Nous sommes désolés. Impossible de trouver une correspondance pour votre recherche.

Nous vous suggérons d’essayer ce qui suit pour trouver ce que vous recherchez :

  • Vérifiez l’orthographe de votre recherche par mot clé.
  • Utilisez des synonymes pour le mot clé que vous avez saisi, par exemple, essayez « application » au lieu de « logiciel ».
  • Lancez une nouvelle recherche.
Country Nous contacter Se connecter à Oracle Cloud

FAQ sur Key Management

Questions générales

Qu’est-ce qu’Oracle Cloud Infrastructure Vault—Key Management ?

Oracle Cloud Infrastructure (OCI) Vault vous permet de gérer et de contrôler de manière centralisée l’utilisation des clés et des secrets dans un large éventail de services et d’applications OCI. OCI Vault est un service géré sécurisé et résilient qui vous permet de vous concentrer sur vos besoins de chiffrement de données sans vous préoccuper des tâches administratives chronophages telles que le dimensionnement du matériel, les correctifs logiciels et la haute disponibilité.

Key Management utilise des modules de sécurité matériels (HSM) qui correspondent à la certification de sécurité FIPS 140-2, niveau de sécurité 3, pour protéger vos clés. Vous pouvez créer des clés de chiffrement principales protégées par HSM ou par software. Avec les clés protégées par HSM, toutes les opérations cryptographiques et le stockage des clés s’effectuent à l’intérieur du HSM. Avec les clés protégées par software, vos clés de chiffrement sont stockées et traitées dans le software, mais sont sécurisées au repos avec une clé racine de HSM.

Quelle est la différence entre OCI Vault et Oracle Key Vault ?

OCI Vault et Oracle Key Vault sont deux produits de gestion de clés d’Oracle.

OCI Vault—Key Management est un service entièrement géré qui permet une gestion centralisée de vos clés de chiffrement afin de protéger vos données stockées uniquement dans OCI. Key Management prend en charge différents types de clés de chiffrement (symétriques et asymétriques) et un ensemble générique de workloads comprenant Oracle Database TDE et les workloads hors base de données. OCI Vault est le service de chiffrement natif dans le cloud de deuxième génération.

Oracle Key Vault offre des fonctionnalités de gestion des clés pour les bases de données Oracle compatibles TDE s’exécutant à la fois sur site (ce qui englobe Oracle Exadata Cloud@Customer et Oracle Autonomous Database—Dedicated) et dans OCI, ainsi que des fonctionnalités de gestion des clés pour les fichiers de trace Oracle GoldenGate chiffrés et les systèmes de fichiers ACFS chiffrés.

Quelle est la différence entre un chiffrement géré par Oracle et un chiffrement géré par le client ?

Oracle Managed (géré par Oracle) est le système de chiffrement par défaut pour de nombreux services OCI. Les données sont chiffrées au repos avec une clé de chiffrement dont la gestion du cycle de vie est contrôlée par Oracle. Les clients qui ne souhaitent pas gérer ou accéder à leurs clés de chiffrement et qui recherchent le moyen le plus simple de protéger toutes leurs données stockées dans OCI peuvent choisir le chiffrement Oracle Managed.

Le chiffrement Customer-Managed (géré par le client) est le système proposé par le service OCI Vault—Key Management ; le client contrôle et gère les clés qui protègent ses données. Les clients qui ont besoin d’une sécurité élevée et d’une protection FIPS 140-2 de niveau 3 pour rester en conformité choisissent les clés de chiffrement Customer Managed stockées dans des modules de sécurité matériels (HSM).

Quels sont les différents types d’isolation de Vault dans OCI Vault—Key Management ?

OCI Vault est également défini comme un groupement logique de clés. Le coffre doit être créé avant de générer ou d’importer des clés.

Il existe deux types de coffres : Virtual Private Vault et Vault par défaut. Le type de coffre que vous créez détermine le degré d’isolement et les performances de vos clés. Chaque locataire peut avoir entre zéro et plusieurs coffres.

Un Virtual Private Vaut propose une partition dédiée sur le HSM (locataire unique). Une partition est une limite physique sur le HSM qui est isolée des autres partitions. Le Virtual Private Vaultl permet un taux de transactions à la seconde plus élevé et uniforme pour les opérations cryptographiques.

