Preguntas frecuentes de Key Management
Preguntas generales
¿Qué es Oracle Cloud Infrastructure Key Management Service (KMS)?
Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) es un servicio basado en la nube que proporciona gestión y control centralizados de las claves de cifrado para los datos almacenados en OCI. OCI KMS es un cifrado gestionado por el cliente y ofrece los siguientes servicios:
- OCI Vault: OCI Vault es un servicio de cifrado gestionado por el cliente que permite controlar las claves alojadas en módulos de seguridad de hardware (HSM) de OCI mientras Oracle gestiona y administra los HSM. OCI Vault ofrece las siguientes opciones:
- Virtual Vault: Virtual Vault es un servicio de cifrado multi-inquilino donde sus claves se almacenan en particiones HSM que también alojan claves de otros clientes. Es el servicio de cifrado predeterminado en OCI Vault.
- Private Vault: Private Vault es un servicio de cifrado de un solo inquilino que almacena claves en una partición de HSM dedicada con núcleos dedicados que están aislados en su arrendamiento.
- OCI Dedicated KMS: OCI Dedicated KMS es una partición HSM de un solo inquilino como servicio que proporciona un entorno totalmente aislado para almacenar y gestionar claves de cifrado. La diferencia entre Private Vault y OCI Dedicated KMS es cómo se controlan las particiones de HSM. Con OCI Dedicated KMS, puedes controlar y reclamar la propiedad de las particiones de HSM y utilizar interfaces estándar, como PKCS#11, para realizar operaciones criptográficas. Oracle sigue administrando estas particiones de HSM para la aplicación de parches de seguridad y firmware.
- OCI External KMS: te permite utilizar tu propio sistema de gestión de claves de terceros para proteger los datos de los servicios de OCI. Tú controlas las claves y los HSM fuera de OCI, y eres responsable de la administración y gestión de esos HSM. Tus claves maestras siempre se almacenan fuera de OCI y nunca se importan a OCI External KMS, por lo que las operaciones de cifrado y descifrado se realizan fuera de OCI.
Para obtener más información sobre las ofertas de cifrado de OCI, consulta este blog.
¿Qué requisitos de seguridad y conformidad cumple OCI KMS?
OCI KMS utiliza HSM que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2 para proteger tus claves. El certificado FIPS se puede encontrar en el sitio web del Programa de Validación de Módulos Criptográficos (CMVP) de NIST aquí.
OCI KMS se ha validado con los controles de funcionalidad y seguridad para ayudarte a cumplir los requisitos de cifrado y gestión de claves de PCI DSS 3.2.1 (a los que se hace referencia principalmente en las secciones 3.5 y 3.6).
¿Qué capacidades o funciones admite OCI KMS?
OCI KMS admite diversas funcionalidades para permitirte controlar tus claves y garantizar la protección de seguridad necesaria para tus datos en los servicios de OCI. A continuación se muestra la matriz de funciones para funcionalidades críticas en diferentes servicios dentro de OCI KMS.
| Prestaciones | Almacén virtual | Almacén privado | Dedicated KMS | KMS externo |
|---|---|---|---|---|
| HSM FIPS 140-2 de nivel 3 | Sí | Sí | Sí | Cliente web |
| Cifrado simétrico (AES) | Sí | Sí | Sí | Sí |
| Cifrado asimétrico (RSA y ECDSA) | Sí | Sí | Sí | No |
| Teclas de software | Sí | Sí | No | Cliente web |
| Copia de seguridad/restauración | No | Sí | Sí | No |
| Replicación entre regiones | Sí | Sí | No | No |
| Trae tu propia clave | Sí | Sí | Sí | Cliente web |
| Integración de servicios de OCI (almacenamiento, base de datos, SaaS) | Sí | Sí | No | Sí |
| Rotación automática de claves | Próximamente | Sí | No | No |
| Registro de auditoría | Sí | Sí | Sí | Sí |
| Supresión programada | Sí | Sí | Sí | Sí |
¿Cómo proporciona Oracle alta disponibilidad de las claves en una región? ¿En qué regiones geográficas están almacenadas mis claves?
