使用不含 OCI API 閘道的 Thales CipherTrust Manager 設定 OCI 保留您自己的金鑰

簡介

本教學課程提供逐步說明，無需使用 Oracle Cloud Infrastructure (OCI) API Gateway 選項，即可使用 Thales CipherTrust Manager (CTM) 設定「保留您自己的金鑰 (HYOK)」。此方法可讓您完全控制加密金鑰，同時與支援外部金鑰管理的 OCI 服務整合。

我們將逐步完成整個組態設定，從複查網路架構並在 OCI 中設定應用程式整合開始，然後設定 Thales CipherTrust Manager 透過專用端點直接與 Oracle Cloud Infrastructure External Key Management Service (OCI External Key Management Service) 通訊。本教學課程還包括建立及註冊身分識別提供者、OCI 租用戶、外部保存庫和金鑰，以及使用這些外部金鑰測試客戶管理物件儲存的存取權。

本教學課程結束後，您將具備完全營運的 HYOK 設定，能夠使用由 Thales CipherTrust Manager 代管的外部管理金鑰加密及控制對 OCI 資源的存取，而無需使用中介 OCI API 閘道。

注意：在本教學課程中，Thales CipherTrust Cloud Key Manager (CCKM) 和 Thales CipherTrust Manager (CTM) 等術語會互換使用。兩者皆指的是相同產品。

本教學課程以教學課程中所建立的 technical foundation 為基礎：在 OCI 中設定 2 個 Thales CipherTrust 雲端金鑰管理程式設備、在它們之間建立叢集，以及將 One 設定為憑證授權機構。

如果您想要使用具備 OCI API 閘道選項的 Thales CipherTrust Manager 實行保留自己的金鑰 (HYOK) ，請依照本教學課程進行：使用具備 OCI API 閘道的 CipherTrust Manager 設定 OCI 保留您的金鑰。

目標

• 工作 1：複查雲端網路架構。
• 工作 2：建立機密資源應用程式和關聯的機密從屬端應用程式 (應用程式整合)，並在 OCI 中收集從屬端和加密密碼。
• 工作 3：從 OCI 收集識別網域 URL。
• 工作 4：在 Thales CipherTrust Manager 中建立身分識別提供者。
• 工作 5：在 Thales CipherTrust Manager 中新增 Oracle 租用戶。
• 作業 6：建立 OCI 外部金鑰管理程式服務的專用端點。
• 工作 7：在 Thales CipherTrust Manager 中新增外部 Vault。
• 作業 8：建立 OCI 外部金鑰管理服務保存庫。
• 工作 9：在 Thales CipherTrust Manager 中新增外部金鑰。
• 工作 10：在 OCI 中建立金鑰參照。
• 作業 11：使用客戶管理的金鑰建立 OCI 物件儲存的儲存桶。
• 工作 12：封鎖和解除封鎖 Oracle 金鑰，以及測試 Thales CipherTrust Manager 和 OCI 中的物件儲存的儲存桶輔助功能。

下圖說明在此自學課程中設定所有步驟的元件和組態。

工作 1：複習雲端網路架構

使用 Thales CipherTrust Manager 深入瞭解設定自備金鑰 (HYOK) 的技術步驟之前，必須先瞭解此設定所在的雲端網路架構。

在此案例中，會使用三個 OCI 區域：

• 兩個 OCI 區域會模擬內部部署資料中心。這些區域透過代表混合環境的 VPN 通道連線至 OCI。
• 第三個 OCI 區域代表主要 OCI 環境，並採用軸輻式虛擬雲端網路 (VCN) 架構。在本設計中：
  • 中樞 VCN 會代管共用網路服務 (例如防火牆)。
  • 多個支點 VCN 會連線至中樞並代管各種工作負載。

兩個模擬的內部部署資料中心之間的連線是使用遠端對等互連連線 (RPC) 建立。不過，在本教學課程中，VPN 設定、RPC 組態和軸輻式 VCN 架構詳細資訊已不在範圍內，因此不會涵蓋在內。

