Oracle Vault 是金鑰的邏輯分組。必須先建立金鑰保存庫，才能產生或匯入任何金鑰。

金鑰保存庫有兩種類型：虛擬專用金鑰保存庫和預設金鑰保存庫。您建立的金鑰保存庫類型決定金鑰的隔離程度和效能。每個租戶可以擁有零至多個 Vault。

虛擬專用金鑰保存庫提供 HSM (單一租用戶) 的專用分割區。分割區是 HSM 上的實體邊界，隔離於其他分割區。虛擬專用金鑰保存庫為加密作業每秒提供更佳且一致的交易。

預設的金鑰保存庫會使用多雲端用戶分割區，因此具有中等的隔離層次。

1. 請確定您的租用戶允許建立想要建立的金鑰保存庫類型。

2. 確定已為使用者帳戶建立 Oracle Identity and Access Management (IAM) 原則，以便具備建立保存庫所需的權限。如需製作聲明，請參閱IAM 原則參考資料。

3. 您必須先從 Oracle Cloud Infrastructure 主控台依序選取安全性和金鑰保存庫來建立金鑰保存庫。

建立一個金鑰保存庫，然後根據您的隔離與處理需求，從兩個可用的金鑰保存庫類型擇一：

• 虛擬專用金鑰保存庫：如果您需要在 HSM 上進行隔離，並針對加密 / 解密作業進行專用處理，請選擇虛擬專用保存庫。
• 金鑰保存庫 (預設)：如果您願意接受中等隔離 (HSM 中的多重用戶分割區) 並用於加密 / 解密作業的共用處理，請選擇預設保存庫。

4。 在您的金鑰保存庫中建立 [Master Encryption] (主加密) 金鑰。主要加密金鑰有兩種保護模式：HSM 或軟體。

• 由 HSM 保護的主加密金鑰儲存在 HSM 上，無法從 HSM 匯出。涉及金鑰的所有加密作業也會在 HSM 上發生。
• 由軟體保護的主加密金鑰儲存在伺服器上，並且可從伺服器匯出，以在用戶端上執行加密作業，而不是在伺服器上執行。在靜態時，軟體保護金鑰會使用 HSM 上的根金鑰加密。

5. 確定呼叫金鑰保存庫之服務或實體的 IAM 原則具有必要權限。

範例：允許服務 objectstorage-us-ashburn-1 使用區間中的金鑰

使用金鑰：

• 使用原生 Oracle Cloud Infrastructure 儲存空間：建立儲存空間 (儲存貯體、檔案、磁碟區) 時，請以「ENCRYPT USING CUSTOMER-MANAGED KEYS」標示，然後選取金鑰保存庫和主要加密金鑰。貯體/磁碟區/檔案儲存區的資料，將會以使用金鑰保存庫的主加密金鑰包裝的資料加密金鑰加密。
• 透過加密作業，使用命令行介面 (CLI) 作為範例：oci kms crypto encrypt --key-id --plaintext

SDK 和 API 也提供加密作業。如需詳細資訊，請參閱說明文件中的金鑰保存庫概要。

6。 使用主控台的指標和 Monitoring (監控) 服務，監控您的操作使用狀況。查看指標和維度。

預設為 Virtual Private Vault 限制為 0。使用者應要求提高限額，才能使用。啟用「虛擬專用金鑰保存庫」之後，使用者會獲得 1000 個寬鬆限制，嚴格限制 3000 個對稱金鑰版本。

使用預設的 Vault 來儲存金鑰時，沒有嚴格限制。預設為每個金鑰保存庫中，有具備 100 個金鑰的 10 個金鑰保存庫。

不論相應的金鑰為啟用或停用，所有儲存在金鑰保存庫的金鑰版本均會納入此限制值計算。

OCI Vault 所施加的限制由 OCI 服務限制所管理。已為所有租用戶設定預設限制。客戶可依照 Oracle Cloud Infrastructure 文件的要求提高服務限制步驟，要求提高儲存在金鑰保存庫內的金鑰服務限制。由於已啟用和停用的金鑰均會納入限制值計算，Oracle 建議刪除不再使用的已停用金鑰。

當您使用金鑰保存庫服務時，有下列主要管理功能。如需詳細資訊，請參閱說明文件中的金鑰保存庫概要。

• 建立可保護資料的加密金鑰
• 使用自己的金鑰
• 輪換金鑰
• 支援跨區域備份及回復金鑰
• 使用 IAM 原則限制金鑰的權限
• 與 OCI 內部服務的整合：Oracle Autonomous Database - Dedicated、Oracle Block Storage、Oracle File Storage、Oracle Object Storage、 Streaming 及 Container engine for Kubernetes

