Documentação do Oracle Cloud Infrastructure

Autoridades de Certificação

Use Certificados para criar e gerenciar as autoridades responsáveis por certificados (CAs) que emitem certificados digitais.

As tarefas de gerenciamento de autoridade de certificação incluem o seguinte:

Cada autoridade certificadora tem uma ou mais versões. Dessa forma, o gerenciamento de autoridade de certificação também inclui as seguintes tarefas específicas para versões de autoridade de certificação:

Política Obrigatória do Serviço IAM

Para usar o Oracle Cloud Infrastructure, você deve receber acesso à segurança em uma política (IAM) por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou está não autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento você deve trabalhar.

Para algumas operações, o serviço Certificados também requer que os recursos tenham acesso de segurança não concedido por políticas que cobrem usuários ou grupos. Esta seção descreve como autorizar usuários e recursos que devem atuar em outros recursos.

Etapa 1: Criar um Grupo Dinâmico

Antes de configurar uma política para trabalhar com autoridades de certificação, primeiro você deve criar um grupo dinâmico com a seguinte regra de correspondência:
resource.type='certificateauthority'

Esta regra de correspondência define um grupo dinâmico que inclui todas as autoridades de certificação como membros. Você precisa desse grupo dinâmico para autorizar as autoridades de certificação a fazer chamadas da API em outros serviços, conforme necessário. As autoridades de certificação normalmente precisam de permissão para acessar os recursos do Oracle Cloud Infrastructure Vault e do Oracle Cloud Infrastructure Object Storage. Para obter mais informações sobre grupos dinâmicos, consulte Gerenciando Grupos Dinâmicos.

Etapa 2: Criar uma Política para o Grupo Dinâmico

Depois de criar o grupo dinâmico, você cria uma política para o grupo dinâmico. Na política a seguir, o grupo dinâmico tem o nome de exemplo CertificateAuthority-DG. A política concede aos membros do grupo dinâmico permissão para usar chaves do serviço Vault e fazer algo com objetos do serviço Object Storage nos compartimentos de exemplo especificados. Esse tipo de política é conhecido como política de controlador de recursos porque autoriza um recurso como um ator de principal que pode atuar em outros recursos.

Allow dynamic-group CertificateAuthority-DG to use keys in compartment DEF
Allow dynamic-group CertificateAuthority-DG to manage objects in compartment XYZ

Etapa 3: Adicionar uma Política para Administradores

Você também precisa de uma política para autorizar os administradores a acessar recursos. A política seguinte dá permissão ao grupo CertificateAuthorityAdmins de exemplo para fazer qualquer coisa com quaisquer recursos incluídos no tipo de recurso agregado certificate-authority-family e para trabalhar com recursos necessários do serviço Vault and Object Storage nos compartimentos de exemplo especificados, conforme necessário. Isso inclui as permissões necessárias para especificar a chave de criptografia da autoridade certificadora.

Allow group CertificateAuthorityAdmins to manage certificate-authority-family in compartment ABC
Allow group CertificateAuthorityAdmins to read keys in compartment DEF
Allow group CertificateAuthorityAdmins to use key-delegate in compartment DEF
Allow group CertificateAuthorityAdmins to read buckets in compartment XYZ
Allow group CertificateAuthorityAdmins to read vaults in compartment DEF

Juntas, essas instruções fornecem o acesso mínimo necessário para concluir tarefas administrativas com autoridades de certificação, conforme descrito posteriormente neste tópico. Para obter mais informações sobre permissões ou se você precisar gravar políticas menos restritivas, consulte Detalhes do Serviço Certificates. Se você não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.