• 若要設定模擬資料中心之 OCI 的 VPN 連線，請參閱設定兩個 OCI 區域之間具有靜態路由的 Oracle Cloud Infrastructure Site-to-Site VPN 。

• 若要設定 OCI 區域之間的 RPC 連線，請參閱設定兩個用戶與其動態路由閘道之間的 RPC 連線。

• 若要設定 OCI 中心和支點 VNC 網路架構，請參閱在 Hub VCN 中使用 pfSense 防火牆的路由中心和支點 VCN 。

本教學課程著重於使用部署在阿姆斯特丹 (AMS) 區域 (模擬的內部部署資料中心) 的 Thales CipherTrust Manager 設定 HYOK。所有金鑰管理作業都將從此 Thales CipherTrust Manager 執行處理執行。

外部金鑰管理程式專用讓 OCI 能夠安全地與外部 Thales CipherTrust Manager 通訊，並將部署在主要 OCI 區域的其中一個網輻 VCN 中。這可確保 OCI 服務與外部金鑰管理程式之間的安全直接通訊路徑，而不會向公用網際網路公開流量。

此架構透過在定義完善且安全的網路界限內隔離金鑰管理，支援 OCI 中機密工作負載的強式安全與規範態勢。

下圖說明完整的架構。

工作 2：建立機密資源應用程式和關聯機密從屬端應用程式 (應用程式整合)，以及收集 OCI 中的從屬端和加密密碼

若要啟用與 Thales CipherTrust Manager 的 HYOK 整合，您必須建立 OCI 與外部金鑰管理程式之間的信任。

這是透過在 OCI Identity and Access Management (OCI IAM) 中註冊兩個主要元件來完成的：機密資源應用程式和機密從屬端應用程式。這些功能對於驗證和授權 OCI 與 Thales CipherTrust Manager 之間的通訊至關重要。

此設定可讓 Thales CipherTrust Manager 透過 OAuth 2.0 向 OCI IAM 進行認證。機密用戶端代表外部金鑰管理程式採取行動，而機密資源則定義存取與信任組態的範圍。沒有這些元件，OCI 無法驗證或安全地與外部金鑰來源通訊。

下圖說明此步驟中的元件與組態設定。

• 請登入 OCI 主控台，瀏覽至 Identity & Security 並按一下網域。

  

• 按一下要用於認證的網域。

  

• 按一下整合的應用程式和新增應用程式。

  

• 選取機密應用程式，然後按一下啟動工作流程。

  

• 輸入應用程式名稱 (Resource_App)，然後按一下下一步。

  

• 在資源伺服器組態段落中，輸入下列資訊。

  • 選取現在設定此應用程式為資源伺服器。
  • 在主要對象中，輸入 https://10.222.10.111/ (AMS CTM1 伺服器的 IP 位址)。

  

• 在新增範圍中，輸入下列資訊。

  • 選取新增範圍。
  • 按一下新增。
  • 在範圍中，輸入 oci_ekms。
  • 按一下新增。

  

• 請注意新增的範圍 oci_ekms 並向下捲動。

  

• 在從屬端組態區段中，輸入下列資訊。

  • 選取立即將此應用程式設定為從屬端。
  • 選取從屬端證明資料。
  • 按下一步。

  

• 按一下略過並稍後執行，略過建立 Web 層原則，然後按一下完成。

  

• 移至整合應用程式頁面。

  • 請注意，已建立 Resource_App 整合應用程式。
  • 選取 Resource_App 整合應用程式。
  • 按一下動作下拉式功能表。
  • 按一下啟用。

  

• 按一下啟動應用程式。

  

• 按一下 Resource_App 整合應用程式。

  

• 向下捲動。

  

