Key Management 常见问题解答

常见问题

什么是 Oracle Cloud Infrastructure Vault—Key Management？

Oracle Cloud Infrastructure (OCI) Vault 可帮助您集中管理和控制各种 OCI 服务和应用中的密钥和机密信息的使用。OCI Vault 是一项安全且具有弹性的托管服务，可让您专注于数据加密需求，而不必担心耗时的管理任务，例如硬件供应、软件打补丁和高可用性。

Key Management 使用符合联邦信息处理标准 (FIPS) 140-2 安全级别 3 安全认证的硬件安全模块 (HSM) 保护您的密钥。您可以创建受 HSM 或软件保护的主加密密钥。使用受 HSM 保护的密钥，所有加密操作和密钥存储均在 HSM 内部完成。使用受软件保护的密钥，您的加密密钥将在软件中存储和处理，并由来自 HSM 的根密钥进行静态加密。

OCI Vault 与 Oracle Key Vault 有何区别？

OCI Vault 和 Oracle Key Vault 是 Oracle 的两款密钥管理产品。

OCI Vault—Key Management 是一项全托管式服务，可集中管理加密密钥，仅为 OCI 中存储的数据提供保护。此版 Key Management 致力于支持不同类型的加密密钥（对称和非对称）以及一系列通用工作负载，包括 Oracle Database TDE 和非数据库工作负载。OCI Vault 是原生第二代云加密服务。

Oracle Key Vault 旨在为本地部署环境（包括 Oracle Exadata Cloud@Customer 和 Oracle Autonomous Database—Dedicated）和 OCI 中运行的启用 TDE 的 Oracle 数据库提供密钥管理服务，并为加密的 Oracle GoldenGate 跟踪文件和加密的 ACFS 文件系统提供密钥管理服务。

Oracle 托管加密与客户加密有何区别？

Oracle 托管的加密是许多 OCI 服务的默认加密方式。这种加密方式意味着使用加密密钥对数据进行静态加密，而该加密密钥的生命周期管理将由 Oracle 控制。如果客户不想管理或访问其加密密钥，并且希望能够简单便捷地为 OCI 中存储的所有数据提供安全保护，则可以选择 Oracle 托管的加密。

客户管理的加密由 OCI Vault—Key Management 服务提供，客户可以控制和管理用于保护其数据的密钥。此外，由于加密密钥存储在硬件安全模块 (HSM) 中，因此需要提高安全性和 FIPS 140-2 安全级别 3 保护以满足合规性的客户可以选择客户管理的加密方式。

OCI Vault—Key Management 支持哪些 Vault 隔离类型？

OCI Vault 也被定义为密钥的逻辑分组。在生成或导入任何密钥之前应当创建 Vault。

Vault 分为两类：Virtual Private Vault 和默认 Vault。您所创建的 Vault 类型将决定密钥的隔离度和性能。每一个租户可以拥有零个到多个 Vault。

Virtual Private Vault 可在 HSM 上提供专用分区（单租户）。分区是 HSM 的物理边界，并与其他分区相隔离。Virtual Private Vault 可为加密操作提供更加出色和一致的每秒事务处理。

默认 Vault 使用多租户分区，因此具有中等隔离级别。

如何快速开始使用 Vault—Key Management？

1. 请确保您的租户限制允许创建所需的 Vault 类型。

2. 请确保已为用户账户创建了 Oracle Identity and Access Management (IAM) 策略，并具有创建 Vault 所需的权限。请参阅 IAM 策略参考来创建语句。

3. 首先创建一个 Vault，操作如下：从 Oracle Cloud Infrastructure 控制台中选择安全性，然后选择 Vault。

创建一个 Vault，并选择最符合您的隔离和处理需求的 Vault 类型：

• Virtual Private Vault：如果需要在 HSM 上实现更高的隔离级别并提供专有加密/解密操作处理，那么请选择 Virtual Private Vault。
• Vault（默认）：如果愿意接受中等隔离级别（HSM 中的多租户分区）以及共享加密/解密操作处理，那么请选择默认 Vault。