Le Vault par défaut utilise une partition multi-locataire, ce qui assure un niveau d’isolement modéré.

Comment démarrer avec Vault—Key Management ?

1. Assurez-vous que les limites de votre location permettent la création du type de coffre que vous souhaitez créer.

2. Assurez-vous que les stratégies Oracle Identity and Access Management (IAM) ont été créées pour que le compte utilisateur dispose des autorisations nécessaires pour créer un coffre. Pour construire une instruction, consultez la section Référence sur les stratégies IAM.

3. Pour créer un coffre, sélectionnez Sécurité dans la console Oracle Cloud Infrastructure, puis Coffre.

Créez un coffre et sélectionnez l’un des deux types de coffre disponibles qui correspondent le mieux à vos exigences d’isolement et de traitement :

  • Virtual Private Vault : sélectionnez un coffre privé virtuel si vous avez besoin d'un isolement accru du HSM et d'un traitement dédié des opérations de chiffrement/déchiffrement.
  • Vault (valeur par défaut) : choisissez le coffre par défaut si vous voulez accepter un isolement modéré (partition multi-locataire dans HSM) et un traitement partagé des opérations de chiffrement/déchiffrement.

4. Créez les clés [Master Encryption] dans votre coffre. Les clés de chiffrement principales peuvent avoir l’un des deux modes de protection suivants :

  • Une clé de chiffrement principale protégée par un HSM est stockée sur un HSM et ne peut pas être exportée à partir de celui-ci. Toutes les opérations cryptographiques impliquant la clé se produisent également sur le HSM.
  • Une clé de chiffrement principale protégée par un software est stockée sur un serveur et peut être exportée pour effectuer des opérations de chiffrement sur le client plutôt que sur le serveur. Au repos, la clé protégée par software est chiffrée par une clé racine sur le HSM.

5. Assurez-vous que les stratégies IAM pour le service ou l'entité appelant le coffre disposent des autorisations nécessaires.

Exemple : autoriser le service objectstorage-us-ashburn-1 à utiliser des clés dans un compartiment

Utilisez la (les) clé(s) :

  • Avec le stockage Oracle Cloud Infrastructure natif : lors de la création du stockage (compartiment, fichier volume), signez avec "ENCRYPT USING CUSTOMER-MANAGED KEYS", puis sélectionnez le coffre et la clé de chiffrement principale. Les données dans ce compartiment/volume/stockage de fichiers seront chiffrées avec une clé de chiffrement de données regroupée avec la clé de chiffrement principale dans le coffre.
  • Avec les opérations de chiffrement, utilisez l'interface de ligne de commande (CLI) comme exemple : oci kms crypto encrypt --key-id --plaintext

Les opérations de chiffrement sont également disponibles dans le SDK et l’API. Pour plus de détails, consultez Présentation de Vault dans la documentation.

6. Surveiller l'utilisation des opérations à l'aide des indicateurs clés dans la console et le service de surveillance. Voir les indicateurs clés et les dimensions.

Quelles sont les limites par défaut de Vault ?

La limite d’un Virtual Private Vault est 0 par défaut. L’utilisateur doit demander une augmentation de la limite pour l’utiliser. Une fois le coffre privé virtuel activé, l’utilisateur obtient une limite souple de 1 000 et une limite stricte de 3 000 versions de clé symétrique.

Lorsque vous utilisez le Vault par défaut pour stocker vos clés, il n’y a pas de limite fixe. La valeur par défaut est 10 coffres virtuels avec 100 clés par coffre.

Toutes les versions de clés que vous stockez dans un coffre comptent pour cette limite, quelle que soit la clé correspondante activée ou désactivée.

Les limites imposées à OCI Vault sont régies par les limites de service OCI. Des limites par défaut sont définies pour tous les locataires. Les clients peuvent demander une augmentation de limite de service pour les clés stockées dans un coffre en suivant les étapes présentées dans la section Demande d’une augmentation de la limite de service de la documentation Oracle Cloud Infrastructure. Comme les clés activées et désactivées comptent dans la limite, Oracle recommande de supprimer les clés désactivées que vous n’utilisez plus.

Quelles fonctionnalités OCI Vault—Key Management offre-t-il ?

Les fonctionnalités de gestion des clés suivantes sont disponibles lorsque vous utilisez le service Vault : Pour plus de détails, consultez Présentation de Vault dans la documentation.