• 複製用戶端 ID 並將它儲存在記事本上。按一下顯示加密密碼以顯示從屬端加密密碼。

  

• 按一下複製以複製從屬端加密密碼，並將它儲存在記事本中。按一下關閉。

  

• 按一下新增應用程式。

  

• 選取機密應用程式，然後按一下啟動工作流程。

  

• 輸入應用程式名稱 (Client_App)，然後按一下下一步。

  

• 在資源伺服器組態中，選取略過稍後再試。

• 在用戶端組態中，輸入下列資訊。

  • 選取立即將此應用程式設定為從屬端。
  • 選取從屬端證明資料。
  • 向下捲動。

  

• 在新增範圍中，輸入下列資訊。

  • 選取新增資源。
  • 選取新增範圍。
  • 在範圍中，輸入 Resource_App。
  • 按一下新增。

  

• 請注意新增的資源 Resource_App，然後按下一步。

  

• 按一下略過並稍後執行，略過建立 Web 層原則，然後按一下完成。

  

• 移至整合應用程式頁面。

  • 請注意，已建立 Client_App 整合應用程式。
  • 選取 Client_App 整合應用程式。
  • 按一下動作下拉式功能表。
  • 按一下啟用。

  

• 按一下啟動應用程式。

  

• 按一下 Client_App 整合應用程式。

  

• 向下捲動。

  

• 複製用戶端 ID 並將它儲存在記事本上。按一下顯示加密密碼以顯示從屬端加密密碼。

  

• 按一下複製以複製從屬端加密密碼，並將它儲存在記事本中。按一下關閉。

  

注意：

• 您已收集 Resource_App 和 Client_App 從屬端 ID 和從屬端加密密碼。
• 請勿將這兩者混合，並在適當位置進行設定。

工作 3：從 OCI 收集識別網域 URL

若要在 OCI 與 Thales CipherTrust Manager 之間啟用以 OAuth 為基礎的通訊，您必須在設定 Thales CipherTrust Manager 中的身分識別提供者時提供識別網域 URL 。

• 前往 OCI 主控台，瀏覽至 Identity & Security ，然後按一下網域。

  

• 選取建立機密應用程式的識別網域。

  

• 在網域詳細資料頁面中，按一下複製以複製網域 URL ，並將其儲存在記事本中。

  

工作 4：在 Thales CipherTrust Manager 中建立身分識別提供者

在此任務中，您將在 Thales CipherTrust Manager 中設定身分識別提供者。此設定可讓 Thales CipherTrust Manager 使用在 Task 3 中建立的 OAuth 2.0 證明資料向 OCI 進行認證。

下圖說明此任務中的元件與組態設定。

• 在 Thales CipherTrust Manager 中，前往 AMS 中的 CTM1，然後按一下產品和雲端金鑰管理程式。

  

• 按一下 KMS 容器 (Oracle 保存庫 )，選取外部保存庫，然後按一下新增身分識別提供者。

  

• 在新增身分識別提供者中，輸入下列資訊，然後按一下新增。

  • 輸入名稱 (OCI)。
  • 選取 OpenID 組態 URL 作為提供者驗證程式。
  • 輸入 OpenID 組態 URL ，即在任務 3 中複製的網域 URL。
    • 將下列字尾新增至 URL：.well-known/openid-configuration。因此，完整的 OpenID 組態 URL 將會是：https://idcs-<xxx>.identity.oraclecloud.com:443/.well-known/openid-configuration。
  • 選取 jwks Protected URL 。
  • 輸入 Resource_App 整合應用程式的用戶端 ID 和用戶端密碼。

  

• 請注意，身分識別提供者已建立。

  

工作 5：在 Thales CipherTrust Manager 中新增 OCI 租用戶

在 Thales CipherTrust Manager 中設定身分識別提供者之後，下一個作業正在註冊您的 OCI 租用戶。這可讓 Thales CipherTrust Manager 使用先前設定的 OAuth 證明資料代替您的 OCI 環境管理外部保存庫和金鑰。

