Documentação do Oracle Cloud Infrastructure

Gerenciando Autoridades de Certificação

Use o serviço Certificates para criar e gerenciar as autoridades de certificação que emitem certificados digitais.

As tarefas de gerenciamento da autoridade de certificação (CA) incluem:

Cada CA tem uma ou mais versões de CA. Dessa forma, o gerenciamento da CA também inclui as seguintes tarefas específicas às versões da CA:

Política Obrigatória do Serviço IAM

Para usar o Oracle Cloud Infrastructure, você deve receber acesso à segurança em uma política (IAM) por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou está não autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento você deve trabalhar.

Para algumas operações, o serviço Certificados também requer que os recursos tenham acesso de segurança não concedido por políticas que cobrem usuários ou grupos. Esta seção descreve como autorizar usuários e recursos que devem atuar em outros recursos.

Etapa 1: Criar um Grupo Dinâmico

Antes de configurar uma política para trabalhar com CAs, primeiro você deve criar um grupo dinâmico com a seguinte regra de correspondência:
resource.type='certificateauthority'

Essa regra de correspondência define um grupo dinâmico que inclui todas as CAs como membros. Você precisa desse grupo dinâmico para autorizar as CAs a fazer chamadas de API com outros serviços, conforme necessário. As CAs geralmente precisam de permissão para acessar os recursos do Oracle Cloud Infrastructure Vault e do Oracle Cloud Infrastructure Object Storage. Para obter mais informações sobre grupos dinâmicos, consulte Gerenciando Grupos Dinâmicos.

Etapa 2: Criar uma Política para o Grupo Dinâmico

Depois de criar o grupo dinâmico, você cria uma política para o grupo dinâmico. Na política a seguir, o grupo dinâmico tem o nome de exemplo CertificateAuthority-DG. A política concede aos membros do grupo dinâmico permissão para usar chaves do serviço Vault e fazer algo com objetos do serviço Object Storage nos compartimentos de exemplo especificados. Esse tipo de política é conhecido como política de controlador de recursos porque autoriza um recurso como um ator de principal que pode atuar em outros recursos.

Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZ

Etapa 3: Adicionar uma Política para Administradores

Você também precisa de uma política para autorizar os administradores a acessar recursos. A política a seguir concede permissão ao grupo de exemplo CertificateAuthorityAdmins para fazer qualquer coisa com os recursos incluídos no tipo de recurso agregado certificate-authority-family e para trabalhar com os recursos necessários dos serviços Vault e Object Storage nos compartimentos de exemplo especificados, conforme necessário. Isso inclui as permissões necessárias para especificar a chave de criptografia da CA.

Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEF

Juntas, essas instruções fornecem o acesso mínimo necessário para concluir tarefas administrativas com autoridades de certificação, conforme descrito posteriormente neste tópico. Para obter mais informações sobre permissões ou se você precisar gravar políticas menos restritivas, consulte Detalhes do Serviço Certificates. Se você não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.