  • Création de vos propres clés de chiffrement qui protègent vos données
  • Bring your own keys (apportez vos propres clés)
  • Rotation de vos clés
  • Prise en charge de la sauvegarde et de la restauration interrégionales de vos clés
  • Restriction d’autorisations sur les clés grâce à des stratégies IAM
  • Intégration aux services internes OCI : Oracle Autonomous Database-Dedicated, Oracle Block Storage, Oracle File Storage, Oracle Object Storage, Streaming et Container Engine pour Kubernetes

Quelle forme/longueur de clés puis-je créer et stocker dans Vault—Key Management ?

Lorsque vous créez une clé, vous pouvez choisir une forme de clé qui indique la longueur de la clé et l’algorithme utilisé avec celle-ci. Toutes les clés sont actuellement de type AES - GCM (Advanced Encryption Standard), et vous pouvez choisir parmi trois longueurs de clé : AES-128, AES-192 et AES-256.. La longueur AES-256 est recommandée.

Dans quelles régions Oracle Cloud Infrastructure Vault—Key Management est-il disponible ?

Key Management est disponible dans toutes les régions Oracle Cloud Infrastructure commerciales et gouvernementales.


Gestion des clés et des coffres

La rotation des clés est-elle possible ?

Oui. Vous pouvez faire pivoter vos clés régulièrement en fonction de vos besoins en matière de gouvernance de la sécurité et de conformité réglementaire ou de manière ad hoc en cas d’incident de sécurité. La rotation régulière de vos clés (par exemple, tous les 90 jours) à l’aide de la console, de l’API ou de la CLI limite la quantité de données protégées par une seule clé.

Remarque : La rotation d'une clé ne rechiffre pas automatiquement les données précédemment chiffrées avec l'ancienne version de la clé ; ces données sont rechiffrées la prochaine fois qu'elles sont modifiées par le client. Si vous pensez qu’une clé a été compromise, vous devez rechiffrer toutes les données protégées par cette clé et désactiver la version de clé précédente.

Puis-je apporter mes clés dans Vault — Key Management ?

Oui. Vous pouvez importer une copie de votre clé à partir de votre propre infrastructure de gestion de clés vers Vault et l’utiliser avec tous les services OCI intégrés ou à partir de vos propres applications.

Puis-je supprimer un coffre Vault ?

Oui, mais pas instantanément. Vous pouvez programmer la suppression en configurant une période d’attente de 7 à 30 jours. Le coffre et toutes les clés créées à l’intérieur de celui-ci sont supprimés à la fin de la période d’attente, et toutes les données qui étaient protégées par ces clés ne sont plus accessibles. Une fois le coffre supprimé, il ne peut pas être récupéré.

Puis-je supprimer une clé ou une version de clé ?

Oui, mais pas instantanément. Vous pouvez programmer la suppression en configurant une période d’attente de 7 à 30 jours. Vous pouvez également désactiver une clé, ce qui empêchera toute opération de chiffrement et de déchiffrement utilisant cette clé.


Utilisation des clés

Où mes données sont-elles chiffrées si j’utilise OCI Vault — Key Management ?

Vous pouvez soumettre des données directement aux API de gestion des clés pour chiffrer et déchiffrer à l’aide de vos clés de chiffrement principales stockées dans le coffre.

En outre, vous pouvez chiffrer vos données localement dans vos applications et services OCI au moyen d’une méthode appelée chiffrement d’enveloppe.

Cette méthode permet de générer et récupérer des clés de chiffrement de données (DEK) à partir des API de gestion de clés. Les clés de chiffrement de données ne sont ni stockées ni gérées dans le service de gestion des clés, mais elles sont chiffrées par votre clé de chiffrement principale. Vos applications peuvent les utiliser pour chiffrer vos données et stocker les DEK avec les données. Lorsque vos applications souhaitent déchiffrer les données, vous devez appeler l’API de déchiffrement de Key Management sur la DEK chiffrée pour récupérer cette dernière. Vous pouvez déchiffrer vos données localement avec la clé de chiffrement des données.

Pourquoi utiliser le chiffrement d’enveloppe ? Pourquoi ne pas simplement envoyer des données à Vault—Key Management pour qu’il les chiffre directement ?

