FAQ sur Key Management
Questions générales
Qu’est-ce qu'Oracle Cloud Infrastructure Key Management Service (KMS) ?
Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) est un service cloud qui fournit une gestion et un contrôle centralisés des clés de chiffrement pour les données stockées dans OCI. OCI KMS est un service de chiffrement géré par le client et offre les services suivants :
- OCI Vault : OCI Vault est un service de chiffrement géré par le client qui vous permet de contrôler les clés hébergées dans les modules de sécurité matériels (HSM) OCI pendant qu'Oracle gère et administre les HSM. OCI Vault propose les options suivantes :
- Virtual Vault : Virtual Vault est un service de chiffrement colocatif dans lequel vos clés sont stockées dans des partitions HSM qui hébergent également des clés d'autres clients. Il s'agit du service de chiffrement par défaut dans OCI Vault.
- Private Vault : Private Vault est un service de chiffrement à locataire unique qui stocke les clés dans une partition HSM dédiée avec des cœurs dédiés isolés dans votre location.
- OCI Dedicated KMS : Prochainement, OCI Dedicated KMS proposera une partition HSM à locataire unique en tant que service avec un environnement entièrement isolé pour le stockage et la gestion des clés de chiffrement. La différence entre Private Vault et OCI Dedicated KMS réside dans le contrôle des partitions HSM. Avec OCI Dedicated KMS, vous pouvez contrôler et revendiquer la propriété des partitions HSM et utiliser des interfaces standard, telles que PKCS#11, pour effectuer des opérations cryptographiques. Oracle administre toujours ces partitions HSM pour l'application de correctifs de sécurité et de microprogramme.
- OCI External KMS : External KMS vous permet d'utiliser votre propre système de gestion des clés tiers pour protéger les données des services OCI. Vous contrôlez les clés et les HSM en dehors d'OCI, et vous êtes responsable de l'administration et de la facilité de gestion de ces HSM. Vos clés principales sont toujours stockées en dehors d'OCI et ne sont jamais importées dans OCI External KMS. Les opérations de chiffrement et de déchiffrement se déroulent donc en dehors d'OCI.
Pour en savoir plus sur les offres de chiffrement d'OCI, reportez-vous à ce blog.
Quelles sont les exigences de sécurité et de conformité respectées par OCI KMS ?
OCI KMS utilise des HSM qui répondent à la certification de sécurité FIPS (Federal Information Processing Standards) 140-2, niveau de sécurité 3, pour protéger vos clés. Le certificat FIPS est disponible sur le site Web NIST Cryptographic Module Validation Program (CMVP) ici.
OCI KMS a été validé avec les fonctionnalités et les contrôles de sécurité pour vous aider à répondre aux exigences de chiffrement et de gestion des clés de la norme PCI DSS 3.2.1 (principalement référencées dans les sections 3.5 et 3.6).
Quelles sont les fonctionnalités prises en charge par OCI KMS ?
OCI KMS prend en charge diverses fonctionnalités pour vous permettre de contrôler vos clés et d'assurer la protection de sécurité requise pour vos données dans les services OCI. Vous trouverez ci-dessous la matrice de fonctionnalités essentielles pour les différents services au sein d'OCI KMS.
| Fonctionnalités | Virtual vault | Private vault | Dedicated KMS | External KMS |
|---|---|---|---|---|
| HSM FIPS 140-2 Niveau 3 | Oui | Oui | Oui | Externe |
| Chiffrement symétrique (AES) | Oui | Oui | Oui | Oui |
| Chiffrement asymétrique (RSA et ECDSA) | Oui | Oui | Oui | Non |
| Clés logicielles | Oui | Oui | Non | Externe |
| Sauvegarde/Restauration | Non | Oui | Oui | Non |
| Réplication inter-régionale | Bientôt disponible | Oui | Non | Non |
| Bring your own keys (apportez vos propres clés) | Oui | Oui | Oui | Externe |
| OCI Services Integration (stockage, base de données, SaaS) | Oui | Oui | Non | Oui |
| Rotation automatique des clés | Bientôt disponible | Bientôt disponible | Non | Non |
| Journalisation d’audit | Oui | Oui | Oui | Oui |
| Suppression planifiée | Oui | Oui | Oui | Oui |
Comment Oracle assure-t-il la haute disponibilité des clés dans une région ? Dans quelles régions géographiques mes clés sont-elles stockées ?
