如果需要将主加密密钥存储在 HSM 中以满足治理和合规性要求，或者希望对数据加密密钥的加密期限实现更加有力的控制时，请使用密钥管理服务。

默认 10 个虚拟 Vault，每个 Vault 提供 100 个密钥。

默认 0 个专有 Vault，每个 Vault 提供 1000 个密钥。

要查看和更新密钥管理服务的限制，请参阅服务限制。您可以随时提交服务单来请求增加限制。

请确保您的租户限制可允许创建所需的 Vault 类型。

请确保用户帐户的 IAM 策略具有创建 Vault 所需的权限。请参阅 IAM 策略参考来创建语句。

首先创建一个密钥管理密钥库 (key vault)，操作如下：从 Oracle 云基础设施控制台中选择安全性，然后选择密钥管理。

创建一个 Vault，并选择最符合您的隔离和处理需求的 Vault 类型：

• 专有 (VIRTUAL_PRIVATE)：如果需要在 HSM 集群上实现更高的隔离级别并提供专有加密/解密操作处理，那么请选择专有 Vault。专有 Vault 使用更高费率的通用储值。
• 虚拟 (VIRTUAL)：如果希望获得基于密钥版本的较低费率，并且愿意接受中等隔离级别（HSM 中的多租户分区）以及共享加密/解密操作处理，那么请选择虚拟 Vault。

在您的 Vault 内部创建[主加密]密钥。可以根据需要对密钥进行版本控制。

请确保服务或实体调用密钥管理的 IAM 策略具有必要的权限。例如：allow service objectstorage-us-ashburn-1 to use keys in compartment

使用密钥：

• 使用原生 Oracle 云基础设施存储：在创建存储（存储桶、文件、卷）时，标记 "ENCRYPT USING CUSTOMER-MANAGED KEYS"，然后选择 Vault 和主加密密钥。该存储桶/卷/文件存储中的数据将使用 Vault 中的主加密密钥封装的数据加密密钥进行加密。
• 对于加密操作，以命令行接口 (CLI) 为例：
  oci kms crypto encrypt --key-id --plaintext

SDK 和 API 也支持加密操作。有关更多详细信息，请参阅文档中的“密钥管理概述”。

通过控制台和监视服务中的指标来监视操作使用。指标和维度详见：https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm

目前，以下服务与密钥管理服务相集成：

• 块存储卷（包括跨区域备份/还原和 Oracle 云基础设施计算引导卷）
• 对象存储
• 文件存储服务
• Oracle Container Engine for Kubernetes

一些 Marketplace 产品也与密钥管理服务实现了原生集成。

客户管理意味着存储服务中的加密数据将受到与密钥管理主加密密钥封装在一起的数据加密密钥的透明保护。

Oracle 管理意味着将使用 Oracle 保管的加密密钥对数据进行加密，该区域中所有由 Oracle 管理的存储均共享该密钥。

在任何情况下，数据都会经过静态加密。客户管理密钥让您可以更加有效地控制隔离、版本控制和加密期限。

不需要。当您使用 Oracle 云基础设施存储块卷、文件存储服务和对象存储来存储数据而未使用密钥管理服务时，您的数据将受到 Oracle 安全存储和控制下的加密密钥的保护。

密钥管理服务为您提供了以下密钥管理功能：

• 创建高度可用的密钥库来持久存储加密密钥
• 自带对称密钥
• 禁用和重新启用密钥
• 轮换密钥并实现版本管理
• 使用 IAM 策略限制 Vault 和密钥权限
• 使用 Oracle Audit 监视密钥和 Vault 的生命周期
• 使用密钥监视加密操作。
• 删除不再使用的密钥
• 删除不再使用的密钥库

与密钥管理相集成的服务为您提供以下密钥管理功能：

• 为新资源分配密钥
• 为现有资源添加密钥分配
• 更改现有资源的密钥分配
• 删除密钥分配

在创建密钥时，您可以选择指示密钥长度和算法的密钥形式。所有密钥均为 Advanced Encryption Standard (AES)，您可以从三种密钥长度中进行选择：AES-128、AES-192 和 AES-256。建议选择 AES-256。