下圖說明此任務中設定的元件與組態。

• 首先，必須從 OCI 取得租用戶的名稱和 OCID。按一下右上角的設定檔，然後按一下租用戶。

  

• 複製用戶的名稱和用戶的 OCID 並同時儲存在記事本上。

  

• 前往「Thales Cloud 金鑰管理程式主控台」。

  • 按一下 KMS 容器。
  • 按一下 Oracle 保存庫。
  • 按一下租用戶。
  • 按一下新增租用戶。

  

• 在新增租用戶中，輸入下列資訊。

  • 選取 Oracle 租用戶 (無連線) 作為方法。
  • 輸入從 OCI 收集之租用戶的名稱。
  • 輸入從 OCI 收集的租用戶 OCID 。
  • 按一下新增。

  

• 請注意，OCI 租用戶已新增至 Thales CipherTrust Manager。

  

工作 6：在 OCI 中建立外部金鑰管理程式服務的專用端點

若要安全地將 OCI 連線至 Thales CipherTrust Manager 而不會對公用網際網路公開流量，您必須為 OCI 外部金鑰管理服務建立專用端點。

這可確保 OCI 與 Thales CipherTrust Manager 之間的所有通訊都會透過受專用的受控網路路徑進行。

請確定符合下列先決條件：

• 必須透過您的專用網路設定，才能從 OCI 連線 Thales CipherTrust Manager。例如，透過 VPN。
• 確定子網路具有路由和安全規則，允許流量傳送至 Thales CipherTrust Manager 執行處理。

下圖說明此任務中的元件與組態設定。

• 在 OCI 主控台中，瀏覽至識別與安全性，然後按一下專用端點。

  

• 前往專用端點，然後按一下建立專用端點。

  

• 在建立專用端點中，輸入下列資訊。

  • 輸入專用端點名稱 (Private-Endpoint-For-Vault)。
  • 選取此專用端點所在的 VCN 和子網路。
  • 輸入外部金鑰管理程式的專用 IP 位址作為 10.222.10.111 AMS CTM1 伺服器的 IP 位址。
  • 輸入連接埠作為 443。
  • 上傳外部金鑰管理 CA 組合，然後按一下瀏覽。

  

• 我們選取了此教學課程中建立的完整鏈結憑證：在 OCI 中設定 2 個 Thales CipherTrust 雲端金鑰管理程式設備、在它們之間建立叢集及設定 1 個憑證授權機構，但是您只能選取 CA 根憑證。按一下開啟。

  

• 確定已選取 Thales CipherTrust Manager 的憑證、根 CA 或完整鏈憑證。按一下建立。

  

• 請注意，專用端點已建立。現在，按一下專用端點。

  

• 請注意，已設定專用端點的 IP 位址。

  

工作 7：新增 Thales CipherTrust Manager 中的外部保存庫

有了 OCI 租用戶和專用端點，下一個工作就是在 Thales CipherTrust Manager 中新增外部保存庫。Thales CipherTrust Manager 中的外部保存庫是對應至 OCI 中外部金鑰管理保存庫的邏輯容器，可讓 Thales CipherTrust Manager 管理用於 HYOK 加密的金鑰。

下圖說明此任務中的元件與組態設定。

• 前往 Thales Cloud 金鑰管理程式主控台。

  • 按一下 KMS 容器。
  • 按一下 Oracle 保存庫。
  • 選取外部保存庫。
  • 按一下新增外部保存庫。

  

• 在新增外部保存庫中，輸入下列資訊。

  • 輸入名稱 (OCI)。
  • 選取 Oracle 租用戶 (無連線) 作為方法。
  • 選取「任務 5」中的租用戶建立。
  • 選取發照者，即在「任務 4」中建立的身分識別提供者。
  • 向下捲動。

  