Oracle utilise un cluster de nœuds et des HSM pour stocker les répliques de vos clés dans la région où elles ont été créées, ce qui nous permet d'atteindre 99,9 % de contrat de niveau de service (SLA) et 99,99 % d'objectif de niveau de service (SLO) pour la gestion des clés. Consultez Document Pillar Oracle PaaS et IaaS Public Cloud Services.
Une clé est stockée et utilisée uniquement dans la région dans laquelle elle a été créée. Si vous souhaitez sauvegarder/répliquer vos clés vers une autre région du domaine afin de répondre aux exigences de conformité ou de reprise après sinistre, vous pouvez utiliser la sauvegarde et la restauration inter-région ou la réplication inter-région.
Quelle est la différence entre OCI KMS et Oracle Key Vault (OKV) ?
OCI KMS est un service de gestion de clés natif du cloud qu'Oracle recommande pour toutes vos applications cloud. OCI KMS est intégré de manière native à de nombreux services OCI liés aux services de stockage, de base de données et SaaS tels que FA. Si vous recherchez une gestion centralisée des clés dans Oracle Cloud et un service géré pour toutes vos applications cloud avec une tarification à l'utilisation, Oracle vous recommande OCI KMS.
Oracle Key Vault est un autre produit de gestion de clés d'Oracle. Oracle Key Vault offre des fonctionnalités de gestion des clés pour les bases de données Oracle Database compatibles TDE s’exécutant à la fois sur site (ce qui englobe Oracle Exadata Cloud@Customer et Oracle Autonomous Database—Dedicated) et dans OCI, ainsi que des fonctionnalités de gestion des clés pour les fichiers de trace Oracle GoldenGate chiffrés et les systèmes Oracle Automatic Storage Management Cluster File Systems.
Dans quelles régions OCI KMS est-il disponible et où puis-je trouver des ressources pour OCI KMS ?
OCI KMS est disponible dans toutes les régions et tous les domaines OCI, y compris les régions gouvernementales, le cloud souverain pour l'UE, les régions Oracle National Security et OCI Dedicated Region Cloud@Customer. Vous pouvez en savoir plus sur la disponibilité des régions et les offres OCI KMS dans notre documentation et nos blogs.
Vault
À quoi sert OCI Vault ?
OCI Vault est un service sécurisé et résilient entièrement géré qui vous permet de vous concentrer sur vos besoins de chiffrement de données sans vous inquiéter des tâches administratives fastidieuses requises pour atteindre la haute disponibilité, telles que le provisionnement du matériel et les correctifs logiciels. Vault utilise des HSM qui répondent à la certification de sécurité FIPS 140-2 Niveau de sécurité 3 pour protéger vos clés. OCI Vault est le service de chiffrement natif du cloud de deuxième génération.
Vault prend en charge différents types de clés de chiffrement symétrique (clés AES) et asymétrique (clés RSA et ECDSA) ainsi qu'un ensemble générique de workloads, notamment Oracle Exadata Cloud Service, Oracle Autonomous Database, Transparent Data Encryption dans Oracle Database et les workloads autres que ceux de base de données.
Il existe deux types de coffres OCI Vault : Private Vault et Virtual Vault (par défaut). Le type de coffre que vous créez détermine le degré d’isolement et les performances de vos clés. Chaque locataire peut avoir entre zéro et plusieurs coffres.
Un coffre Private Vaut dispose d'une partition dédiée sur le HSM (locataire unique). Une partition est une limite physique sur le HSM qui est isolée des autres partitions. Un coffre Private Vault propose un taux de transactions à la seconde plus élevé et uniforme pour les opérations de chiffrement. Ce sont des HSM à locataire unique. Les coffres Private Vault disposent également de fonctionnalités supplémentaires telles que la réplication inter-région et la sauvegarde et la restauration de clés inter-région.