Oracle utiliza un clúster de nodos y HSM para almacenar réplicas de tus claves en la misma región donde se crearon, lo que nos permite proporcionar el 99,9% de acuerdo de nivel de servicio (SLA) y el 99,99% de objetivo de nivel de servicio (SLO) para la gestión de claves. Consulta Servicios de nube públicos Oracle PaaS e IaaS: documento básico.
Una clave se almacena y se utiliza solo en la región en la que se ha creado. Si deseas realizar una copia de seguridad o replicar tus claves en otra región del dominio para cumplir los requisitos de conformidad o DR, puedes utilizar la copia de seguridad y restauración entre regiones o la replicación entre regiones.
¿Cuál es la diferencia entre OCI KMS y Oracle Key Vault (OKV)?
OCI KMS es un servicio de gestión de claves nativo en la nube que Oracle recomienda para todas tus aplicaciones en la nube. OCI KMS está integrado de forma nativa en muchos servicios de OCI relacionados con los servicios de almacenamiento, base de datos y SaaS, como FA. Si buscas una gestión de claves centralizada en Oracle Cloud y un servicio gestionado para todas tus aplicaciones en la nube con una estructura de precios de pago por consumo, OCI KMS es lo que recomienda Oracle.
Oracle Key Vault es otro producto de gestión de claves de Oracle. Oracle Key Vault proporciona gestión de claves para bases de datos de Oracle habilitadas para TDE que se ejecutan tanto en el entorno local (que incluyen Oracle Exadata Cloud@Customer y Oracle Autonomous Database—Dedicated) como en OCI, así como gestión de claves para archivos de seguimiento de Oracle GoldenGate cifrados y sistemas de archivos ACFS cifrados.
¿En qué regiones de OCI existe OCI KMS y dónde puedo encontrar recursos para OCI KMS?
OCI KMS está disponible en todas las regiones y dominios de OCI, como Gobierno, EU Sovereign Cloud, regiones de Oracle National Security y OCI Dedicated Region Cloud@Customer. Puedes obtener más información sobre la disponibilidad de regiones y las ofertas de KMS de OCI en nuestra documentación y blogs.
Vault
¿Qué es OCI Vault?
OCI Vault es un servicio seguro y resiliente totalmente gestionado que te permite centrarte en tus necesidades de cifrado de datos sin preocuparte por las tareas administrativas que requieren mucho tiempo como el aprovisionamiento de hardware y la aplicación de parches de software. Vault utiliza HSM que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2 para proteger tus claves. OCI Vault es el servicio de cifrado nativo de Gen 2 Cloud.
Vault admite diferentes tipos de claves de cifrado: simétricas (claves AES) y asimétricas (claves RSA y ECDSA) y un conjunto genérico de cargas de trabajo, como Oracle Exadata Cloud Service, Oracle Autonomous Database, cifrado de datos transparente en Oracle Database y cargas de trabajo ajenas a base de datos.
Existen dos tipos de OCI Vault: Private Vault y Virtual Vault de forma predeterminada. El tipo de almacén de claves que cree determina el grado de aislamiento y rendimiento de sus claves. Cada inquilino puede tener desde ninguno hasta múltiples almacenes.
Un almacén privado (Private Vault) proporciona una partición dedicada en el HSM (cliente único). Una partición es un límite físico en el HSM que está aislada de otras particiones. Private Vault proporciona transacciones mejores y constantes por segundo para operaciones criptográficas. Se trata de HSM de un solo inquilino. Los almacenes privados también tienen funciones adicionales, como la replicación entre regiones y la copia de seguridad y restauración entre regiones de claves.
Virtual Vault utiliza una partición multicliente, lo que proporciona un nivel moderado de aislamiento.
Ambas opciones te permiten crear claves de cifrado maestras almacenadas de una de las siguientes formas:
- Claves de HSM: Una clave maestra de cifrado protegida por un HSM se almacena en un HSM y no se puede exportar desde el HSM. Todas las operaciones criptográficas en las que se utiliza la clave también tienen lugar en el HSM. Estas claves cumplen con el nivel 3 de FIPS.
- Claves de software: Una clave maestra de cifrado protegida por software se almacena en un servidor y se puede exportar desde el servidor para realizar operaciones criptográficas en el cliente en lugar de en el servidor. Mientras está en reposo, la clave protegida por software se cifra mediante una clave raíz en el HSM. Estas claves cumplen con el nivel 1 de FIPS.