La gestion des clés prend en charge l’envoi de jusqu’à 4 Ko de données à chiffrer directement. De plus, le chiffrement d’enveloppe peut offrir des avantages significatifs en termes de performances. Lorsque vous chiffrez des données directement avec les API de gestion des clés, elles doivent être transférées sur le réseau. Le chiffrement d’enveloppe réduit la charge du réseau puisque seules la demande et la livraison de la clé de chiffrement de données (DEK - Data Encryption Key), plus petite, transitent par le réseau. Cette dernière est utilisée localement dans votre application ou service de chiffrement OCI, ce qui évite d’envoyer tout le bloc de données.


Haute disponibilité et reprise après sinistre

Comment Oracle assure-t-il la haute disponibilité des clés dans une région ?

Oracle utilise un cluster de nœuds et des HSM pour stocker la réplique de vos clés dans la région où elles ont été créées, ce qui nous permet de fournir 99,9 % du SLA et 99,99 % du SLO pour la gestion des clés. Consultez Document Pillar Oracle PaaS et IaaS Public Cloud Services (PDF).

Puis-je transférer et utiliser mes clés dans une région différente de celle où elles ont été créées ?

Oui. Key Management prend en charge la sauvegarde et la restauration interrégionales du coffre privé virtuel afin que les clés puissent être utilisées dans une région différente de celle où elles ont été créées. La sauvegarde et la restauration répondent aux exigences FIPS, car les matériels de clé réels ne sont pas exportés, mais plutôt un objet binaire qui représente le matériel de clé. Les opérations de restauration peuvent être réalisées uniquement sur les HSM gérés par OCI.


Facturation

Comment est facturée l’utilisation de Vault—Key Management ?

La facturation dépend du type de coffre créé.

Par défaut, votre coffre est facturé en fonction du nombre de versions de clé. Les clés protégées par software sont gratuites, mais les clés protégées par HSM sont facturées 50 centimes par version de clé (les 20 premières versions de clé sont gratuites).

Toutefois, si vous créez un coffre privé virtuel (HSM à locataire unique), vous êtes facturé à l’heure. La tarification commence à partir de la création du coffre et se poursuit jusqu’à ce que la suppression du coffre soit programmée. Les versions de clé dans un coffre privé virtuel ne sont pas facturées.

Pour plus de détails, consultez Tarification d’Oracle Cloud Security.

Mes clés sont-elles facturées lorsque leur suppression est programmée ?

Non, les clés dont la suppression est programmée ne sont pas facturées. Si vous annulez la suppression de vos clés, la facturation reprend.


Sécurité

Comment les clés que je crée dans mon coffre Vault—Key Management sont-elles sécurisées ?

Lorsque vous demandez au service de créer une clé avec le mode de protection HSM, Key Management stocke la clé et toutes les versions ultérieures de la clé dans le HSM. Le matériel de clé en texte brut ne peut jamais être affiché ou exporté à partir du HSM. Avec le mode de protection Software, les clés sont stockées sur des serveurs de gestion de clés mais protégées au repos par une clé racine de HSM.

Seuls les utilisateurs, groupes ou services que vous autorisez via une stratégie IAM peuvent utiliser les clés en appelant la gestion des clés pour chiffrer ou déchiffrer les données.

Puis-je exporter une clé que j’ai créée dans Vault—Key Management ?

Oui. Si vous créez une clé avec le mode de protection Software, le matériel de clé peut être exporté en texte brut. Cependant, si vous créez vos clés en mode de protection HSM, vous ne pouvez pas exporter le matériel de la clé, car cette dernière ne quitte jamais le HSM. Vous pouvez néanmoins sauvegarder le matériel de la clé afin de le restaurer dans la même région ou dans une région différente. Cependant, cette sauvegarde ne donne pas accès au matériel de la clé.


KMS externe

Qu'est-ce qu'OCI External Key Management Service (External KMS) ?

OCI External KMS est un service qui permet aux clients d'utiliser des clés de cryptage stockées et gérées en dehors d'OCI. Ce service peut s'avérer utile pour les clients qui sont tenus par la réglementation de stocker les clés de cryptage sur site ou en dehors d'OCI, ou qui souhaitent avoir plus de contrôle sur leurs clés de cryptage. Le KMS externe est disponible dans toutes les régions OCI.

Quels sont les avantages d'OCI External KMS ?