  • 輸入 Client_App 整合應用程式的 Client ID 。
  • 將端點 URL 主機名稱輸入為 10.222.10.111，即 AMS CTM1 伺服器的 IP 位址。
  • 輸入連接埠作為 443。
  • 按一下新增。

  

• 請注意，已規劃外部 Vault。複製外部 Vault URL，並將其儲存在記事本上。

  

設定之後，此保存庫會成為儲存 OCI 服務所參照之外部金鑰的目標位置。它會橋接您的 OCI 環境和 CipherTrust 管理的金鑰，讓您可以完全控制 HYOK 模型中的加密作業。

工作 8：建立 OCI 外部金鑰管理服務保存庫

現在已經在 Thales CipherTrust Manager 中定義外部保存庫，下一個工作是在 OCI 主控台中建立對應的外部金鑰管理保存庫。

此 OCI 保存庫將連結至您的 Thales CipherTrust Manager，並由 OCI 服務使用外部金鑰執行加密和解密作業。

下圖說明此任務中的元件與組態設定。

• 從任務 3 擷取網域 URL ，您需要在 OCI 中設定外部金鑰保存庫。

  

• 在 OCI 主控台中，前往身分識別與安全性，然後按一下外部金鑰管理。

  

• 按一下建立保存庫。

  

• 在建立保存庫中，輸入下列資訊。

  • 輸入名稱 (OCI_EKMS_Vault)。
  • 輸入 IDCS 帳戶名稱 URL ，即從任務 7 複製的網域 URL。因此，完整的 URL 為：https://idcs-<xxx>.identity.oraclecloud.com:443/。
  • 輸入 Client_App 整合應用程式的從屬端 ID 和從屬端應用程式加密密碼。
  • 向下捲動。

  

  • 選取在任務 6 中建立的專用端點。
  • 輸入在 CTM1 上建立外部保存庫時，從工作 7 複製的外部保存庫 URL。
  • 按一下建立保存庫。

  

• 請注意，已建立 Vault。現在，按一下 Vault。

  

• 複查保存庫詳細資訊。

  

OCI 現在將使用指定的專用端點連線至您的 Thales CipherTrust Manager。此保存庫處於作用中狀態後，OCI 會透過此介面與 CCKM 管理的外部金鑰互動，啟用 OCI 物件儲存、OCI 區塊磁碟區等 OCI 服務的 HYOK 支援。稍後，我們將使用 OCI Object Storage 執行一些測試。

工作 9：新增 Thales CipherTrust Manager 中的外部金鑰

透過在 Thales CipherTrust Manager 中設定並連結至 OCI 的外部保存庫，下一個任務是建立或匯入 OCI 將用於啟用 HYOK 之服務的外部加密金鑰。

這些金鑰安全地位於 Thales CipherTrust Manager 內，並由 OCI 透過外部金鑰管理介面參照。視您的組織需求而定，您可以直接在 Thales CipherTrust Manager 中產生新金鑰，或匯入現有金鑰。

下圖說明此任務中的元件與組態設定。

• 前往「Thales Cloud 金鑰管理程式主控台」。

  • 按一下雲端金鑰。
  • 按一下 Oracle 。
  • 按一下新增鍵值。

  

• 在新增 Oracle 金鑰中，輸入下列資訊。

  • 選取 Oracle External (HYOK) 。
  • 選取在任務 8 中建立的 Thales CipherTrust Manager Vault 。
  • 選取來源為 CipherTrust (本機)。
  • 按下一步。

  

• 在來源索引鍵中，輸入下列資訊。

  • 選取要建立新金鑰的來源金鑰資料。
  • 輸入金鑰名稱 (CM_Key)。
  • 按下一步。

  

• 在設定 Oracle 金鑰中，輸入下列資訊。

  • 輸入 Oracle 金鑰名稱 (CM_Key)。
  • 按下一步。

  

• 按一下新增鍵值。

  

• 按一下關閉。

  

