Aucun résultat trouvé

Votre recherche n’a donné aucun résultat.

Nous vous suggérons d’essayer ce qui suit pour trouver ce que vous recherchez :

  • Vérifiez l’orthographe de votre recherche par mot clé.
  • Utilisez des synonymes pour le mot clé que vous avez tapé, par exemple, essayez “application” au lieu de “logiciel”.
  • Essayez l’une des recherches populaires ci-dessous.
  • Lancer une nouvelle recherche.
Questions tendances

Questions fréquemment posées

Tout ouvrir Tout fermer

    Questions générales

  • Oracle Cloud Infrastructure Key Management - Présentation

    Oracle Cloud Infrastructure Key Management est un service géré qui vous permet, en tant que client, de gérer et de contrôler les clés symétriques AES utilisées pour chiffrer vos données au repos. Les clés sont stockées dans un module de sécurité matérielle (HSM) certifié FIPS 140-2, niveau 3, durable et hautement disponible. Le service de gestion des clés est intégré à de nombreux services Oracle Cloud Infrastructure, notamment les volumes de blocs, le stockage de fichiers, Oracle Container Engine for Kubernetes et le stockage d’objets.

  • Qu’est-ce qu’un coffre ?

    Oracle Vault est un regroupement logique de clés. Le coffre doit être créé avant de générer ou d’importer des clés. Il existe deux types de coffres : Privé et Virtuel, qui ont différents niveaux d’isolement, de tarification et d’informatique.

  • Comment les locataires Oracle Cloud Infrastructure sont-ils séparés dans le HSM ?

    Chaque locataire peut avoir de zéro à plusieurs coffres. Un coffre privé réserve 3 000 clés et dispose d’une partition dédiée sur le HSM. Une partition ayant une limite physique sur le HSM, les coffres privés ont un niveau d’isolement élevé. Un coffre virtuel utilise une partition multi-locataire, ce qui lui confère un niveau d’isolement modéré, géré par un logiciel sur le HSM.

  • Quand dois-je utiliser le service de gestion des clés ?

    Utilisez le service de gestion des clés si vous devez stocker vos clés de chiffrement principales dans un HSM pour répondre aux exigences de gouvernance et de conformité réglementaire ou lorsque vous souhaitez avoir plus de contrôle sur la cryptopériode des clés de chiffrement utilisées pour vos données.

  • Quelles sont les limites par défaut pour la gestion des clés ?

    La valeur par défaut est 10 coffres virtuels avec 100 clés par coffre.

    La valeur par défaut pour pour un coffre privé est 0, avec 1 000 clés par coffre.

    Pour examiner et mettre à jour les limites du service de gestion des clés, consultez la section Limites de service. Vous pouvez soumettre un ticket pour demander une augmentation des limites à tout moment.

  • Comment puis-je commencer à utiliser le service de gestion des clés ?

    Assurez-vous que les limites de votre location permettent la création du type de coffre que vous souhaitez créer.

    Assurez-vous que les stratégies IAM pour le compte d’utilisateur ont les autorisations nécessaires pour créer un coffre. Pour construire une instruction, consultez la section Référence sur les stratégies IAM.

    Vous créez d’abord un coffre de clés de gestion des clés en sélectionnant Sécurité à partir de la console Oracle Cloud Infrastructure, puis Gestion des clés.

    Créez un coffre et sélectionnez l’un des deux types de coffre disponibles qui correspondent le mieux à vos exigences d’isolation et de traitement :

    • Privé (VIRTUAL_PRIVATE) : choisissez un coffre privé si vous avez besoin d’une isolation accrue sur le cluster HSM et d’un traitement dédié des opérations de chiffrement/déchiffrement. Le coffre privé utilise des crédits universels à un taux plus élevé.
    • Virtuel (VIRTUAL) : choisissez un coffre virtuel si vous souhaitez une mesure moins coûteuse basée sur les versions de clés et si vous êtes prêt à accepter une isolation modérée (partition multi-tenant dans le HSM) et un traitement partagé pour les opérations de chiffrement/déchiffrement.

    Créez les clés [Master Encryption] dans votre coffre. Les clés peuvent être versionnées au besoin.

