Documentation Oracle Cloud Infrastructure

Clés et OCID requis

Que vous utilisiez un client Oracle (reportez-vous à Kits SDK et interface de ligne de commande) ou un client que vous avez créé vous-même, procédez comme suit :

  1. Créez un utilisateur dans IAM pour la personne ou le système qui appellera l'API, et placez-le dans au moins un groupe IAM disposant des droits d'accès requis. Reportez-vous à Ajout d'utilisateurs. Vous pouvez ignorer cette étape si l'utilisateur existe déjà.

  2. Obtenez les éléments suivants :

  3. Téléchargez la clé publique à partir de la paire de clés dans la console. Reportez-vous à Procédure de téléchargement de la clé publique.
    Remarque

    Nous vous recommandons d'ajouter une balise à chaque clé privée.
  4. Si vous utilisez l'un des kits SDK ou des outils Oracle, fournissez les informations d'identification requises répertoriées ci-dessus dans un fichier de configuration ou dans un objet de configuration dans le code. Reportez-vous à Fichier de configuration du kit SDK et de l'interface de ligne de commande. Si vous créez votre propre client, reportez-vous à Signatures des demandes.
Important

Cette paire de clés n'est pas la clé SSH que vous utilisez pour accéder aux instances de calcul. Reportez-vous à Informations d'identification de sécurité.

La clé privée et la clé publique doivent être au format PEM (et non au format SSH-RSA). La clé publique au format PEM ressemble à ce qui suit :

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQE...
...
-----END PUBLIC KEY-----
OCI_PRIVATE_KEY

Nous vous recommandons d'inclure une étiquette à la fin de la clé. Par exemple, OCI_PRIVATE_KEY.

Procédure de génération d'une clé de signature d'API

Remarque

Vous pouvez utiliser la console ou les outils de ligne de commande disponibles pour Linux, Mac OS ou Windows afin de générer une clé de signature d'API.

Génération d'une clé de signature d'API (console)

Vous pouvez utiliser la console pour générer la paire de clés privée/publique. Si vous disposez déjà d'une paire de clés, vous pouvez choisir de télécharger la clé publique. Lorsque vous utilisez la console pour ajouter la paire de clés, la console génère également pour vous un fragment de code d'aperçu de fichier de configuration.

Les procédures suivantes fonctionnent pour un utilisateur standard ou un administrateur. Les administrateurs peuvent gérer les clés d'API pour un autre utilisateur ou pour eux-mêmes.

A propos du fragment de code de fichier de configuration

Lorsque vous utilisez la console pour ajouter la paire de clés de signature d'API, un fragment de code d'aperçu de fichier de configuration est généré avec les informations suivantes :

  • user : OCID de l'utilisateur pour lequel la paire de clés est ajoutée.
  • fingerprint : empreinte de la clé qui vient d'être ajoutée.
  • tenancy : OCID de votre location.
  • region : région actuellement sélectionnée dans la console.
  • key_file : chemin du fichier de clés privées téléchargé. Vous devez mettre à jour cette valeur sur le chemin du système de fichiers dans lequel vous avez enregistré le fichier de clés privées.

Si le fichier de configuration comporte déjà un profil DEFAULT, vous devez effectuer l'une des opérations suivantes :

  • Remplacer le profil existant et son contenu
  • Renommer le profil existant
  • Renommer ce profil après l'avoir collé dans le fichier de configuration

Vous pouvez copier ce fragment de code dans le fichier de configuration pour vous aider à démarrer. Si vous ne disposez pas encore d'un fichier de configuration, reportez-vous à Fichier de configuration du kit SDK et de l'interface de ligne de commande pour plus d'informations sur sa création. Vous pouvez également extraire le fragment de code de fichier de configuration ultérieurement pour obtenir une clé de signature d'API lorsque vous en avez besoin. Reportez-vous à la procédure d'obtention du fragment de code de fichier de configuration pour une clé de signature d'API.

Procédure de génération d'une paire de clés de signature d'API

Prérequis : avant de générer une paire de clés, créez le répertoire .oci dans votre répertoire de base pour stocker les informations d'identification. Pour plus d'informations, reportez-vous à Fichier de configuration du kit SDK et de l'interface de ligne de commande.

