您的搜索操作未匹配到任何结果。
我们建议您尝试以下操作,以帮助您找到所需内容:
Oracle 云基础设施密钥管理是一项托管服务,可允许客户管理和控制用于加密静态数据的 AES 对称密钥。密钥存储在经过 FIPS 140-2, Level 3 认证的硬件安全模块 (HSM) 中,该模块具有高度持久性和高可用性。密钥管理服务与许多 Oracle 云基础设施服务相集成,包括块存储卷、文件存储、Oracle Container Engine for Kubernetes 和对象存储。
Oracle Vault 是密钥的逻辑分组。在生成或导入任何密钥之前应当创建 Vault。Vault 分为两种类型:专有和虚拟,分别具有不同级别的隔离、定价和计算。
每一个租户可以拥有零个到多个 Vault。专有 Vault 保留 3000 个密钥,并在 HSM 上提供专有分区。分区是 HSM 的物理边界,因此专有 Vault 实现了高度隔离。虚拟 Vault 使用多租户分区,因此具有中等隔离级别,由 HSM 上的软件加以管理。
如果需要将主加密密钥存储在 HSM 中以满足治理和合规性要求,或者希望对数据加密密钥的加密期限实现更加有力的控制时,请使用密钥管理服务。
默认 10 个虚拟 Vault,每个 Vault 提供 100 个密钥。
默认 0 个专有 Vault,每个 Vault 提供 1000 个密钥。
要查看和更新密钥管理服务的限制,请参阅服务限制。您可以随时提交服务单来请求增加限制。
请确保您的租户限制可允许创建所需的 Vault 类型。
请确保用户帐户的 IAM 策略具有创建 Vault 所需的权限。请参阅 IAM 策略参考来创建语句。
首先创建一个密钥管理密钥库 (key vault),操作如下:从 Oracle 云基础设施控制台中选择安全性,然后选择密钥管理。
创建一个 Vault,并选择最符合您的隔离和处理需求的 Vault 类型:
在您的 Vault 内部创建[主加密]密钥。可以根据需要对密钥进行版本控制。
请确保服务或实体调用密钥管理的 IAM 策略具有必要的权限。例如:allow service objectstorage-us-ashburn-1 to use keys in compartment
使用密钥:
SDK 和 API 也支持加密操作。有关更多详细信息,请参阅文档中的“密钥管理概述”。
通过控制台和监视服务中的指标来监视操作使用。指标和维度详见:https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm
目前,以下服务与密钥管理服务相集成:
一些 Marketplace 产品也与密钥管理服务实现了原生集成。
客户管理意味着存储服务中的加密数据将受到与密钥管理主加密密钥封装在一起的数据加密密钥的透明保护。
Oracle 管理意味着将使用 Oracle 保管的加密密钥对数据进行加密,该区域中所有由 Oracle 管理的存储均共享该密钥。
在任何情况下,数据都会经过静态加密。客户管理密钥让您可以更加有效地控制隔离、版本控制和加密期限。
不需要。当您使用 Oracle 云基础设施存储块卷、文件存储服务和对象存储来存储数据而未使用密钥管理服务时,您的数据将受到 Oracle 安全存储和控制下的加密密钥的保护。
密钥管理服务为您提供了以下密钥管理功能:
与密钥管理相集成的服务为您提供以下密钥管理功能:
在创建密钥时,您可以选择指示密钥长度和算法的密钥形式。所有密钥均为 Advanced Encryption Standard (AES),您可以从三种密钥长度中进行选择:AES-128、AES-192 和 AES-256。建议选择 AES-256。
所有 Oracle 云基础设施区域均可使用密钥管理服务。
可以。您可以根据安全治理和合规性需求定期轮换密钥,也可以在发生安全事件时临时轮换密钥。使用控制台、API 或 CLI 定期轮换密钥(例如,每隔 90 天轮换一次)将限制单一密钥保护的数据量。