• 記下建立的金鑰。

  

新增金鑰之後，OCI 便可透過外部金鑰管理保存庫使用金鑰。不過，若要允許 OCI 服務使用金鑰，您必須在 OCI 主控台中建立一個金鑰參照，我們將涵蓋在下一個工作中。

注意：

• 這些按鍵絕對不會離開 Thales CipherTrust Manager。
• OCI 只會將加密 / 解密要求傳送給外部金鑰管理程式，確保您永遠完全掌控金鑰資料。

工作 10：在 OCI 中建立主要參照

外部金鑰建立或匯入「Thales CipherTrust 管理程式」之後，下一個工作就是在 OCI 主控台中建立金鑰參照。金鑰參照可作為指標，讓 OCI 服務能夠透過外部金鑰管理保存庫存取並使用儲存在 Thales CipherTrust Manager 中的外部金鑰。

下圖說明此任務中的元件與組態設定。

• 前往「Thales Cloud 金鑰管理程式主控台」。

  • 按一下雲端金鑰。
  • 按一下 Oracle 。
  • 按一下在「工作 9」中建立的索引鍵。

  

• 請注意，金鑰將會有外部金鑰 ID ，請複製此 ID。

  

• 返回在任務 9 中建立的 OCI 中的 Vault，然後按一下 Vault。

  

• 向下捲動。

  

• 按一下建立金鑰參照。

  

• 在建立金鑰參照中，輸入下列資訊。

  • 輸入名稱 (OCI_Key_Reference)。
  • 輸入複製的外部金鑰 ID (Thales CipherTrust Manager) 金鑰。
  • 按一下建立金鑰參照。

  

• 請注意，已建立索引鍵參考。

  

OCI 現在會將此金鑰參照與 Thales CipherTrust Manager 中管理的外部金鑰關聯。這可讓 OCI 服務 (例如 OCI 物件儲存、OCI 區塊磁碟區及其他) 透過專用端點將加密要求傳送至外部金鑰。相反地，關鍵材料本身仍完全受您的控制。

我們會將金鑰參照附加到 OCI Object Storage 貯體，以確認整合如預期般運作，藉此立即測試金鑰參照。

工作 11：使用客戶管理的金鑰建立 OCI 物件儲存的儲存桶

您可以使用 OCI 中參照的外部金鑰來加密資源。在這項任務中，我們將建立一個 OCI Object Storage 貯體，該貯體使用透過外部金鑰管理保存庫託管於 Thales CipherTrust Manager 上的外部客戶管理金鑰。

此設定可確保儲存貯體中儲存的所有物件都使用您完全控制的金鑰進行加密，符合嚴格的規範、主權或內部政策要求。

下圖說明此任務中的元件與組態設定。

• 前往 OCI 主控台，瀏覽至儲存，然後按一下儲存桶。

  

• 按一下建立儲存桶 (Bucket) 。

  

• 在建立儲存桶中，輸入下列資訊。

  • 輸入名稱 (OCI_EKMS_Test_Bucket)。
  • 向下捲動。

  

  • 在加密中，選取使用客戶管理金鑰加密。
  • 在保存庫中，選取您在「工作 8」中建立的外部金鑰管理保存庫。
  • 在索引鍵中，選取在任務 10 中建立的索引鍵參考。
  • 按一下建立。

  

• 請注意，系統會建立儲存桶。按一下儲存桶。

  

• 您可以向下捲動以上傳檔案，或將檔案保留空白。

  

• 瀏覽至 OCI 主控台或任何其他頁面的首頁畫面。

  

建立儲存桶之後，將會使用 Thales CipherTrust Manager 管理的外部金鑰加密其中儲存的所有資料。這樣可確保 OCI 依賴您的關鍵基礎架構來進行存取與控制，並啟用完整的「保留您自己的金鑰 (HYOK)」功能。

