Use o serviço de Gerenciamento de Chaves se precisar armazenar suas Chaves de Criptografia Mestre em um HSM para atender aos requisitos de governança e conformidade regulamentar ou quando desejar obter mais controle sobre o período de criptografia das chaves de criptografia usadas para seus dados.

O Padrão é 10 Vaults Virtuais com 100 chaves por vault.

O padrão para o vault privado é 0, com 1000 chaves por vault.

Veja Limites de Serviço para revisar e atualizar os Limites do Serviço de Gerenciamento de Chaves. Você pode enviar um ticket para solicitar um aumento de limites a qualquer momento.

Verifique se os limites para sua locação permitem a criação do tipo de vault que você pretende criar.

Verifique se as políticas do IAM para a conta de usuário têm as permissões necessárias para criar um Vault. Veja as Referências de Política do IAM para construir uma declaração.

Primeiro você cria um vault de chaves do Gerenciamento de Chaves selecionando Segurança no console da Oracle Cloud Infrastructure, e então Gerenciamento de Chaves.

Crie um Vault e selecione um dos dois tipos de Vault disponíveis que melhor atendem aos seus requisitos de isolamento e processamento:

• Privado (VIRTUAL_PRIVATE): Escolha um Vault Privado se você precisar de maior isolamento no cluster HSM e processamento dedicado de operações de criptografia/descriptografia. O Vault Privado usa Créditos Universais a uma taxa mais alta.
• Virtual (VIRTUAL): Escolha um Vault Virtual se desejar uma métrica de preço mais baixo com base nas versões principais e estiver disposto a aceitar um isolamento moderado (partição multilocatário no HSM) e processamento compartilhado para operações de criptografia/descriptografia.

Crie as Chaves [Master Encryption] dentro do seu Vault. As chaves podem ser versionadas conforme necessário.

Verifique se as políticas do IAM para o serviço ou entidade que chama o Gerenciamento de Chaves têm as permissões necessárias. Exemplo: permitir que service objectstorage-us-ashburn-1 use as chaves no compartimento

Use a(s) chave(s):

• Com o armazenamento nativo da Oracle Cloud Infrastructure: Ao criar armazenamento (bloco, arquivo, volume), marque com "CRIPTOGRAFAR USANDO CHAVES GERENCIADAS AO CLIENTE" e selecione o Vault e a Chave de Criptografia Principal. Os dados desse armazenamento de bucket/volume/arquivo serão criptografados com uma chave de criptografia de dados agrupada com a Chave de Criptografia Mestre no Vault.
• Com operações de criptografia, usando a Command Line Interface (CLI) como exemplo:
  oci kms crypto encrypt --key-id --plaintext

As operações de criptografia também estão disponíveis no SDK e na API. Para mais detalhes, consulte Visão geral do Gerenciamento de Chaves na documentação.

Monitore seu uso das operações com métricas no console e no serviço de Monitoramento. Métricas e dimensões estão aqui: https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm

Atualmente, os seguintes serviços integram-se ao Gerenciamento de Chaves:

• Volumes em Blocos (incluindo backups/restaurações entre regiões e volumes de inicialização do Oracle Cloud Infrastructure Compute)
• Armazenamento de Objetos
• Serviço de Armazenamento de Arquivos
• Oracle Container Engine for Kubernetes

Várias ofertas do Marketplace também têm integração nativa com o serviço de Gerenciamento de Chaves.

Gerenciada pelo Cliente significa que os dados criptografados no serviço de armazenamento são protegidos de forma transparente pelas Chaves de Criptografia de Dados envolvidas com as Chaves de Criptografia Mestre de Gerenciamento de Chaves.

Gerenciada pela Oracle significa que os dados serão criptografados com uma chave de criptografia mantida e compartilhada pela Oracle para todo o armazenamento Gerenciado pela Oracle na região.

Nos dois casos, os dados são criptografados em repouso. Gerenciada pelo cliente oferece mais controle sobre o período de isolamento, controle de versão e criptografia.

Não. Quando você armazena seus dados com o Oracle Cloud Infrastructure Block Volumes, Serviço de Armazenamento de Arquivos e Armazenamento de Objetos e não usa o Gerenciamento de Chaves, seus dados são protegidos usando chaves de criptografia que são armazenadas e controladas com segurança pela Oracle.

Os seguintes recursos de gerenciamento de chaves estão disponíveis quando você usa o serviço Gerenciamento de Chaves:

• Criar vaults de chaves altamente disponíveis para armazenar de forma durável suas chaves de criptografia
• Trazer sua própria chave simétrica
• Desativar e reativar chaves
• Girar e criar uma versão das suas chaves
• Restringir permissões no Vault e nas Chaves usando as políticas IAM
• Monitorar o ciclo de vida de suas chaves e cofres usando o Oracle Audit
• Monitorar as operações de criptografia usando suas chaves.
• Excluir chaves que você não usa mais
• Excluir os vaults de chaves que você não usa mais

Os serviços que se integram ao Gerenciamento de Chaves fornecem os seguintes recursos de gerenciamento de chaves:

• Atribuir uma chave a um novo recurso
• Adicionar uma atribuição de chave a um recurso existente
• Alterar a atribuição de chave para um recurso existente
• Remover a atribuição de chaves

Ao criar uma chave, você pode escolher um formato de chave que indique o comprimento da chave e o algoritmo usado com ela. Todas as chaves são AES (Advanced Encryption Standard) e você pode escolher entre três comprimentos de chave: AES-128, AES-192 e AES-256. AES-256 é recomendado.

O Gerenciamento de Chaves está disponível em todas as regiões do Oracle Cloud Infrastructure.