    Assurez-vous que les stratégies IAM pour le service ou l’entité appelant la gestion des clés disposent des autorisations nécessaires. Exemple : autoriser le service objectstorage-us-ashburn-1 à utiliser les clés dans le compartiment

    Utilisez la (les) clé(s) :

    • Avec le stockage Oracle Cloud Infrastructure natif : Lors de la création d’un stockage (compartiment, fichier, volume), marquer avec "ENCRYPT USING CUSTOMER-MANAGED KEYS", puis sélectionner le coffre et la clé de chiffrement principale. Les données dans ce compartiment/volume/stockage de fichiers seront chiffrées avec une clé de chiffrement de données enveloppée avec la clé de chiffrement principale dans le coffre.
    • Avec les opérations de chiffrement, en utilisant l’interface de ligne de commande (CLI) comme exemple :
      oci kms crypto encrypt --key-id --plaintext

    Les opérations de chiffrement sont également disponibles dans le SDK et l’API. Pour plus de détails, consultez la section « Présentation de la gestion des clés » dans la documentation.

    Surveillez votre utilisation des opérations à l’aide des indicateurs clés dans la console et le service de surveillance. Les indicateurs clés et les dimensions sont ici : https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm

  • Quels sont les services Oracle Cloud Infrastructure qui s’intègrent à la gestion des clés ?

    Actuellement, les services suivants s’intègrent à la gestion des clés :

    • Volumes de blocs (y compris sauvegardes/restaurations entre régions et volumes de démarrage Oracle Cloud Infrastructure Compute)
    • Object Storage
    • Service File Storage
    • Oracle Container Engine for Kubernetes

    Plusieurs offres de la place de marché disposent également d’une intégration native avec le service de gestion des clés.

  • Quelle est la différence entre Oracle-Managed et Customer Managed Encryption ?

    Le terme Customer-Managed (Géré par le client) signifie que les données chiffrées dans le service de stockage sont protégées de manière transparente par des clés de chiffrement de données enveloppées avec vos clés de chiffrement principales de gestion des clés.

    Le terme Oracle-Managed (Géré par Oracle) signifie que les données seront chiffrées avec une clé de chiffrement qu’Oracle conserve et partage pour tout le stockage géré par Oracle dans la région.

    Dans les deux cas, les données sont chiffrées au repos. L’option Géré par le client vous donne plus de contrôle sur l’isolement, le versionnement et la cryptopériode.

  • Dois-je utiliser la gestion des clés pour que mes données soient protégées là où elles sont stockées ?

    Non. Lorsque vous stockez vos données à l’aide des services Oracle Cloud Infrastructure Block Volumes, File Storage Service et Object Storage et que vous n’utilisez pas la gestion de clés, vos données sont protégées par des clés de chiffrement qui sont stockées et contrôlées de manière sécurisée par Oracle.

  • Quelles fonctionnalités la gestion des clés offre-t-elle ?

    Les fonctionnalités de gestion des clés suivantes sont disponibles lorsque vous utilisez le service de gestion des clés :

    • Créer des coffres à clés hautement disponibles pour stocker durablement vos clés de chiffrement
    • Apporter votre propre clé symétrique
    • Désactiver et réactiver les clés
    • Faire pivoter et versionner vos clés
    • Contraindre les autorisations sur de coffre et de clés à l’aide de stratégies IAM
    • Surveiller le cycle de vie de vos clés et de vos coffres en utilisant Oracle Audit
    • Surveiller les opérations de chiffrement à l’aide de vos clés.
    • Supprimer les clés que vous n’utilisez plus
    • Supprimer les coffres à clés que vous n’utilisez plus
  • Quelles capacités de gestion des clés sont fournies par les services qui s’intègrent à la gestion des clés ?

    Les services qui s’intègrent à la gestion des clés vous offrent les capacités de gestion des clés suivantes :

    • Attribuer une clé à une nouvelle ressource
    • Ajouter une affectation de clé à une ressource existante
    • Modifier l’affectation de clé pour une ressource existante
    • Supprimer l’affectation de clé
  • Quelle forme/longueur de clés puis-je créer et stocker dans la gestion des clés ?