注意:轮换密钥并不会自动对之前使用旧版本密钥加密的数据进行重新加密;而是在客户下一次修改该数据时对其进行重新加密。如果您怀疑某个密钥已被泄露,则应当对该密钥保护的所有数据进行重新加密,并禁用之前版本的密钥。
可以。使用非对称 RSA 密钥对时,客户需要封装 AES 对称密钥,然后才能将其导入密钥管理服务
可以,但并非立即删除。您可以配置删除等待周期(从 7 天到 30 天),从而以调度方式从密钥管理服务中删除密钥库。系统将在等待期结束时删除密钥库以及其中创建的所有密钥,并且这些密钥保护下的所有数据都将不再可以访问。密钥库在删除后不可恢复。
可以,您可以删除密钥或密钥版本。您可以禁用密钥,这将阻止使用该密钥进行任何加密/解密操作。
当使用专有 Vault 存储密钥时,每一个密钥库最多可以创建和存储 3000 个密钥版本。
使用虚拟 Vault 存储密钥则没有任何硬性限制。
密钥库中存储的所有密钥版本均计入此限制,而与启用或禁用的密钥无关。
您可以按照 Oracle 云基础设施文档中的请求增加服务限制的相关步骤来请求增加存储在 Vault 中的密钥的限制。启用和禁用的密钥都将计入限制,因此 Oracle 建议删除不再使用的已禁用密钥。
否,您可以生成与主加密密钥一起封装的数据加密密钥 (DEK),并使用 DEK 来加密数据。
您可以结合使用它与任何加密库(例如:Bouncy Castle 和 OpenSSL)来加密数据。
提交包含 Oracle 云基础设施存储桶信息的服务请求,让操作配置 Vault 将日志发送至该存储桶。
Oracle 利用由六个 HSM 组成的集群来实现 99.999% 的可用性。
当前,您只能在创建密钥的区域中使用密钥。
当使用虚拟 Vault 类型时,您将根据所创建的密钥版本数量来付费,每个月底支付当月的使用费用。
当使用专有 Vault 类型时,您将按每一个 Vault 的小时费率来付费,每个月底支付当月的使用费用。使用专有 Vault 类型存储密钥时,您无需为在密钥库内部创建并与受支持的 Oracle 云基础设施服务一起使用的密钥付费。
要获取最新的定价信息,请参阅密钥管理定价页面。
否,您不需要为即将调度删除的密钥库支付费用。如果您在等待期取消对密钥库的删除,则计费将继续。
是的,处于待删除状态的密钥仍然会计入您的配额限制。
不可以。
您可以控制自己在密钥管理服务中创建和存储的密钥。您可以定义密钥使用和管理策略,为 Oracle IAM 用户、组或服务授予使用、管理或将密钥与资源相关联的权限。
当您请求服务代表您创建密钥时,密钥管理服务会将密钥及其所有后续密钥版本存储在 HSM 支持的密钥库中。
当您请求密钥管理服务代表您在专有 Vault 中创建密钥时,该服务将使用经过 FIPS 140-2, Security Level 3 认证的硬件安全模块 (HSM) 中的按客户隔离的分区,将密钥及其所有后续密钥版本存储在受 HSM 支持的密钥库中(用于支持密钥库的硬件 FIPS 140-2 安全策略详见:http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf)。
包含密钥的所有密钥库类型将在一个区域内多次复制,从而确保密钥的持久性和可用性。任何时候都无法从密钥库中查看或导出纯文本形式的密钥资料。只有通过 IAM 策略授权的用户、组或服务才可以使用密钥,也就是调用密钥管理服务来加密或解密数据
不可以。您的加密密钥只能存储在经过 FIPS 140-2 第 3 级认证的 HSM 中托管的密钥库中,您不能从密钥库中导出密钥。
在 IAM 策略中使用 'use' 而不是 ‘manage’,从而将 Vault 删除权限限制为尽可能少的用户。例如:allow group VaultOperators to use vaults in compartment
限制将 Vault 和密钥分配给存储,以防止未经授权的替换。
此处提供了一个常见的模式示例。