Le coffre Virtual Vault (par défaut) utilise une partition colocative, ce qui fournit un niveau d'isolement modéré.
Les deux options Vault permettent de créer des clés de chiffrement principales, qui sont stockées de l'une des manières suivantes :
- Clé HSM : Une clé de chiffrement principale protégée par un HSM est stockée sur un HSM et ne peut pas être exportée à partir de celui-ci. Toutes les opérations cryptographiques impliquant la clé se produisent également sur le HSM. Ces clés sont conformes à la norme FIPS Niveau 3.
- Clé logicielle : Une clé de chiffrement principale protégée par un logiciel est stockée sur un serveur et peut être exportée pour effectuer des opérations de chiffrement sur le client plutôt que sur le serveur. Au repos, la clé protégée par software est chiffrée par une clé racine sur le HSM. Ces clés sont conformes à la norme FIPS Niveau 1.
Quelles fonctionnalités OCI Vault offre-t-il ?
Les fonctionnalités de gestion des clés suivantes sont disponibles avec OCI Vault :
- Création de vos propres clés de chiffrement pour protéger vos données
- Bring your own keys (apportez vos propres clés)
- Rotation de vos clés
- Création et vérification des signatures numériques avec des opérations de signature et de vérification à l'aide de clés asymétriques
- Prise en charge de la sauvegarde et de la restauration inter-région pour vos coffres et vos clés (Private Vault uniquement)
- Prise en charge de la réplication inter-région des coffres et des clés (Private Vault uniquement)
- Désactivation temporaire des clés pour protéger les données
- Suppression programmée des clés et des coffres que vous n'utilisez plus
- Limite des droits d'accès affinés sur la gestion et l'utilisation des clés et des coffres à l'aide des stratégies OCI IAM.
- Surveillance de l'état du cycle de vie des clés et des coffres avec Oracle Audit et Database Firewall
- Intégration aisée aux services internes OCI : Oracle Exadata Cloud Service, Oracle Autonomous Database—Dedicated, and Oracle Cloud Infrastructure (OCI) Block Storage, File Storage, Object Storage, Streaming, et Container Engine for Kubernetes.
Dans OCI Vault, vous pouvez créer des clés Advanced Encryption Standard (AES-GCM), Rivest-Shamir-Adleman (RSA) et Elliptic Curve Digital Signature Algorithm (ECDSA). Pour les clés AES, vous pouvez choisir parmi trois longueurs de clé : AES-128, AES-192 et AES-256. La longueur AES-256 est recommandée. OCI Vault prend en charge les types de clés asymétriques suivants : RSA 2048, RSA 3072, RSA 4096, NIST P-256, NIST P384 et ECC_NIST521.
Vous pouvez créer et utiliser des clés symétriques AES et des clés asymétriques RSA pour le chiffrement et le déchiffrement. Vous pouvez également utiliser des clés asymétriques RSA ou ECDSA pour signer des messages numériques.
Pour en savoir plus, reportez-vous à la présentation d'OCI Vault.
Où mes données sont-elles chiffrées si j'utilise OCI Vault ?
Vous pouvez soumettre des données directement aux API de gestion des clés pour chiffrer et déchiffrer à l’aide de vos clés principales stockées dans le coffre. En outre, vous pouvez chiffrer vos données localement dans vos applications et services OCI au moyen d’une méthode appelée chiffrement d’enveloppe.
Cette méthode permet de générer et récupérer des clés de chiffrement de données (DEK) à partir des API de gestion de clés. Les clés de chiffrement de données ne sont ni stockées ni gérées dans le service de gestion des clés, mais elles sont chiffrées par votre clé de chiffrement principale. Vos applications peuvent les utiliser pour chiffrer vos données et stocker les DEK avec les données. Lorsque vos applications souhaitent déchiffrer les données, vous devez appeler l’API de déchiffrement de gestion des clés sur la DEK chiffrée pour récupérer cette dernière. Vous pouvez déchiffrer vos données localement avec la clé de chiffrement des données.