¿Qué funcionalidades ofrece OCI Vault?
Al utilizar OCI Vault, dispone de las siguientes funcionalidades de gestión de claves:
- Crear tus propias claves de cifrado para proteger tus datos
- Trae tus propias claves
- Rota tus claves
- Crear y verificar firmas digitales con operaciones de firma y verificación con tus claves asimétricas
- Copia de seguridad y restauración entre regiones para almacenes y claves (solo almacenes privados)
- Replicación entre regiones de almacenes y claves (solo almacenes privados)
- Desactivar temporalmente claves para proteger los datos
- Programar la supresión de claves y almacenes que ya no utilices
- Limitar los permisos detallados sobre la gestión y el uso de claves y almacenes mediante políticas de OCI IAM.
- Supervisar el estado del ciclo de vida de la clave y el almacén con Oracle Audit y Database Firewall
- Integración perfecta con servicios internos de OCI: Oracle Exadata Cloud Service, Oracle Autonomous Database Dedicated y Oracle Cloud Infrastructure (OCI) Block Storage, File Storage, Object Storage, Streaming y Container Engine for Kubernetes.
En OCI Vault puedes crear claves de estándar de cifrado avanzado (AES-GCM), Rivest-Shamir-Adleman (RSA) y algoritmo de firma digital de curva elíptica (ECDSA). Para las claves AES, puedes elegir entre tres longitudes de clave: AES-128, AES-192 y AES-256. Se recomienda utilizar AES-256. OCI Vault admite los siguientes tipos de claves asimétricas: RSA 2048, RSA 3072, RSA 4096, NIST P-256, NIST P384 y ECC_NIST521.
Puedes crear y utilizar claves simétricas AES y claves asimétricas RSA para cifrar y descifrar. También es posible puede utilizar claves asimétricas RSA o ECDSA para firmar mensajes digitales.
Para obtener más detalles y empezar a utilizar, consulta Descripción general de OCI Vault.
¿Dónde se cifran mis datos si utilizo OCI Vault?
Puedes enviar datos directamente a las API de gestión de claves para cifrarlos y desencriptarlos con tus claves de cifrado maestras almacenadas en Vault. Además, puedes cifrar tus datos localmente dentro de tus aplicaciones y servicios OCI mediante un método conocido como cifrado de sobres.
Con el cifrado de sobres, generas y recuperas las claves de cifrado de datos (DEK) de las API de gestión de claves. Las DEK no se almacenan ni se gestionan en el servicio de gestión de claves, sino que están cifradas por su clave maestra de cifrado. Tus aplicaciones pueden utilizar las DEK para cifrar sus datos y almacenar las DEK cifradas junto con los datos. Cuando tus aplicaciones quieran descifrar los datos, deberás llamar al descifrado de la API de gestión de claves en las DEK cifradas para recuperarlas. Después, puede descifrar tus datos localmente con la DEK.
¿Por qué utilizar el cifrado de sobres? ¿Por qué no basta con enviar los datos al servicio de gestión de claves de OCI y a OCI Vault para cifrarlos directamente?
La gestión de claves admite el envío de hasta 4 KB de datos para cifrarlos directamente. Además, el cifrado de sobres puede ofrecer importantes ventajas de rendimiento. Al cifrar datos directamente con las API de gestión de claves, se deben transferir a través de la red. El cifrado de sobres reduce la carga de la red, ya que solo pasan por la red la solicitud y la entrega de las DEK, mucho más pequeñas. La DEK se utiliza localmente en tu aplicación o en el servicio OCI de cifrado, lo que evita la necesidad de enviar todo el bloque de datos.
¿Puedo traer mis propias claves (BYOK) a OCI Vault?
Sí. Puedes importar una copia de su clave desde tu propia infraestructura de gestión de claves a OCI Vault y usarla con cualquier servicio OCI integrado o desde tus propias aplicaciones. Puedes importar todos los algoritmos de claves: claves AES, RSA y ECDSA. Se admite la importación de ambos tipos de claves: claves de software y HSM. Nota: No puedes exportar claves de HSM fuera del HSM.
¿Puedo rotar mis claves?