    Lorsque vous créez une clé, vous pouvez choisir une forme de clé qui indique la longueur de la clé et l’algorithme utilisé avec celle-ci. Toutes les clés sont de type AES (Advanced Encryption Standard), et vous pouvez choisir parmi trois longueurs de clé : AES-128, AES-192 et AES-256. La longueur AES-256 est recommandée.

  • Dans quelles régions Oracle Cloud Infrastructure la gestion des clés est-elle disponible ?

    Dans quelles régions Oracle Cloud Infrastructure la gestion des clés est-elle disponible ?

    Gestion des clés et des coffres

  • Puis-je faire tourner mes clés ?

    Oui. Vous pouvez faire tourner vos clés régulièrement en fonction de vos besoins en matière de gouvernance de la sécurité et de conformité réglementaire ou de manière ad hoc en cas d’incident de sécurité. La rotation régulière de vos clés (par exemple, tous les 90 jours) à l’aide de la console, de l’API ou de la CLI limite la quantité de données protégées par une seule clé.

    Remarque : La rotation d’une clé ne rechiffre pas automatiquement les données qui étaient précédemment chiffrées avec l’ancienne version de la clé ; ces données sont rechiffrées la prochaine fois qu’elles sont modifiées par le client. Si vous pensez qu’une clé a été compromise, vous devez rechiffrer toutes les données protégées par cette clé et désactiver la version de clé précédente.

  • Puis-je importer des clés dans la gestion des clés ?

    Oui. En utilisant une paire de clés RSA asymétriques, un client doit envelopper la clé symétrique AES et celle-ci peut ensuite être importée dans le service de gestion des clés.

  • Puis-je supprimer un coffre de clés de la gestion des clés ?

    Oui, mais pas immédiatement. Vous pouvez planifier la suppression d’un coffre de clés de la gestion des clés en configurant une période d’attente pour la suppression de 7 à 30 jours. Le coffre de clés et toutes les clés créées à l’intérieur de celui-ci sont supprimé à la fin de la période d’attente, et toutes les données qui étaient protégées par ces clés ne sont plus accessibles. Une fois le coffre de clés supprimé, il ne peut pas être récupéré.

  • Puis-je supprimer une clé ou une version de clé ?

    Oui, vous pouvez supprimer une clé ou une version de clé. Vous pouvez désactiver une clé, ce qui empêchera toute opération de chiffrement/déchiffrement utilisant cette clé.

  • Y a-t-il une limite stricte au nombre de clés que je peux créer ou stocker par coffre de clés dans la gestion des clés ?

    Lorsque vous utilisez un coffre privé pour stocker vos clés, vous pouvez créer et stocker jusqu’à 3 000 versions de clés par coffre de clés.

    Lorsque vous utilisez un coffre virtuel pour stocker vos clés, il n’y a pas de limite fixe.

    Toutes les versions de clés que vous stocker dans un coffre comptent pour cette limite, quelle que soit la clé correspondante activée ou désactivée.

    Vous pouvez demander une augmentation de limite pour les clés stockées dans un coffre en suivant les étapes de la section Demande d’une augmentation de la limite de service de la documentation Oracle Cloud Infrastructure. Comme les clés activées et désactivées comptent dans la limite, Oracle recommande de supprimer les clés désactivées que vous n’utilisez plus.

    Utilisation des clés

  • Dois-je toujours utiliser les clés directement dans le service de gestion des clés ?

    Non, vous pouvez générer des clés de chiffrement de données (DEK - Data Encryption Key) qui sont regroupées avec les clés de chiffrement principales et chiffrer vos données avec la DEK.

  • Comment utiliser une DEK (clé de chiffrement de données) pour chiffrer/déchiffrer des données ?

    Vous pouvez l’utiliser avec n’importe quelle bibliothèque de chiffrement (par exemple, Bouncy Castle, OpenSSL) pour chiffrer les données.

  • Comment enregistrer les opérations de chiffrement ?

    Soumettez une demande de service avec des informations sur le compartiment Oracle Cloud Infrastructure pour que les opérations configurent votre coffre pour envoyer la journalisation à ce compartiment.

    Haute disponibilité et reprise après sinistre

  • Comment Oracle assure-t-il la haute disponibilité des clés dans une région ?

