Detalhes do Serviço de Vault
Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao serviço Vault.
Tipos de Recursos Individuais
vaults
keys
key-delegate
secrets
secret-versions
secret-bundles
Agregar Tipo de Recurso
secret-family
Uma política que usa <verb> secret-family é equivalente a gravar uma instrução <verb> <individual resource-type> separada para cada um dos tipos de recursos de segredo individuais. (Os tipos de recursos secretos incluem apenas secrets, secret-versions e secret-bundles.)
Consulte a tabela em Detalhes para Combinações de Verbo + Resource-Type para obter um detalhamento das operações da API abrangidas por cada verbo, para cada resource-type individual incluído em secret-family.
key-family
Uma política que usa <verb> Key-family é equivalente a gravar uma instrução <verb> <individual resource-type> separada para cada um dos tipos de recursos secretos individuais. (os tipos de recursos principais incluem apenas vaults, keys e key-delegate.)
Consulte a tabela em Detalhes para Combinações de Verbo + Resource-Type para obter um detalhamento das operações da API abrangidas por cada verbo, para cada resource-type individual incluído em secret-family.
Variáveis Suportadas
O serviço Vault suporta todas as variáveis gerais, além das listadas aqui. Para obter mais informações sobre variáveis gerais suportadas pelos serviços Oracle Cloud Infrastructure, consulte Variáveis Gerais para Todas as Solicitações.
| Variável | Tipo de variável | Comentários |
|---|---|---|
request.includePlainTextKey
|
String | Use esta variável para controlar se a chave de texto sem formatação será retornada além da chave criptografada em resposta a uma solicitação para gerar uma chave de criptografia de dados. |
request.kms-key.id
|
String | Use esta variável para controlar se volumes em blocos ou buckets podem ser criados sem uma chave de criptografia mestra do serviço Vault. |
target.boot-volume.kms-key.id
|
String | Use esta variável para controlar se as instâncias do serviço Compute podem ser iniciadas com volumes de inicialização que foram criados sem uma chave de criptografia mestra do serviço Vault. |
target.key.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a chaves específicas por OCID. |
target.vault.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a vaults específicos por OCID. |
target.secret.name
|
String | Use esta variável para controlar o acesso a segredos, versões de segredos e pacotes de segredos específicos por nome. |
target.secret.id
|
Entidade (OCID) | Use esta variável para controlar o acesso a segredos, versões de segredos e pacotes de segredos específicos pelo OCID. |
Detalhes para Combinações de Verbo + Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.
Por exemplo, o verbo use do tipo de recurso keys inclui as mesmas permissões e operações de API que o verbo read, além das permissões KEY_ENCRYPT e KEY_DECRYPT e diversas operações de API (Encrypt, Decrypt e GenerateDataEncryptionKey). O verbo manage permite ainda mais permissões e operações de API em comparação com o verbo use.
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect | VAULT_INSPECT |
ListVaults
|
none |
| read | INSPECT + VAULT_READ |
INSPECT +
|
none |
| use | READ + VAULT_CREATE_KEY VAULT_IMPORT_KEY VAULT_CREATE_SECRET |
sem extra |
|
| manage | USE + VAULT_CREATE VAULT_UPDATE VAULT_DELETE VAULT_MOVE VAULT_BACKUP VAULT_RESTORE VAULT_REPLICATE |
USE +
|
none |
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect | KEY_INSPECT |
|
none |
| read | INSPECT + KEY_READ |
INSPECT +
|
none |
| use | READ + KEY_ENCRYPT KEY_DECRYPT KEY_EXPORT KEY_SIGN KEY_VERIFY |
READ +
|
none |
| manage | USE + KEY_CREATE KEY_UPDATE KEY_ROTATE KEY_DELETE KEY_MOVE KEY_IMPORT KEY_BACKUP KEY_RESTORE |
USE +
|
|
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| use | KEY_ASSOCIATE KEY_DISASSOCIATE |
|
none |
Este tópico fornece uma lista de verbos, permissões e operações de API para o tipo de recurso key-family.
