Atribuindo Principais Chaves de Criptografia
Designe chaves de criptografia mestras a recursos suportados e remova-as quando não forem mais necessárias.
Em vez de usar uma chave de criptografia que a Oracle gerencia, você pode designar chaves de criptografia mestras que você gerencia para bloquear ou inicializar volumes, bancos de dados, sistemas de arquivos, buckets e pools de fluxos. O serviço Block Volume, Database, File Storage, Object Storage e Streaming usam as chaves para decriptografar as chaves de criptografia de dados que protegem os dados armazenados por cada respectivo serviço. Por padrão, esses serviços dependem das chaves de criptografia mestras gerenciadas pela Oracle para operações criptográficas. Quando você remove uma designação de chave de criptografia mestra do serviço Vault de um recurso, o serviço retorna para usar uma chave gerenciada pela Oracle para criptografia.
Você também pode designar chaves de criptografia mestras aos clusters que cria usando o Container Engine for Kubernetes para criptografar segredos do Kubernetes em repouso no armazenamento de chave/valor do etcd.
A atribuição de chaves inclui as seguintes configurações:
- Criando uma Instância de Computação com um Volume de Inicialização Criptografado
- Criando um Volume de Inicialização Criptografado com uma chave do Vault
- Criando um Cluster do Kubernetes com Segredos Criptografados
- Designando uma Chave a um Bucket de Armazenamento de Objetos
- Designando uma chave a um pool de streams
- Designando uma Chave a um Volume de Inicialização
- Designando uma chave a um sistema de arquivos
- Designando uma Chave a um Volume em Blocos
- Editando uma Chave para um Volume de Inicialização
- Editando uma Chave para um Volume em Blocos
- Removendo uma Designação de Chave de um Volume em Blocos
- Removendo uma Designação de Chave de um Armazenamento de Objetos
Para obter informações sobre como gerenciar a criação e o uso de chaves de criptografia mestras e versões de chave, consulte Gerenciando Chaves. Para obter informações específicas sobre como criar chaves com seu próprio material da chave, consulte Importando Chaves do Vault e Versões de Chaves. Para obter informações sobre como usar chaves em operações criptográficas, consulte Usando Chaves de Criptografia Principais. Para obter informações sobre o que você pode fazer com vaults onde armazena chaves, consulte Gerenciando Vaults.
Política Obrigatória do Serviço IAM
Chaves associadas a volumes, buckets, sistemas de arquivos, clusters e pools de streams não funcionarão, a menos que você autorize os serviços Block Volume, Object Storage, File Storage, Container Engine for Kubernetes e Streaming a usar chaves em seu nome. Além disso, você também deve autorizar os usuários a delegarem o uso de chave a esses serviços antes de qualquer outra operação. Para obter mais informações, consulte Permitir que um grupo de usuários delegue o uso de chaves em um compartimento e Criar uma política para ativar chaves de criptografia em Políticas Comuns. As chaves associadas a bancos de dados não funcionarão, a menos que você autorize um grupo dinâmico que inclua todos os nós do sistema de banco de dados a gerenciar chaves na tenancy. Para obter mais informações, consulte Política de IAM Obrigatória no Exadata Cloud Service
Para usar o Oracle Cloud Infrastructure, você deve receber de um administrador o acesso de segurança em uma política . Esse acesso é necessário, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem de que não tem permissão ou que não está autorizado, verifique com o administrador qual tipo de acesso você tem e em qual compartimento vai trabalhar.
Se você ainda não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.