    Oracle utilise un cluster de six HSM qui ont fourni une disponibilité historique de cinq 9.

  • Puis-je transférer et utiliser mes clés dans une région différente de celle où elles ont été créées ?

    Actuellement, vous ne pouvez utiliser les clés que dans la région où vous les avez créées.

    Facturation

  • Comment serai-je facturé pour l’utilisation de la gestion des clés ?

    Lorsque vous utilisez un type Coffre virtuel, vous payez en fonction du nombre de versions clés que vous créez, et vous êtes facturé à la fin du mois pour l’utilisation de ce mois.

    Lorsque vous utilisez un type Coffre privé, vous payez un tarif horaire pour chaque coffre que vous créez et vous êtes facturé à la fin du mois pour l’utilisation de ce mois. Lorsque vous stockez vos clés dans un type de coffre privé, vous n’êtes pas facturé pour les clés que vous créez dans vos coffres et que vous utilisez avec les services Oracle Cloud Infrastructure pris en charge.

    Pour connaître les prix actuels, consultez la page Tarification de la gestion des clés.

  • Suis-je facturé pour mon coffre de clés lorsqu’il est prévu de le supprimer ?

    Non, vous n’êtes pas facturé pour l’utilisation d’un coffre de clés dont la suppression est planifiée. Si vous annulez la suppression de votre coffre de clés pendant la période d’attente, la facturation se poursuit.

  • Les clés en attente de suppression sont-elles toujours comptabilisées dans la limite du quota ?

    Oui, les clés en attente de suppression comptent toujours dans votre limite de quota.

    Sécurité

  • Les collaborateurs Oracle peuvent-ils accéder au matériel de mes clés ?

    Non.

  • Qui peut utiliser et gérer les clés que je crée et stocke dans la gestion des clés ?

    Vous contrôlez les clés que vous créez et stockez dans la gestion des clés. Vous définissez les stratégies d’utilisation et de gestion des clés et accordez aux utilisateurs, groupes ou services IAM Oracle les droits d’utiliser, de gérer ou d’associer vos clés à des ressources.

  • Comment les clés que je crée à l’intérieur de mon coffre de gestion des clés sont-elles sécurisées ?

    Lorsque vous demandez au service de créer une clé en votre nom, la gestion des clés stocke la clé et toutes les versions ultérieures de la clé dans des coffres pris en charge par le HSM.

    Lorsque vous demandez au service de créer une clé en votre nom dans un coffre privé, la gestion des clés stocke la clé et toutes les versions ultérieures de la clé dans des coffres pris en charge par le HSM en utilisant des partitions isolées par client à l’intérieur de modules de sécurité matérielle (HSM) certifiés FIPS 140-2, niveau de sécurité 3 (vous pouvez consulter ici la stratégie de sécurité FIPS 140-2 pour le matériel utilisé pour sauvegarder votre coffre de clés : http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf).

    Tous les types de coffre de clés contenant vos clés sont répliqués plusieurs fois dans une région pour garantir la durabilité et la disponibilité des clés. Le matériel de clé en texte brut ne peut jamais être affiché ou exporté à partir du coffre de clés. Seuls les utilisateurs, groupes ou services que vous autorisez via une stratégie IAM peuvent utiliser les clés en appelant la gestion des clés pour chiffrer ou déchiffrer les données.

  • Puis-je exporter une clé que j’ai créée dans la gestion des clés ?

    Non. Vos clés de chiffrement sont stockées uniquement dans des coffres de clés hébergés dans des HSM certifiés FIPS 140-2, niveau 3, et vous ne pouvez pas les exporter depuis les coffres de clés.

  • Quelles sont les meilleures pratiques pour les stratégies IAM régissant mon service de gestion des clés ?

    Limitez les autorisations de suppression de coffre à un nombre minimal d’utilisateurs en utilisant le métaverbe « utiliser » dans les stratégies IAM plutôt que « gérer ». Exemple : autoriser les groupes VaultOperators à utiliser les coffres dans le compartiment

    Limitez l’attribution du coffre et des clés au stockage pour empêcher toute substitution non autorisée.

    Un exemple de schéma courant est donné ici.