| Verbos | Permissões | Operações de API |
|---|---|---|
| inspect |
KEY_INSPECT VAULT_INSPECT |
|
| read |
KEY_INSPECT KEY_READ VAULT_INSPECT VAULT_READ |
|
| use |
KEY_ASSOCIATE KEY_DECRYPT KEY_DISSOCIATE KEY_ENCRYPT KEY_INSPECT KEY_READ VAULT_CREATE_KEY VAULT_INSPECT VAULT_READ |
|
| manage |
KEY_ASSOCIATE KEY_BACKUP KEY_CREATE KEY_DECRYPT KEY_DELETE KEY_DISSOCIATE KEY_ENCRYPT VAULT_INSPECT VAULT_MOVE |
|
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect | SECRET_INSPECT |
ListSecrets
|
none |
| read | INSPECT + SECRET_READ |
INSPECT +
|
none |
| use | READ + SECRET_UPDATE |
READ +
|
READ +
|
| manage | USE + SECRET_CREATE SECRET_DELETE SECRET_MOVE |
USE +
|
USE +
|
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect | SECRET_VERSION_INSPECT |
ListSecretVersions
|
none |
| read | INSPECT + SECRET_VERSION_READ |
INSPECT +
|
none |
| manage | READ + SECRET_VERSION_DELETE |
sem extra |
|
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect | SECRET_BUNDLE_INSPECT |
ListSecretBundles
|
none |
| read | INSPECT + SECRET_BUNDLE_READ |
INSPECT +
|
none |
Permissões Exigidas para Cada Operação de API
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso.
Para obter informações sobre permissões, consulte Permissões.
| Operação da API | Permissões Necessárias para Usar a Operação |
|---|---|
ListVaults
|
VAULT_INSPECT |
GetVault
|
VAULT_READ |
CreateVault
|
VAULT_CREATE |
UpdateVault
|
VAULT_UPDATE |
ScheduleVaultDeletion
|
VAULT_DELETE |
CancelVaultDeletion
|
VAULT_DELETE |
ChangeVaultCompartment
|
VAULT_MOVE |
BackupVault
|
VAULT_BACKUP |
RestoreVaultFromFile
|
VAULT_RESTORE |
RestoreVaultFromObjectStore
|
VAULT_RESTORE |
ListVaultReplicas |
VAULT_INSPECT |
CreateVaultReplica |
VAULT_REPLICATE |
DeleteVaultReplica |
VAULT_REPLICATE |
ListKeys
|
KEY_INSPECT |
ListKeyVersions
|
KEY_INSPECT |
GetKey
|
KEY_READ |
CreateKey
|
KEY_CREATE e VAULT_CREATE_KEY |
EnableKey
|
KEY_UPDATE |
DisableKey
|
KEY_UPDATE |
UpdateKey
|
KEY_UPDATE |
ScheduleKeyDeletion
|
KEY_DELETE |
CancelKeyDeletion
|
KEY_DELETE |
ChangeKeyCompartment
|
KEY_MOVE |
BackupKey
|
KEY_BACKUP |
RestoreKeyFromFile
|
KEY_RESTORE |
RestoreKeyFromObjectStore
|
KEY_RESTORE |
GetKeyVersion
|
KEY_READ |
CreateKeyVersion
|
KEY_ROTATE |
ImportKey
|
KEY_IMPORT e VAULT_IMPORT_KEY |
ImportKeyVersion
|
KEY_IMPORT |
ExportKey
|
KEY_EXPORT |
GenerateDataEncryptionKey
|
KEY_ENCRYPT |
Encrypt
|
KEY_ENCRYPT |
Decrypt
|
KEY_DECRYPT |
Sign |
KEY_SIGN |
Verify |
KEY_VERIFY |
CreateSecret
|
KEY_ENCRYPT, KEY_DECRYPT, SECRET_CREATE e VAULT_CREATE_SECRET |
UpdateSecret
|
SECRET_UPDATE |
ListSecrets
|
SECRET_INSPECT |
GetSecret
|
SECRET_READ |
ScheduleSecretDeletion
|
SECRET_DELETE |
ChangeSecretCompartment
|
SECRET_MOVE e SECRET_UPDATE |
ListSecretVersions
|
SECRET_VERSION_INSPECT |
GetSecretVersion
|
SECRET_VERSION_READ |
ScheduleSecretVersionDeletion
|
SECRET_VERSION_DELETE e SECRET_UPDATE |
CancelSecretVersionDeletion
|
SECRET_VERSION_DELETE e SECRET_UPDATE |
ListSecretBundles
|
SECRET_BUNDLE_INSPECT |
GetSecretBundle
|
SECRET_BUNDLE_READ |
GetSecretBundleByName
|
SECRET_BUNDLE_READ |