4. 在您的 Vault 内部创建[主加密]密钥。主加密密钥有以下两种保护模式：HSM 或软件。

• 受 HSM 保护的主加密密钥存储在 HSM 上，且无法从 HSM 导出。所有涉及密钥的加密操作也都在 HSM 上进行。
• 受软件保护的主加密密钥存储在服务器上，可以从服务器导出以便在客户端上执行加密操作，无需在服务器上操作。软件保护的密钥将由 HSM 上的根密钥静态加密。

5. 请确保服务或实体调用 Vault 的 IAM 策略具有必要的权限。

例如：allow service objectstorage-us-ashburn-1 to use keys in compartment

使用密钥：

• 使用原生 Oracle Cloud Infrastructure 存储：在创建存储（存储桶、文件、卷）时，标记 “ENCRYPT USING CUSTOMER-MANAGED KEYS”，然后选择 Vault 和 Master Encryption Key。该存储桶/卷/文件存储中的数据将使用 Vault 中的主加密密钥封装的数据加密密钥进行加密。
• 对于加密操作，以命令行接口 (CLI) 为例：oci kms crypto encrypt --key-id --plaintext

SDK 和 API 也支持加密操作。更多详细信息请参阅 Vault 概述文档。

6. 通过控制台和 Monitoring 服务中的指标来监视操作使用。请参阅指标和维度相关内容。

Vault 的默认限制是什么？

Virtual Private Vault 的默认限制为 0。用户需要请求增加限制才能使用。启用 Virtual Private Vault 之后，用户将获得 1000 个对称密钥版本的软限制和 3000 个对称密钥版本的硬限制。

使用默认 Vault 存储密钥则没有任何硬性限制。默认 10 个 Vault，每个 Vault 100 个密钥。

Vault 中存储的所有密钥版本均计入此限制，无论密钥处于启用或禁用状态。

OCI Vault 限额受 OCI 服务限额的约束。所有租户都将设置默认限制。客户可以按照 Oracle Cloud Infrastructure 文档中的请求提高服务限额的相关步骤来请求提高存储在 Vault 中的密钥的服务限额。启用和禁用的密钥都将计入限制，因此 Oracle 建议删除不再使用的已禁用密钥。

OCI Vault—Key Management 提供哪些功能？

当使用 Vault 服务时，您可以获取以下密钥管理功能。更多详细信息请参阅 Vault 概述文档。

• 创建您自己的加密密钥来保护数据
• 自带密钥
• 轮换密钥
• 支持跨区域备份和恢复密钥
• 使用 IAM 策略限制密钥权限
• 与 OCI 内部服务集成：Oracle Autonomous Database—Dedicated、Oracle Block Storage、Oracle File storage、Oracle Object Storage、Streaming 以及 Container Engine for Kubernetes

我可以在 Vault—Key Management 中创建和存储什么形式/长度的密钥？

在创建密钥时，您可以选择指示密钥长度和算法的密钥形式。目前，所有密钥均采用 Advanced Encryption Standard (AES - GCM)，可以选择的密钥长度有：AES-128、AES-192 和 AES-256。建议选择 AES-256。

哪些 Oracle Cloud Infrastructure 区域提供 Vault—Key Management 服务？

所有商用和政府 Oracle Cloud Infrastructure 区域中均提供 Key Management 服务。

管理密钥和密钥库

我可以轮换密钥吗？

可以。您可以根据安全治理和法规遵从需求定期轮换密钥，或者在发生安全事件时临时更换密钥。使用控制台、API 或 CLI 定期轮换密钥（例如，每隔 90 天轮换一次）将限制单一密钥保护的数据量。

注意：轮换密钥并不会自动对之前使用旧密钥版本加密的数据进行重新加密；而是在客户下一次修改该数据时对其进行重新加密。如果您怀疑某个密钥已被泄露，则应当对该密钥保护的所有数据进行重新加密，并禁用之前的密钥版本。

是否可以在 Vault—Key Management 中使用自带密钥？

可以。您可以将密钥的副本从密钥管理基础设施导入到 Vault 中，并与任何集成的 OCI 服务一起使用，也可以从您自己的应用中使用它。

是否可以删除 Vault？

可以，但并非立即删除。您可以通过配置等待周期（7 - 30 天）来创建删除计划。等待期结束时将删除 Vault 以及 Vault 中创建的所有密钥，并且不再可以访问受这些密钥保护的所有数据。Vault 在删除后不可恢复。