  1. Affichez les détails de l'utilisateur :
    • Si vous ajoutez une clé d'API pour vous-même :

      Ouvrez le menu Profil et cliquez sur Mon profil.

    • Si vous ajoutez une clé d'API en tant qu'administrateur pour un autre utilisateur, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Localisez l'utilisateur dans la liste, puis cliquez sur son nom pour en visualiser les détails.
  2. Dans la section Ressources en bas à gauche, cliquez sur Clés d'API.
  3. Cliquez sur Ajouter une clé d'API en haut à gauche de la liste Clés d'API. La boîte de dialogue Ajouter une clé d'API apparaît.

  4. Cliquez sur Télécharger une clé privée et enregistrez la clé dans le répertoire .oci. Dans la plupart des cas, vous n'avez pas besoin de télécharger la clé publique.

    Remarque : si le navigateur télécharge la clé privée vers un autre répertoire, veillez à la déplacer vers le répertoire .oci.

  5. Cliquez sur Ajouter.

    La clé est ajoutée et l'aperçu de fichier de configuration apparaît. Le fragment de code de fichier inclut les paramètres et valeurs requis pour créer le fichier de configuration. Copiez et collez le fragment de code de fichier de configuration de la zone de texte dans le fichier ~/.oci/config file. (Si vous n'avez pas encore créé ce fichier, reportez-vous à Fichier de configuration du kit SDK et de l'interface de ligne de commande pour plus d'informations sur la procédure de création.)

    Après avoir collé le contenu du fichier, vous devez mettre à jour le paramètre key_file vers l'emplacement d'enregistrement du fichier de clés privées.

    Si le fichier de configuration comporte déjà un profil DEFAULT, vous devez effectuer l'une des opérations suivantes :
    • Remplacer le profil existant et son contenu
    • Renommer le profil existant
    • Renommer ce profil après l'avoir collé dans le fichier de configuration
  6. Mettez à jour les droits d'accès sur le fichier de clés privées téléchargé afin que vous seul puissiez le visualiser :
    1. Accédez au répertoire .oci dans lequel vous avez placé le fichier de clés privées.
    2. Utilisez la commande chmod go-rwx ~/.oci/<oci_api_keyfile>.pem pour définir les droits d'accès au fichier.

Procédure de téléchargement ou de collage d'une clé d'API

Prérequis : vous avez généré une clé RSA publique au format PEM (2 048 bits au minimum). Le format PEM ressemble à ce qui suit :

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——
  1. Affichez les détails de l'utilisateur :
    • Si vous ajoutez une clé d'API pour vous-même :

      Ouvrez le menu Profil et cliquez sur Mon profil.

    • Si vous ajoutez une clé d'API en tant qu'administrateur pour un autre utilisateur, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Localisez l'utilisateur dans la liste, puis cliquez sur son nom pour en visualiser les détails.
  2. Dans la section Ressources en bas à gauche, cliquez sur Clés d'API.
  3. Cliquez sur Ajouter une clé d'API en haut à gauche de la liste Clés d'API. La boîte de dialogue Ajouter une clé d'API apparaît.
  4. Dans la boîte de dialogue, sélectionnez Choisir un fichier de clés publiques pour télécharger le fichier, ou Coller la clé publique si vous préférez le coller dans une zone de texte.
  5. Cliquez sur Ajouter.

    La clé est ajoutée et l'aperçu de fichier de configuration apparaît. Le fragment de code de fichier inclut les paramètres et valeurs requis pour créer le fichier de configuration. Copiez et collez le fragment de code de fichier de configuration de la zone de texte dans le fichier ~/.oci/config file. (Si vous n'avez pas encore créé ce fichier, reportez-vous à Fichier de configuration du kit SDK et de l'interface de ligne de commande pour plus d'informations sur la procédure de création.)

    Après avoir collé le contenu du fichier, vous devez mettre à jour le paramètre key_file vers l'emplacement d'enregistrement du fichier de clés privées.

    Si le fichier de configuration comporte déjà un profil DEFAULT, vous devez effectuer l'une des opérations suivantes :

    • Remplacer le profil existant et son contenu
    • Renommer le profil existant
    • Renommer ce profil après l'avoir collé dans le fichier de configuration
Procédure d'obtention du fragment de code de fichier de configuration pour une clé de signature d'API
La procédure suivante fonctionne pour un utilisateur standard ou un administrateur.
  1. Affichez les détails de l'utilisateur :
    • Si vous obtenez un fragment de code de fichier de configuration de clé d'API pour vous-même :

      Ouvrez le menu Profil et cliquez sur Mon profil.