建立金鑰時，可選擇用於指示金鑰長度和所用演算法的金鑰形式。所有金鑰目前都是進階加密標準 (AES - GCM)，您可以從三個金鑰長度中選擇：AES-128、AES-192 和 AES-256。建議使用 AES-256。

所有商務和政府 Oracle Cloud Infrastructure 區域都提供金鑰管理。

有。您可以根據安全性治理和法規遵循需求定期輪換金鑰，或在安全性事件發生時臨時輪換。可使用 Console、API 定期輪換金鑰 (例如：每 90 天)，或使用 CLI 限制受單一金鑰保護的資料量。

注意：輪換金鑰並不會自動將先前以舊金鑰版本加密的資料重新加密；客戶下次修改此資料時才會重新加密。若您懷疑金鑰外洩，則應該對所有由該金鑰保護的資料重新加密，並停用先前的金鑰版本。

有。您可以將金鑰的複本從自己的金鑰管理基礎架構匯入至金鑰保存庫，然後搭配任何整合的 OCI 服務或自備應用程式內使用。

可以，但無法立即刪除。您可以透過設定 7 到 30 天的等待期間來排程刪除。金鑰保存庫和所有在金鑰保存庫內建立的所有金鑰都會在等待期結束時刪除，所有受這些金鑰保護的資料都將無法存取。刪除金鑰保存庫之後，即無法予以復原。

可以，但無法立即刪除。您可以透過設定 7 到 30 天的等待期間來排程刪除。您也可以停用金鑰，讓該金鑰無法進行任何加密 / 解密作業。

您可以直接將資料送出至金鑰管理 API，使用金鑰保存庫中儲存的主要加密金鑰進行加密和解密。

此外，您還可以使用「信封加密」方法，將應用系統和 OCI 服務內本機的資料加密。

使用信封加密，從金鑰管理 API 產生並擷取資料加密金鑰 (DEK)。DEK 並未儲存在金鑰管理服務中，但是由您的主要加密金鑰加密。您的應用程式可以使用 DEK 來加密您的資料，並將加密的 DEK 與資料一起儲存。當應用程式想要將資料解密時，您應該在加密的 DEK 上呼叫解密到金鑰管理 API 以擷取 DEK。您可以使用 DEK 在本機解密資料。

金鑰管理支援最多可傳送 4 KB 的資料進行直接加密。此外，信封加密也可以提供顯著的效能。以金鑰管理 API 直接加密資料時，必須透過網路傳輸資料。信封加密可減少網路負載，因為只有要求和傳遞較小的 DEK 到網路上。DEK 是在您的應用程式本機使用或加密 OCI 服務，不需要傳送整個資料區塊。

Oracle 使用一組節點和 HSM 儲存您金鑰在建立所在區域的複本，讓我們能夠提供 99.9% SLA 和 99.99% SLO 以提供金鑰管理。請參閱 Oracle PaaS and IaaS Public Cloud Services 重要說明文件。

有。Key Management 支援虛擬專用保存庫的跨區域備份與回復，讓金鑰與建立位置不同的區域使用。備份與回復會滿足 FIPS 需求，因為不會匯出真正的金鑰資料，而是代表主要資料的二進位物件。回復作業只能對 OCI 管理的 HSM 進行。

系統會根據您建立的保存庫類型向您收取費用。

根據預設，您的 Vault 會根據金鑰版本數目來收費。軟體保護金鑰是免費的，但 HSM 保護金鑰每個金鑰版本都收取 50 美分。(前 20 個金鑰版本免費)。

不過，如果您建立虛擬專用保存庫 (單租用戶 HSM)，系統就會以每小時計費。價格會從建立 Vault 的開始，並繼續直到 Vault 排定刪除為止。您無須支付「虛擬專用保存庫」內的金鑰版本費用。

如需詳細資訊，請參考 Oracle Cloud 安全價格。

否，系統不會向您收取排定刪除的金鑰費用。如果您取消刪除金鑰，帳單就會繼續。

不能。

當您要求服務建立具有保護模式 HSM 的金鑰時，金鑰管理會將金鑰與所有後續的金鑰版本都儲存在 HSM 中。一律無法從 HSM 檢視或匯出純文字金鑰資料。使用保護模式 Software 時，金鑰會儲存在「金鑰管理」伺服器上，並且受到 HSM root 金鑰保護。

唯有您透過 IAM 原則授權的使用者、群組或服務，才可啟動 Key Management 來加密或解密資料使用金鑰。

有。如果您建立一個保護模式為 Software 的金鑰，可以純文字來匯出金鑰資料。不過，如果您以保護模式 HSM 建立金鑰，就無法匯出金鑰資料，因為金鑰永遠不會離開 HSM。您可以備份主要材料，以還原相同或不同的區域。不過，備份不會授予金鑰資料的存取權。