我可以删除密钥或密钥版本吗？

可以，但并非立即删除。您可以通过配置等待周期（7 - 30 天）来创建删除计划。您还可以禁用密钥，这将阻止使用该密钥进行任何加密/解密操作。

使用密钥

当使用 OCI Vault—Key Management 时，我的数据在何处加密？

您可以直接将数据提交至 Key Management API，以便于使用存储在 Vault 中的主加密密钥来进行加密和解密。

此外，您还可以使用信封加密方法在应用和 OCI 服务中对数据进行本地加密。

借助信封加密，您可以通过 Key Management API 来生成和检索数据加密密钥 (DEK)。DEK 并不是由 Key Management 服务存储或管理，而是由您的主加密密钥加密。您的应用可以使用 DEK 来加密数据，并将加密的 DEK 与数据存储在一起。当应用希望解密数据时，您应当在加密的 DEK 上调用解密至 Key Management API 来检索 DEK。您可以使用 DEK 在本地解密数据。

为何要使用信封加密？为何不将数据发送至 Vault—Key Management 直接加密？

Key Management 只支持最多发送 4 KB 数据进行直接加密。此外，信封加密可以提供显著的性能优势。当直接使用 Key Management API 加密数据时，需要通过网络来传输数据。信封加密可减少网络负载，因为只需要通过网络请求和传输非常小的 DEK。DEK 将在您的应用中或加密 OCI 服务中本地使用，而不需要发送整个数据块。

高可用性和灾难恢复

Oracle 如何在一个区域中确保密钥高度可用？

Oracle 使用节点和 HSM 集群在创建密钥的同一区域中存储密钥副本，这让我们能够为 Key Management 提供 99.9％ 的 SLA 和 99.99％ 的 SLO。请参阅 Oracle PaaS 和 IaaS 公有云技术服务支持文档 (PDF)。

我可以将在一个区域中创建的密钥传输到其他区域并使用密钥吗？

可以。Key Management 支持针对 Virtual Private Vault 的跨区域备份和恢复，以便于在与创建密钥不同的区域中使用密钥。备份和恢复流程符合 FIPS 要求，因为不会导出实际密钥材料，而是导出表示密钥材料的二进制对象。恢复操作仅针对 OCI 托管 HSM。

计费

Vault—Key Management 如何收费？

具体计费取决于所创建的 Vault 类型。

默认根据密钥版本数量对 Vault 进行收费。受软件保护的密钥是免费的，但对于受 HSM 保护的密钥，每个密钥版本的费用是 50 美分（前 20 个密钥版本免费）。

然而，如果您创建了一个 Virtual Private Vault（单租户 HSM），则采用按小时计费的方式。定价从创建 Vault 之时开始，一直持续到计划删除 Vault 为止。您无需为 Virtual Private Vault 中的密钥版本付费。

更多详细信息请参阅 Oracle Cloud Security 定价。

对于已计划删除的密钥，我需要付费吗？

您不需要为已计划删除的密钥付费。如果您取消密钥删除计划，则计费将恢复。

安全

我在 Vault—Key Management 中创建的密钥的安全性如何？

当您请求服务来创建受 HSM 保护的密钥时，Key Management 会将密钥及其所有后续密钥版本存储在 HSM 中，纯文本密钥材料无法在 HSM 中查看或从 HSM 导出。受软件 保护的密钥存储在 Key Management 服务器上，并由来自 HSM 的根密钥进行静态加密。

只有通过 IAM 策略授权的用户、组或服务才可以使用密钥，也就是调用 Key Management 来加密或解密数据。

我可以导出在 Vault—Key Management 中创建的密钥吗？

可以。如果您创建了一个受软件 保护的密钥，则可以通过纯文本格式导出密钥材料。然而，如果您创建了一个受 HSM 保护的密钥，则无法导出密钥材料，因为密钥永远不会离开 HSM。您可以备份密钥材料，以便将其恢复至相同或不同的区域。不过，备份并不支持访问密钥材料。