Le KMS externe est disponible dans toutes les régions OCI. Le service aide les clients à résoudre les problèmes suivants :

  • Souveraineté, conformité et réglementation des données : KMS externe aide les clients à garder le contrôle sur leurs clés de cryptage et leur emplacement de stockage. Cette solution est intéressante pour les organisations qui doivent se conformer à des exigences strictes en matière de souveraineté des données, telles que le règlement général sur la protection des données (RGPD) de l'UE.
  • Confiance et assurance : KMS externe permet aux clients de posséder et de gérer le module cryptographique et de protéger leurs clés de cryptage. C'est un avantage pour les organisations qui doivent présenter leur contrôle des processus de cryptage aux clients finaux, aux partenaires et aux parties prenantes.

Quels sont les éléments opérationnels à prendre en compte pour l'utilisation de KMS externe ?

KMS externe offre aux clients un plus grand contrôle sur leurs clés de cryptage, mais il s'accompagne également d'une responsabilité opérationnelle : les clients doivent administrer, gérer et maintenir les clés de cryptage et les modules de sécurité matériels (HSM) sur site. Il s'agit d'un modèle de propriété différent du service OCI Vault existant, dans lequel Oracle gère et administre l'infrastructure HSM pour le compte des clients.

Comment effectuer la rotation des clés dans KMS externe ?

Pour effectuer la rotation d'une clé (également appelée référence de clé) dans KMS externe, vous devez d'abord effectuer la rotation dans le gestionnaire CipherTrust de Thales en suivant les étapes ci-dessous car le matériel des clés est stocké en dehors d'OCI.

  • Ajoutez une nouvelle version de clé externe dans Thales CipherTrust Manager.

Dans OCI, vous pouvez ensuite cliquer sur Effectuer la rotation de la référence de clé et saisir l'ID de version de clé externe de l'étape précédente.

Quels sont les services OCI pris en charge par KMS externe ?

KMS externe prend en charge les clés de cryptage symétriques et est compatible avec les applications déjà intégrées à OCI Vault. Par conséquent, les clients ne doivent pas modifier les applications pour bénéficier de KMS externe. Ils peuvent utiliser et associer des clés de la même manière qu'avec OCI Vault et avec le même contrat de niveau de service de 99,9 %.

Les services suivants sont intégrés à OCI Vault et peuvent bénéficier de KMS externe sans aucune modification :

  • Oracle Cloud Infrastructure Object Storage, Block Volume et File Storage
  • Oracle Cloud Infrastructure Container Engine for Kubernetes
  • Oracle Database, y compris Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure, Oracle Database Cloud Service et Database-as-a-Service
  • Oracle Fusion Cloud Applications

Que se passe-t-il si je désactive, bloque ou supprime des clés de Thales CipherTrust Manager dans KMS externe ? Mes données dans OCI resteront-elles accessibles ?

La fonctionnalité KMS externe est conçue pour qu'OCI n'ait aucun accès au matériel des clés cryptographiques. Une fois qu'un client a bloqué la clé dans Thales CipherTrust, OCI n'a aucun moyen d'utiliser la référence de clé pour déchiffrer les données ou effectuer une opération à l'aide de cette référence de clé.

Quelles régions OCI prennent en charge KMS externe ?

KMS externe est disponible dans toutes les régions et tous les domaines OCI. Sa valeur réside dans les régions dédiées (par exemple, Oracle Cloud Infrastructure Dedicated Region) et les régions qui peuvent accéder au système de gestion tiers avec une faible latence pour prendre en charge la souveraineté des données et la fiabilité du réseau.

Combien coûte KMS externe ?

Le coût de KMS externe est de 3 USD par version de clé et par mois, l'utilisation de ces versions de clé n'entraîne aucun coût supplémentaire. Les clients disposent d'une limite indicative de 10 coffres et de 100 versions de clés par coffre. Contactez Thales pour en savoir plus sur les tarifs et les limites de CipherTrust Manager.

Comment obtenir plus d'informations sur KMS externe ?

Pour en savoir plus sur KMS externe, consultez la documentation technique ou essayez KMS externe dans la console OCI. Accédez au KMS externe dans la console OCI en sélectionnant Identité et sécurité dans le menu de navigation OCI, Gestion des clés et des secrets, puis Gestion de clés externe.