Sí. Puedes rotar periódicamente las claves según tus necesidades de conformidad con las normativas y gobernanza de seguridad o hacerlo ad hoc en caso de que se produzca un incidente de seguridad. La rotación periódica de las claves (por ejemplo, cada 90 días) mediante la consola, la API o la CLI, limita la cantidad de datos protegidos por una sola clave.
Nota: La rotación de una clave no vuelve a cifrar automáticamente los datos que se cifraron previamente con la versión anterior de la clave; estos datos se volverán a cifrar la próxima vez que el cliente los modifique. Si sospechas que una clave se ha visto comprometida, debes volver a cifrar todos los datos protegidos por esa clave y deshabilitar la versión anterior de la clave.
¿Puedo eliminar una clave o una versión de una clave?
Sí, pero no inmediatamente. Puedes programar la eliminación de un almacén de claves de Key Management si configuras un período de espera para la eliminación de 7 a 30 días.
Para la supresión de almacenes, el almacén y todas las claves creadas dentro de él se suprimen al finalizar el período de espera, y todos los datos protegidos por esas claves dejan de ser accesibles. Después de eliminar un almacén de claves, no se puede recuperar.
También puedes deshabilitar una clave, lo que impedirá cualquier operación de cifrado o descifrado que use esa clave.
¿Puedo transferir y usar mis claves en una región diferente de la región donde se crearon?
Sí. Vault admite la replicación entre regiones de claves y almacenes. Puedes replicar almacenes privados de una región a otra para que tanto ellos como las claves que contienen estén disponibles para cumplir los requisitos de conformidad o para mejorar la latencia.
Al configurar la replicación entre regiones para un almacén privado, el servicio Vault sincroniza automáticamente la creación, supresión, actualización o movimiento de cualquier clave o versión de clave entre el almacén de inicio y un almacén en una región de destino. El almacén desde el que el servicio replica los datos se conoce como almacén de origen. El almacén de la región de destino en la que el servicio replica los datos del almacén de origen se conoce como réplica del almacén. El servicio admite operaciones criptográficas en el almacén y las claves de la región de destino.
OCI Vault también admite copias de seguridad y restauraciones entre regiones de Private Vault para que las claves se puedan usar en una región diferente a aquella donde fueron creadas. La copia de seguridad y la restauración cumplen con los requisitos de FIPS, ya que no se exportan materiales clave reales, sino un objeto binario que representa el material clave. Las operaciones de restauración solo pueden ocurrir en los HSM gestionados por OCI.
¿Cómo se me cobrará por utilizar OCI Key Management Service y OCI Vault?
Se te cobra en función del tipo de almacén de claves que se crea.
De forma predeterminada, a tu almacén de claves se le pasarán cobros en función de la cantidad de versiones de clave. Las claves protegidas por software son gratuitas, pero las claves protegidas por HSM se cobran a 53 céntimos por versión de clave. (Las primeras 20 versiones de clave son gratuitas). No obstante, si crea un almacén privado (HSM de inquilino único), se le cobrará un precio por hora. El precio se calcula desde el momento de la creación del almacén y continúa hasta que se programe su eliminación. No se te cobran las versiones de clave dentro de un almacén privado.
No se te facturará en función del número de solicitudes de API para almacenes y claves realizadas en el servicio para ninguna de las operaciones de gestión o criptografía.
Para obtener más detalles, consulta Precios de Oracle Cloud Security.
Claves programadas para su eliminación: no se te facturan las claves que están programadas para su eliminación. Si cancelas la eliminación de Tus claves, se reanuda la facturación.
¿Cuáles son los límites predeterminados de OCI Vault?
El límite predeterminado del almacén privado es 0. Los usuarios deben solicitar un aumento del límite para usarlo. Una vez que Private Vault está activado, los usuarios obtienen un límite flexible de 1.000 y un límite estricto de 3.000 versiones de clave simétrica.
Cuando usas Virtual Vault predeterminado para almacenar tus claves, no hay ningún límite. El valor predeterminado es de 10 almacenes con 100 claves por almacén.
Todas las versiones de claves que guarda en un almacén de claves cuentan para este límite, independientemente de que la clave correspondiente esté habilitada o deshabilitada.