Sim. Você pode girar suas chaves regularmente de acordo com suas necessidades de governança de segurança e conformidade regulamentar ou ad hoc em caso de incidência de segurança. A rotação regular de suas chaves (por exemplo, a cada 90 dias) usando o Console, API ou CLI limita a quantidade de dados protegidos por uma única chave.

Observação: Girar uma chave não criptografa automaticamente os dados que foram criptografados anteriormente com a versão antiga da chave; esses dados são criptografados na próxima vez que forem modificados pelo cliente. Se você suspeitar que uma chave foi comprometida, você deve criptografar novamente todos os dados protegidos por essa chave e desativar a versão anterior da chave.

Sim. Usando um par de chaves RSA assimétrico, o cliente deve agrupar a chave simétrica AES e, em seguida, pode ser importada para o serviço Gerenciamento de Chaves.

Sim, mas não imediatamente. Você pode agendar a exclusão de um vault de chaves do Gerenciamento de Chaves, configurando um período de espera para exclusão de 7 a 30 dias. O vault de chaves e todas as chaves criadas dentro do cofre de chaves são excluídos no final do período de espera, e todos os dados que foram protegidos por essas chaves não estão mais acessíveis. Depois que um vault de chaves é excluído, ele não pode ser recuperado.

Sim, você pode excluir uma chave ou uma versão da chave. Você pode desativar uma chave, o que impedirá qualquer operação de criptografia/descriptografia usando essa chave.

Quando você usa um Vault Privado para armazenar suas chaves, você pode criar e armazenar até 3.000 versões de chaves por vault de chaves.

Quando você usa um Vault Virtual para armazenar suas chaves, não há limite rígido.

Todas as versões de chave armazenadas em um vault contam para esse limite, independentemente da chave correspondente estar ativada ou desativada.

Você pode solicitar um aumento de limite para chaves armazenadas em um Vault seguindo as etapas em Requesting a Service Limit Increase (Solicitação de um Aumento no Limite de Serviços) da documentação da Oracle Cloud Infrastructure. Como as chaves ativadas e desativadas contam para o limite, a Oracle recomenda excluir as chaves desativadas que você não usa mais.

Não, você pode gerar um DEK (Data Encryption Keys, Chaves de criptografia de dados) envolvidas com as Chaves de Criptografia Mestre e criptografar seus dados com o DEK.

Você pode usá-lo com qualquer biblioteca de criptografia (por exemplo: Bouncy Castle, OpenSSL) para criptografar os dados.

Envie uma Solicitação de Serviço com informações sobre o Oracle Cloud Infrastructure bucket para que as operações configurem seu cofre para enviar logs para esse bucket.

A Oracle usa um cluster de seis HSMs que forneceram uma disponibilidade histórica de cinco 9s.

Atualmente, você só pode usar as chaves na região onde as criou.

Ao usar um tipo de Vault Virtual, você paga com base no número de versões principais criadas e é cobrado no final do mês pelo uso desse mês.

Ao usar um tipo de Vault Privado, você paga uma taxa por hora por cada vault criado e é cobrado no final do mês pelo uso desse mês. Ao armazenar suas chaves em um tipo de vault privado, você não é cobrado pelas chaves que cria dentro dos vaults de chaves e as usa com os serviços suportados do Oracle Cloud Infrastructure.

Para preços atuais, consulte a página Key Management pricing (Preços de Gerenciamento de Chaves).

Não, você não é cobrado pelo uso de um vault de chaves programado para exclusão. Se você cancelar a exclusão do seu vault de chaves durante o período de espera, o faturamento continuará.

Sim, as chaves no estado de exclusão pendente ainda contam para o seu limite de cota.

Não.

Você controla as chaves que você cria e armazena no Gerenciamento de Chaves. Você define as principais políticas de uso e gerenciamento e concede aos usuários, grupos ou serviços do Oracle IAM os direitos de usar, gerenciar ou associar suas chaves aos recursos.

Quando você solicita o serviço para criar uma chave em seu nome, o Gerenciamento de Chaves armazena a chave e todas as versões subsequentes em vaults de chaves com suporte do HSM.

Quando você solicita o serviço para criar uma chave em seu nome dentro de um Vault Privado, o Gerenciamento de Chaves armazena a chave e todas as versões de chave subsequentes nos vaults de chaves suportados pelo HSM usando partições isoladas por cliente dentro dos módulos de segurança de hardware (HSMs) certificados pelo FIPS 140-2, Nível de Segurança 3 (HSMs) (você pode exibir a política de Segurança do FIPS 140-2 para o hardware usado para fazer backup do seu vault de chaves aqui: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf).

Todos os tipos de vaults de chaves que contêm suas chaves são replicados várias vezes em uma região para garantir a durabilidade e a disponibilidade das chaves. O material da chave de texto sem formatação nunca pode ser visualizado ou exportado do vault de chaves. Somente usuários, grupos ou serviços que você autoriza por meio de uma política IAM podem usar as chaves, invocando o Gerenciamento de Chaves para criptografar ou descriptografar dados.

Não. Suas chaves de criptografia são armazenadas apenas em vaults de chaves hospedados nos HSMs certificados pelo FIPS 140-2, Nível 3, e você não pode exportá-los dos vaults de chaves.

Limite as permissões de exclusão do vault a um conjunto mínimo de usuários com o metaverb 'use' nas políticas IAM versus 'gerenciar'. Exemplo: permitir que os VaultOperators usem vaults no compartimento

Limite a atribuição de cofre e chaves ao armazenamento para impedir a substituição não autorizada.

Um exemplo de padrão comum é aqui.