Pourquoi utiliser le chiffrement d’enveloppe ? Pourquoi ne pas simplement envoyer des données à OCI Key Management Service et à OCI Vault pour qu'il les chiffre directement ?
Le service gestion des clés prend en charge l’envoi de jusqu’à 4 Ko de données à chiffrer directement. De plus, le chiffrement d’enveloppe peut offrir des avantages significatifs en termes de performances. Lorsque vous chiffrez des données directement avec les API de gestion des clés, elles doivent être transférées sur le réseau. Le chiffrement d’enveloppe réduit la charge du réseau puisque seules la demande et la livraison de la clé de chiffrement de données, plus petite, transitent par le réseau. Cette dernière est utilisée localement dans votre application ou service de chiffrement OCI, ce qui évite d’envoyer tout le bloc de données.
Puis-je utiliser mes propres clés (BYOK) dans OCI Vault ?
Oui. Vous pouvez importer une copie de votre clé à partir de votre propre infrastructure de gestion de clés vers OCI et l’utiliser avec tous les services OCI intégrés ou dans vos propres applications. Vous pouvez importer tous les algorithmes de clés : clés AES, RSA et ECDSA. L'importation des deux types de clés est prise en charge : HSM et clés logicielles. Remarque : vous ne pouvez pas exporter de clés HSM hors du HSM.
Puis-je faire pivoter mes clés ?
Oui. Vous pouvez changer vos clés régulièrement en fonction de vos besoins en matière de gouvernance de la sécurité et de conformité réglementaire ou de manière ponctuelle en cas d’incident de sécurité. La rotation régulière de vos clés (par exemple, tous les 90 jours) à l’aide de la console, de l’API ou de la CLI, limite la quantité de données protégées par une seule clé.
Remarque : La rotation d'une clé ne rechiffre pas automatiquement les données précédemment chiffrées avec l'ancienne version de la clé ; ces données sont rechiffrées la prochaine fois qu'elles sont modifiées par le client. Si vous pensez qu’une clé a été compromise, vous devez rechiffrer toutes les données protégées par cette clé et désactiver la version de clé précédente.
Puis-je supprimer un coffre ou une clé ?
Oui, mais pas instantanément. Vous pouvez planifier la suppression d'un coffre, d'une clé ou d'une version de clé en configurant une période d'attente de 7 à 30 jours.
Pour la suppression d'un coffre, le coffre et toutes les clés créées à l'intérieur de celui-ci sont supprimés à la fin de la période d'attente, et toutes les données qui étaient protégées par ces clés ne sont plus accessibles. Une fois le coffre supprimé, il ne peut pas être récupéré.
Vous pouvez également désactiver une clé, ce qui empêchera toute opération de chiffrement et de déchiffrement utilisant cette clé.
Puis-je transférer et utiliser mes clés dans une région différente de celle où elles ont été créées ?
Oui. Vault prend en charge la réplication inter-région des clés et des coffres. Vous pouvez répliquer des coffres privés d'une région à une autre pour les rendre disponibles, ainsi que les clés qu'ils contiennent, afin de répondre aux exigences de conformité ou d'améliorer la latence.
Lorsque vous configurez une réplication inter-région pour un coffre privé, le service Vault synchronise automatiquement la création, la suppression, la mise à jour ou le déplacement de clés ou de versions de clé entre le coffre initiateur et un coffre dans une région de destination. Le coffre à partir duquel le service réplique les données est appelé coffre source. Le coffre dans la région de destination vers laquelle le service réplique les données du coffre source est appelé réplique de coffre. Le service prend en charge les opérations cryptographiques sur le coffre et les clés dans la région de destination.
OCI Vault prend également en charge la sauvegarde et la restauration interrégionales pour Private Vault afin que les clés puissent être utilisées dans une région différente de celle où elles ont été créées. La sauvegarde et la restauration répondent aux exigences FIPS, car les matériels de clé réels ne sont pas exportés, mais plutôt un objet binaire qui représente le matériel de clé. Les opérations de restauration peuvent être réalisées uniquement sur les HSM gérés par OCI.