假設外部金鑰無法使用 (例如停用或封鎖於 Thales CipherTrust Manager)。在這種情況下，系統將拒絕存取儲存桶及其內容，為您的資料安全態勢提供強大的控制點。這是我們將在下一個任務中測試的項目。

工作 12：封鎖和解除封鎖 Oracle 金鑰，並測試 Thales CipherTrust Manager 和 OCI 中的 OCI Object Storage 貯體輔助功能

「保留您自己的金鑰 (HYOK)」模型的其中一個主要優點是可以對加密金鑰保有完整的作業控制權，包括隨時封鎖或解除封鎖這些金鑰的功能。本節示範如何使用 Thales CipherTrust Manager 透過封鎖或解除封鎖外部金鑰來控制對 Oracle 管理之物件儲存的儲存桶的存取。

封鎖金鑰會有效地限制對使用該金鑰加密的任何 OCI 資源的存取，而不刪除金鑰或資料。取消封鎖回復存取。

• 前往「Thales Cloud 金鑰管理程式主控台」。

  • 按一下雲端金鑰。
  • 按一下 Oracle 。
  • 按一下索引鍵結尾的三個點。
  • 選取封鎖。

  

• 選取封鎖。

  

• 請注意，此金鑰目前在 Thales CipherTrust Manager 中為封鎖。

  

• 前往 OCI 主控台，瀏覽至儲存體，然後按一下儲存桶。

  

• 按一下在任務 11 中建立的分組。

  

• 請注意，您現在將發生錯誤，無法存取儲存桶或儲存桶中上傳的任何檔案。

現在，讓我們再次解除封鎖 Thales CipherTrust Manager 中的金鑰。

下圖說明此作業中的元件與組態設定。

• 前往「Thales Cloud 金鑰管理程式主控台」。

  • 按一下雲端金鑰。
  • 按一下 Oracle 。
  • 按一下金鑰結尾的三個點。
  • 選取解除封鎖。

  

• 選取解除封鎖。

  

• 請注意，現在 Thales CipherTrust Manager 中的金鑰將被解除封鎖。

  

• 回瀏覽至分組明細頁面，如果您還在該頁面上，請重新整理瀏覽器。

  

• 請注意，取消封鎖時，您無法重新存取 OCI Object Storage 貯體。

  

此功能為緊急回應、法規遵循和資料主權強制實行提供了強大的機制，確保您可以完全控制資料在 OCI 中的存取時間和方式。

接下來的步驟

在本教學課程中，我們已完成使用 Thales CipherTrust Manager 設定 OCI Hold Your Own Key，而無須仰賴 OCI API Gateway 選項。依照從設定識別整合和網路到部署外部保存庫和金鑰的步驟，您已啟用安全且合規的金鑰管理架構，讓您完全掌控加密金鑰。

此設定可確保 OCI 物件儲存等 OCI 服務使用您的外部管理金鑰進行加密作業，而金鑰資料則完全由您治理。您也瞭解 HYOK 的強大功能，只要切換 Thales CipherTrust Manager 中的金鑰狀態，即可封鎖及解除封鎖對雲端資源的存取。

若未使用 OCI API 閘道，您便簡化了架構，同時仍可透過專用網路和 OAuth 型識別信任強制實行固定安全界限。

您現在擁有符合生產環境需求的 HYOK 實作，支援企業安全政策、法規遵循和資料主權需求，讓您完全掌控雲端加密策略。

相關連結

• 建立機密資源 App

• 關聯機密從屬端應用程式

• 取得識別網域詳細資訊

• 建立外部金鑰管理保存庫

• 建立關鍵碼參照

確認

• 作者 - Iwan Hoogendoorn (雲端網路黑帶)

其他學習資源

在 docs.oracle.com/learn 上探索其他實驗室，或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Set up an OCI Hold Your Own Key using Thales CipherTrust Manager without OCI API Gateway

G38104-01

Copyright ©2025, Oracle and/or its affiliates.