositivos Roving Edge Infrastructure

Saiba como configurar uma chave principal baseada em KMS fornecida pelo usuário para gerenciar informações secretas em dispositivos Roving Edge Infrastructure.

Importante

Para dispositivos Roving Edge que são autoprovisionados, você gerencia a frase-senha da chave mestra e todas as senhas e a chave de recuperação. Armazene a frase-senha, a senha e a chave de recuperação em um local seguro, como o OCI Vault. Se você esquecer a frase-senha de desbloqueio e a chave de recuperação, a Oracle não poderá ajudá-lo a recuperar o dispositivo, e ele deverá ser substituído.

Em dispositivos Roving Edge mais antigos (dispositivos provisionados pela Oracle), a Oracle gerencia informações secretas em seus dispositivos Roving Edge Infrastructure, como a frase-senha do superusuário e a senha de desbloqueio, usando uma chave mestra baseada em KMS. A Oracle também usa um módulo de segurança de hardware para proteger ainda mais esses dados. No entanto, como alternativa a depender da chave mestra da Oracle para gerenciar esses dados secretos, você pode fornecer sua própria chave mestra baseada em KMS de sua própria tenancy do OCI.

Observação

Você só pode fornecer sua própria chave mestra ao criar o recurso de nó. Não é possível editar um recurso de nó existente para usar sua própria chave mestra que o recurso foi criado originalmente usando uma chave mestra fornecida pela Oracle.

Escrevendo a Política de Chave Principal

Para usar sua própria chave mestra, primeiro você deve criar uma política que autorize essa capacidade usando um dos seguintes métodos:

  • Usando a Console do Oracle Cloud Infrastructure:

    Crie a seguinte política:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = master-key-id

    em que master-key-id corresponde ao OCID da chave mestra na tenancy do cliente que é usado para criptografar informações secretas do cliente, como a senha do superusuário e desbloquear a frase-senha. Por exemplo:

    allow service rover to use keys in compartment ID compartment-id where target.key.id = 'ocid1.key.region1..exampleuniqueID'

  • Usando a CLI:

    Digite o seguinte comando:

    oci rover policy create-master-key-policy --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Por exemplo:

    oci rover policy create-master-key-policy --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Selecionando o Vault e a Chave Principal

Depois de gravar a política, selecione o vault e a chave mestra e os compartimentos nos quais eles residem usando um dos seguintes métodos:

  • Usando a Console do Oracle Cloud Infrastructure:

    Quando você cria um recurso de nó do Roving Edge Infrastructure usando a caixa de diálogo Criar na Console do Oracle Cloud Infrastructure, a seção Chave de Criptografia é exibida. Aqui você pode selecionar uma das seguintes opções:

    • Criptografar usando chaves gerenciadas pela Oracle: Escolha ter criptografia de chave gerenciada pelo serviço Oracle Cloud Infrastructure. Nenhuma outra ação é necessária.

    • Criptografar usando chaves gerenciadas pelo cliente: Escolha fornecer sua própria chave de criptografia.

      Se você optar por fornecer sua própria chave, a seção Chave de Criptografia exibirá os campos adicionais:

      • Compartimento do Vault: Selecione na lista o compartimento que contém o vault desejado.

      • Vault: Selecione um dos vaults na lista contida no compartimento do vault escolhido anteriormente.

      • Compartimento da Chave Principal de Criptografia: Selecione na lista o compartimento que contém a chave principal de criptografia que você deseja.

      • Chave Principal de Criptografia: Selecione uma das chaves principais de criptografia na lista dentro do valor da chave principal de criptografia escolhido anteriormente.

  • Usando a CLI:

    Inclua a opção master-key-id ao criar o recurso de nó do Roving Edge Infrastructure. Por exemplo:

    oci rover node create --display-name display_name --compartment-id compartment_ocid --shape shape --master-key-id master_key_ocid --policy-compartment-id policy_compartment_ocid --policy-name policy_name

    Por exemplo:

    oci rover node create --display-name 'test1' --compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --shape RED.2.56.GPU --master-key-id 'ocid1.key.region1..exampleuniqueID' --policy-compartment-id 'ocid1.tenancy.region1..exampleuniqueID' --policy-name 'test-policy'

Depois de configurar a política de chave mestra, o RCS é chamado para validar o acesso ao vault como parte da criação do nó.