Comment est facturée l'utilisation d'OCI Key Management Service et d'OCI Vault ?
La facturation dépend du type de coffre créé.
Par défaut, votre coffre est facturé en fonction du nombre de versions de clé. Les clés protégées par logiciel sont gratuites, mais les clés protégées par HSM sont facturées 0,53 USD par version. (Les 20 premières versions de clé sont gratuites). Toutefois, si vous créez un coffre Private Vault (HSM à locataire unique), vous êtes facturé à l’heure. La tarification commence à partir de la création du coffre et se poursuit jusqu’à ce que la suppression du coffre soit programmée. Les versions de clé dans un coffre Private Vault ne sont pas facturées.
Vous n'êtes pas facturé en fonction du nombre de demandes d'API pour les coffres et de clés effectuées sur le service pour les opérations de gestion ou de cryptographie.
Pour plus de détails, consultez Tarification d’Oracle Cloud Security.
Clés dont la suppression est programmée : les clés dont la suppression est programmée ne sont pas facturées. Si vous annulez la suppression de vos clés, la facturation reprend.
Quelles sont les limites par défaut d'OCI Vault ? ?
La limite de Private Vault est fixée à 0 par défaut. L’utilisateur doit demander une augmentation de la limite. Une fois le coffre Private Vault activé, l’utilisateur obtient une limite souple de 1 000 et une limite stricte de 3 000 versions de clé symétrique.
Lorsque vous utilisez le Virtual Vault par défaut pour stocker vos clés, il n’y a pas de limite fixe. La valeur par défaut est de 10 coffres avec 100 clés par coffre.
Toutes les versions de clés que vous stockez dans un coffre comptent pour cette limite, quelle que soit la clé correspondante activée ou désactivée.
Les limites imposées à OCI Vault sont régies par les limites de service OCI. Des limites par défaut sont définies pour tous les locataires. Les clients peuvent demander une augmentation de limite de service pour les clés stockées dans un coffre en suivant les étapes décrites ici dans la documentation Oracle Cloud Infrastructure. Comme les clés activées et désactivées comptent dans la limite, Oracle recommande de supprimer les clés désactivées que vous n’utilisez plus.
Qui peut utiliser et gérer mes clés dans OCI Vault, et puis-je voir qui a apporté des modifications à l'état de cycle de vie des clés et des coffres ?
Lorsque vous utilisez OCI Key Management Service pour chiffrer ou déchiffrer des données, seuls les utilisateurs, groupes ou services à qui vous octroyez l'autorisation via une stratégie OCI IAM peuvent gérer et utiliser les clés. Vous pouvez appliquer des stratégies de gestion et d'utilisation détaillées pour accorder des droits d'accès spécifiques à des utilisateurs spécifiques.
Pour suivre les modifications d'état de cycle de vie, vous pouvez utiliser des journaux dans OCI Audit, qui afficheront tous les détails de demande de gestion OCI Vault, tels que la création, la rotation, la désactivation, etc., pour tous les coffres, les clés ou les versions de clé de votre location.
Dedicated Key Management Service
Qu'est-ce qu'OCI Dedicated KMS ?
OCI Dedicated KMS est un service entièrement géré qui fournit des partitions de module de sécurité matérielle (HSM) à locataire unique dans votre compte OCI. Vous bénéficiez d'un contrôle et d'une visibilité exclusifs sur vos clés de cryptage et sur les partitions HSM qui les stockent, ce qui vous offre un meilleur contrôle sur la gestion des clés.Quels sont les principaux avantages d'OCI Dedicated KMS ?
- Contrôle granulaire : gérez les cycles de vie clés, l'accès des utilisateurs et les stratégies de sécurité dans l'environnement HSM.
- Interaction HSM directe : les applications accèdent directement aux HSM via PKCS#11, en contournant les API OCI pour plus d'efficacité.
- Conformité : utilisez des HSM certifiés FIPS 140-2 niveau 3 et une interaction HSM directe pour les opérations à faible latence.