所有 Oracle 云基础设施区域均可使用密钥管理服务。

可以。您可以根据安全治理和合规性需求定期轮换密钥，也可以在发生安全事件时临时轮换密钥。使用控制台、API 或 CLI 定期轮换密钥（例如，每隔 90 天轮换一次）将限制单一密钥保护的数据量。

注意：轮换密钥并不会自动对之前使用旧版本密钥加密的数据进行重新加密；而是在客户下一次修改该数据时对其进行重新加密。如果您怀疑某个密钥已被泄露，则应当对该密钥保护的所有数据进行重新加密，并禁用之前版本的密钥。

可以。使用非对称 RSA 密钥对时，客户需要封装 AES 对称密钥，然后才能将其导入密钥管理服务

可以，但并非立即删除。您可以配置删除等待周期（从 7 天到 30 天），从而以调度方式从密钥管理服务中删除密钥库。系统将在等待期结束时删除密钥库以及其中创建的所有密钥，并且这些密钥保护下的所有数据都将不再可以访问。密钥库在删除后不可恢复。

可以，您可以删除密钥或密钥版本。您可以禁用密钥，这将阻止使用该密钥进行任何加密/解密操作。

当使用专有 Vault 存储密钥时，每一个密钥库最多可以创建和存储 3000 个密钥版本。

使用虚拟 Vault 存储密钥则没有任何硬性限制。

密钥库中存储的所有密钥版本均计入此限制，而与启用或禁用的密钥无关。

您可以按照 Oracle 云基础设施文档中的请求增加服务限制的相关步骤来请求增加存储在 Vault 中的密钥的限制。启用和禁用的密钥都将计入限制，因此 Oracle 建议删除不再使用的已禁用密钥。

否，您可以生成与主加密密钥一起封装的数据加密密钥 (DEK)，并使用 DEK 来加密数据。

您可以结合使用它与任何加密库（例如：Bouncy Castle 和 OpenSSL）来加密数据。

提交包含 Oracle 云基础设施存储桶信息的服务请求，让操作配置 Vault 将日志发送至该存储桶。

Oracle 利用由六个 HSM 组成的集群来实现 99.999% 的可用性。

当前，您只能在创建密钥的区域中使用密钥。

当使用虚拟 Vault 类型时，您将根据所创建的密钥版本数量来付费，每个月底支付当月的使用费用。

当使用专有 Vault 类型时，您将按每一个 Vault 的小时费率来付费，每个月底支付当月的使用费用。使用专有 Vault 类型存储密钥时，您无需为在密钥库内部创建并与受支持的 Oracle 云基础设施服务一起使用的密钥付费。

要获取最新的定价信息，请参阅密钥管理定价页面。

否，您不需要为即将调度删除的密钥库支付费用。如果您在等待期取消对密钥库的删除，则计费将继续。

是的，处于待删除状态的密钥仍然会计入您的配额限制。

不可以。

您可以控制自己在密钥管理服务中创建和存储的密钥。您可以定义密钥使用和管理策略，为 Oracle IAM 用户、组或服务授予使用、管理或将密钥与资源相关联的权限。

当您请求服务代表您创建密钥时，密钥管理服务会将密钥及其所有后续密钥版本存储在 HSM 支持的密钥库中。

当您请求密钥管理服务代表您在专有 Vault 中创建密钥时，该服务将使用经过 FIPS 140-2, Security Level 3 认证的硬件安全模块 (HSM) 中的按客户隔离的分区，将密钥及其所有后续密钥版本存储在受 HSM 支持的密钥库中（用于支持密钥库的硬件 FIPS 140-2 安全策略详见：http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf）。

包含密钥的所有密钥库类型将在一个区域内多次复制，从而确保密钥的持久性和可用性。任何时候都无法从密钥库中查看或导出纯文本形式的密钥资料。只有通过 IAM 策略授权的用户、组或服务才可以使用密钥，也就是调用密钥管理服务来加密或解密数据

不可以。您的加密密钥只能存储在经过 FIPS 140-2 第 3 级认证的 HSM 中托管的密钥库中，您不能从密钥库中导出密钥。

在 IAM 策略中使用 'use' 而不是 ‘manage’，从而将 Vault 删除权限限制为尽可能少的用户。例如：allow group VaultOperators to use vaults in compartment

限制将 Vault 和密钥分配给存储，以防止未经授权的替换。

此处提供了一个常见的模式示例。