    • Si vous obtenez un fragment de code de fichier de configuration de clé d'API en tant qu'administrateur pour un autre utilisateur, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Localisez l'utilisateur dans la liste, puis cliquez sur son nom pour en visualiser les détails.
  2. Sous la section Ressources en bas à gauche, cliquez sur Clés d'API.
  3. Sur le côté gauche de la page, cliquez sur Clés d'API. La liste des empreintes de clé d'API apparaît.
  4. Click the the Actions menu (Menu Actions) for the fingerprint, and select View configuration file.

    L'aperçu de fichier de configuration apparaît. Le fragment de code de fichier inclut les paramètres et valeurs requis pour créer le fichier de configuration. Copiez et collez le fragment de code de fichier de configuration de la zone de texte dans le fichier ~/.oci/config file. (Si vous n'avez pas encore créé ce fichier, reportez-vous à Fichier de configuration du kit SDK et de l'interface de ligne de commande pour plus d'informations sur la procédure de création.) Après avoir collé le contenu du fichier, vous devez mettre à jour le paramètre key_file vers l'emplacement d'enregistrement du fichier de clés privées.

    Si le fichier de configuration comporte déjà un profil DEFAULT, vous devez effectuer l'une des opérations suivantes :
    • Remplacer le profil existant et son contenu
    • Renommer le profil existant
    • Renommer ce profil après l'avoir collé dans le fichier de configuration

Génération d'une clé de signature d'API (Linux et Mac OS X)

Utilisez les commandes OpenSSL suivantes pour générer la paire de clés au format PEM requis.

  1. Si vous ne l'avez pas déjà fait, créez un répertoire .oci où stocker les informations d'identification :

    mkdir ~/.oci

  2. Générez la clé privée à l'aide de l'une des commandes suivantes.

    • Pour générer la clé cryptée avec une phrase de passe que vous indiquez lorsque vous y êtes invité, exécutez la commande suivante :
      Remarque

      Nous vous recommandons d'utiliser une phrase de passe pour votre clé.
      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048

    • Pour générer la clé sans phrase de passe, procédez comme suit :

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048

  3. Modifiez le droit d'accès au fichier pour vous assurer que vous êtes le seul à pouvoir lire le fichier de clés privées :

    chmod go-rwx ~/.oci/oci_api_key.pem

  4. Générez la clé publique à partir de votre nouvelle clé privée :

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem

  5. Copiez le contenu de la clé publique dans le presse-papiers à l'aide de pbcopy, xclip ou d'un outil similaire (vous devrez coller la valeur dans la console ultérieurement). Par exemple :

    cat ~/.oci/oci_api_key_public.pem | pbcopy

Vos demandes d'API seront signées avec votre clé privée et Oracle utilisera la clé publique pour vérifier l'authenticité de la demande. Vous devez télécharger la clé publique dans IAM (instructions ci-dessous).

Génération d'une clé de signature d'API (Windows)

Si vous utilisez Windows, vous devez installer Git Bash for Windows, puis exécuter les commandes suivantes.
Remarque

Veillez à inclure le fichier binaire openssl dans votre chemin Windows. Dans les installations par défaut, le fichier openssl.exe se trouve dans C:\Program Files\Git\mingw64\bin.

Utilisez les commandes OpenSSL suivantes pour générer la paire de clés au format PEM requis.