À qui s'adresse OCI Dedicated KMS ?
Les entreprises qui ont des exigences de conformité strictes ou des déploiements d'infrastructure de clé publique personnalisée (PKI) nécessitant un contrôle et une visibilité fins sur leur gestion des clés et leurs opérations cryptographiques bénéficient considérablement d'OCI Dedicated KMS.
En quoi OCI Dedicated KMS diffère-t-il de l'offre OCI Vault (Private Vault) ?
Bien que les deux offrent des partitions HSM à locataire unique, OCI Dedicated KMS vous confère un contrôle direct sur les partitions HSM et les administrateurs, ce qui s'avère idéal pour la personnalisation et la gestion avancées. Avec OCI Dedicated KMS, vous utilisez des interfaces standard telles que PKCS#11 pour effectuer des opérations cryptographiques sur vos clés. D'autre part, Private Vault donne la priorité à la facilité d'utilisation avec les HSM gérés par Oracle et convient aux besoins KMS standard. Vous utilisez les API KMS pour effectuer des opérations cryptographiques dans l'offre Private Vault.
Quels sont les services OCI pris en charge par OCI Dedicated KMS ?
Les applications doivent utiliser des interfaces standard telles que PKCS#11 pour interagir directement avec OCI Dedicated KMS. Les services OCI tels que Database, Storage et Oracle Fusion Applications sont intégrés en natif à l'offre Vault. Utilisez Vault pour ces services dans OCI KMS.
Comment commencer avec OCI Dedicated KMS ?
Augmentez les limites de ressource OCI Dedicated KMS dans OCI car, par défaut, vous ne pouvez pas créer le cluster HSM dans la console OCI. La création d'un cluster HSM est un processus en plusieurs phases qui implique l'intervention de l'utilisateur en deux étapes : initialisation requise et activation requise. Reportez-vous à la documentation technique pour créer un cluster HSM.
Combien coûte OCI Dedicated KMS ?
Le tarif d'OCI Dedicated KMS est de 1,75 USD par partition HSM et par heure. Avec un minimum de trois partitions HSM, le coût de départ est de 5,25 USD par heure.
Vous devez explicitement demander une limite pour les partitions HSM dédiées.Puis-je ajouter d'autres partitions à un cluster HSM existant ?
Non. Chaque cluster HSM contient trois partitions fixes. Si vous avez besoin de partitions supplémentaires, créez des clusters HSM supplémentaires.
Comment gérer et effectuer des opérations cryptographiques sur mes clés ?
Les applications client accèdent aux clés et effectuent directement des opérations cryptographiques via des HSM à l'aide de l'interface standard PKCS#11, sans dépendre des API OCI.
Quelles sont les fonctionnalités de sécurité d'OCI Dedicated KMS ?
OCI Dedicated KMS offre un meilleur contrôle et une meilleure sécurité pour la gestion des clés avec des partitions HSM certifiées FIPS 140-2 de niveau 3, un cryptage de bout en bout pour les interactions HSM et un contrôle granulaire sur l'accès utilisateur et les stratégies de sécurité.
Comment obtenir plus d'informations sur OCI Dedicated KMS ?
Vous trouverez des informations utiles sur la page Web du service OCI Key Management. Pour plus d'informations sur la configuration, reportez-vous à la documentation technique Oracle.
External Key Management Service
Qu'est-ce que le service OCI External Key Management Service (OCI External KMS) ?
OCI External KMS est un service qui permet aux clients d'utiliser des clés de chiffrement stockées et gérées en dehors d'OCI. Il peut s'avérer utile pour les clients qui ont des exigences réglementaires de stockage des clés de chiffrement sur site ou en dehors d'OCI, ou qui souhaitent bénéficier d'un contrôle accru sur leurs clés de chiffrement. Pour plus d'informations, consultez ce blog.
Quels sont les avantages d'OCI External KMS ?
Le service aide les clients à résoudre les problèmes suivants :
- Souveraineté, conformité et régulation des données :: OCI External KMS aide les clients à garder le contrôle sur leurs clés de chiffrement et leur emplacement de stockage. Cette solution est avantageuse pour les entreprises qui doivent se conformer à des exigences strictes en matière de souveraineté des données, telles que le règlement général sur la protection des données (RGPD) de l'UE.
- Confiance et assurance :: OCI External KMS permet aux clients de posséder et de gérer le module cryptographique et de devenir les dépositaires de leurs clés de chiffrement. Cette solution est avantageuse pour les entreprises qui doivent prouver leur contrôle sur les processus de chiffrement aux clients finaux, aux partenaires et aux parties prenantes.
Quels sont les éléments opérationnels à prendre en compte pour l'utilisation d'OCI External KMS ?
OCI External KMS offre aux clients un contrôle accru sur leurs clés de chiffrement, mais s'accompagne également d'une responsabilité opérationnelle : les clients doivent administrer, gérer et assurer la maintenance sur site des clés de chiffrement et les modules de sécurité matériels (HSM). Ce modèle de propriété diffère de celui du service OCI Vault existant, avec lequel Oracle gère et administre l'infrastructure HSM pour le compte des clients.
Comment effectuer la rotation des clés dans OCI External KMS ?
Pour effectuer la rotation d'une clé (également appelée référence de clé) dans OCI External KMS, vous devez tout d'abord effectuer la rotation des clés dans Thales CipherTrust Manager en suivant la procédure ci-dessous, car le contenu des clés est stocké en dehors d'OCI.
- Ajoutez une nouvelle version de clé externe dans Thales CipherTrust Manager.
Dans OCI, vous pouvez ensuite cliquer sur Effectuer la rotation de la référence de clé et saisir l'ID de version de clé externe de l'étape précédente.
Quels sont les services OCI pris en charge par OCI External KMS ?
OCI External KMS prend en charge les clés de chiffrement symétriques et est compatible avec les applications déjà intégrées à OCI Vault. Par conséquent, les clients n'ont pas besoin de modifier les applications pour tirer parti d'OCI External KMS. Ils peuvent utiliser et associer des clés de la même manière qu'avec OCI Vault et avec le même SLA de 99,9 %.
Les services suivants sont intégrés à OCI Vault et peuvent bénéficier d'OCI External KMS sans aucune modification :
- Oracle Cloud Infrastructure Object Storage, Block Volume et File Storage
- Oracle Cloud Infrastructure Container Engine for Kubernetes
- Oracle Database, y compris Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure, Oracle Database Cloud Service et Database as a Service
- Oracle Fusion Cloud Applications
Que se passe-t-il si je désactive, bloque ou supprime des clés de Thales CipherTrust Manager dans OCI External KMS ? Mes données dans OCI resteront-elles accessibles ?
OCI External KMS est conçu de sorte qu'OCI n'a aucun accès au matériel de clé cryptographique réel. Une fois qu'un client a bloqué la clé dans Thales CipherTrust Manager, OCI n'a aucun moyen d'utiliser la référence de clé pour déchiffrer les données ou effectuer une opération à l'aide de cette référence de clé.
Vous pouvez également désactiver/supprimer les références de clé à partir de la console OCI.
OCI External KMS prend-il en charge la réplication inter-région des clés/coffres ?
OCI External KMS ne prend actuellement pas en charge la réplication inter-région de clés/de coffres.
Quel est le tarif d'OCI External KMS ?
OCI External KMS coûte 3 USD par version de clé et par mois, et l'utilisation de ces versions de clé n'entraîne aucun coût supplémentaire. Les clients ont une limite souple de 10 coffres et de 100 versions de clé par coffre. Veuillez contacter Thales pour en savoir plus sur les tarifs et les limites de CipherTrust Manager.
Comment puis-je en savoir plus sur OCI External KMS ?
Pour en apprendre davantage sur OCI External KMS, consultez la documentation technique ou essayez-le dans la console OCI. Pour accéder à External KMS dans la console OCI, sélectionnez « Identity and Security » dans le menu de navigation d'OCI, puis « Key Management and Secret Management », puis « External Key Management ».