  1. Si vous ne l'avez pas déjà fait, créez un répertoire .oci où stocker les informations d'identification . Par exemple :

    mkdir %HOMEDRIVE%%HOMEPATH%\.oci

  2. Générez la clé privée à l'aide de l'une des commandes suivantes:

    • Pour générer la clé cryptée avec une phrase de passe que vous indiquez lorsque vous y êtes invité, exécutez la commande suivante :
      Remarque

      Nous vous recommandons d'utiliser une phrase de passe pour votre clé.
      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -aes128 -passout stdin 2048

    • Pour générer la clé sans phrase de passe, procédez comme suit :

      openssl genrsa -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem 2048

  3. Générez la clé publique à partir de votre nouvelle clé privée :

    openssl rsa -pubout -in %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key.pem -out %HOMEDRIVE%%HOMEPATH%\.oci\oci_api_key_public.pem

  4. Copiez le contenu de la clé publique dans le presse-papiers (vous devrez coller sa valeur dans la console par la suite). Par exemple :

    type \.oci\oci_api_key_public.pem

Vos demandes d'API seront signées avec votre clé privée et Oracle utilisera la clé publique pour vérifier l'authenticité de la demande. Vous devez télécharger la clé publique dans IAM (instructions ci-dessous).

Procédure d'obtention de l'empreinte de la clé

Vous pouvez obtenir l'empreinte de la clé en utilisant la commande OpenSSL suivante.

Pour Linux et Mac OS X :

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Pour Windows :
Remarque

Si vous utilisez Windows, vous devez installer Git Bash for Windows et exécuter la commande avec cet outil.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Lorsque vous téléchargez la clé publique dans la console, l'empreinte y est automatiquement affichée. Elle se présente comme suit : 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

Emplacement de l'OCID de la location et de l'OCID de l'utilisateur

Les deux OCID se trouvent dans la console, à laquelle vous pouvez accéder en vous connectant ici : https://cloud.oracle.com. Si vous ne disposez pas d'identifiant de connexion ni de mot de passe pour accéder à la console, contactez un administrateur. Si vous ne savez pas bien ce que sont les OCID, reportez-vous à Identificateurs de ressource.

OCID de la location

Obtenez l'OCID de la location à partir de la console Oracle Cloud Infrastructure sur la page Détails de location :

  1. Sélectionnez le menu Profil (Icône de menu Profil), situé dans la partie supérieure droite de la barre de navigation en haut de la page, puis cliquez sur Location : <your_tenancy_name>.

  2. L'OCID de location est affiché sous Informations sur la location. Cliquez sur Copier pour le copier dans le presse-papiers.

OCID de l'utilisateur

Obtenez l'OCID de l'utilisateur dans la console sur la page des détails de l'utilisateur. Pour accéder à cette page, procédez comme suit :

  • Si vous êtes connecté en tant qu'utilisateur :

    Ouvrez le menu Profil et cliquez sur Mon profil.

  • Si vous effectuez cette opération en tant qu'administrateur pour un autre utilisateur, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Sélectionnez l'utilisateur dans la liste.
  • L'OCID de l'utilisateur est indiqué sous Informations utilisateur. Cliquez sur Copier pour le copier dans le presse-papiers.

Procédure de téléchargement de la clé publique

Vous pouvez télécharger la clé publique PEM dans la console, à laquelle vous pouvez accéder en vous connectant ici : https://cloud.oracle.com.
Remarque

Si vous ne disposez pas d'identifiant de connexion ni de mot de passe pour accéder à la console ou si vous ne voyez pas de menu Profil, contactez un administrateur.
  1. Ouvrez la console et connectez-vous.

  2. Affichez les détails de l'utilisateur qui appellera l'API avec la paire de clés :

    • Si vous êtes connecté en tant qu'utilisateur :

      Ouvrez le menu Profil et cliquez sur Mon profil.

    • Si vous effectuez cette opération en tant qu'administrateur pour un autre utilisateur, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Utilisateurs. Sélectionnez l'utilisateur dans la liste.
  3. Dans la section Ressources en bas à gauche, cliquez sur Clés d'API.
  4. Cliquez sur Ajouter une clé d'API en haut à gauche de la liste Clés d'API. La boîte de dialogue Ajouter une clé d'API apparaît.
  5. Sélectionnez le bouton radio Coller une clé publique.
  6. Collez le contenu de la clé publique PEM dans la boîte de dialogue et cliquez sur Ajouter.

L'empreinte de la clé s'affiche (par exemple, 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef).

Une fois que vous avez téléchargé la première clé publique, vous pouvez également utiliser l'opération d'API UploadApiKey pour télécharger des clés supplémentaires. Un utilisateur peut avoir jusqu'à trois paires de clés d'API. Dans une demande d'API, spécifiez l'empreinte de la clé afin d'indiquer la clé que vous utilisez pour signer la demande.