Los límites impuestos a OCI Vault se rigen por los límites de servicio de OCI. Se establecen los mismos límites predeterminados para todos los inquilinos. Los clientes pueden solicitar un aumento del límite de servicio para las claves almacenadas dentro de un Vault siguiendo los pasos descritos aquí en la documentación de Oracle Cloud Infrastructure. Como tanto las claves habilitadas como las deshabilitadas cuentan para el límite, Oracle recomienda eliminar las claves deshabilitadas que ya no utilices.
¿Quién puede utilizar y gestionar mis claves en OCI Vault y quién puede ver los cambios realizados en el estado del ciclo de vida de las claves y los almacenes?
Al utilizar OCI Key Management Service para cifrar o descifrar datos, solo los usuarios, grupos o servicios que autorices mediante una política de OCI IAM pueden gestionar y utilizar las claves. Puedes aplicar políticas de uso y gestión detalladas para otorgar permisos específicos a usuarios específicos.
Para realizar un seguimiento de los cambios de estado del ciclo de vida, puede utilizar registros en OCI Audit, que mostrarán todos los detalles de las solicitudes de gestión de OCI Vault, como crear, rotar, desactivar y mucho más, para todos los almacenes, claves o versiones de clave de tu arrendamiento.
Dedicated Key Management Service
¿Qué es OCI Dedicated KMS?
OCI Dedicated KMS es un servicio totalmente gestionado que proporciona particiones de módulo de seguridad de hardware (HSM) de un solo inquilino dentro de tu cuenta de OCI. Obtienes un control y una visibilidad exclusivos de las claves de cifrado y las particiones de HSM que las almacenan, lo que ofrece un mayor control sobre la gestión de claves.¿Cuáles son las ventajas clave de OCI Dedicated KMS?
- Control granular: gestiona ciclos de vida clave, acceso de usuario y políticas de seguridad en el entorno de HSM.
- Interacción directa con HSM: las aplicaciones acceden directamente a los HSM a través de PKCS#11, omitiendo las API de OCI para obtener eficiencia.
- Conformidad: utiliza HSM con certificación FIPS 140-2 de nivel 3 e interacción directa con HSM en operaciones de baja latencia.
¿Quién necesita OCI Dedicated KMS?
Organizaciones con requisitos de cumplimiento estrictos o implementaciones personalizadas de infraestructura de clave pública (PKI) que requieren control y visibilidad detallados sobre su gestión de claves y operaciones criptográficas se benefician significativamente de OCI Dedicated KMS.
¿En qué se diferencia OCI Dedicated KMS de la oferta Vault (Private Vault) de OCI?
Si bien ambas ofrecen particiones de HSM de un solo inquilino, OCI Dedicated KMS brinda control directo sobre las particiones de HSM y los usuarios administradores, lo que es ideal para la personalización y gestión avanzadas. Con OCI Dedicated KMS, utilizas interfaces estándar como PKCS#11 para realizar operaciones criptográficas en tus claves. Por otro lado, Private Vault prioriza la facilidad de uso con los HSM gestionados por Oracle y es adecuado para las necesidades estándar de KMS. Se utilizan las API de KMS para realizar operaciones criptográficas en la oferta Private Vault.
¿Cuáles son los servicios de OCI compatibles con OCI Dedicated KMS?
Las aplicaciones deben utilizar interfaces estándar como PKCS#11 para interactuar directamente con OCI Dedicated KMS. Los servicios de OCI como Database, Storage y Oracle Fusion Applications se integran de forma nativa con la oferta Vault; utiliza Vault para estos servicios dentro de OCI KMS.
¿Cómo empiezo a utilizar OCI Dedicated KMS?
Aumenta tus límites de recursos de OCI Dedicated KMS dentro de OCI, ya que de forma predeterminada no puedes crear el clúster de HSM en la consola de OCI. La creación de clústeres de HSM es un proceso de varios pasos que implica la intervención del usuario en dos etapas: inicialización necesaria y activación necesaria. Consulta la documentación técnica para crear correctamente un clúster de HSM.
¿Cuánto cuesta OCI Dedicated KMS?
OCI Dedicated KMS tiene un precio de US$1.75 por partición de HSM por hora. Con un mínimo de tres particiones de HSM, el costo inicial es de US$5.25 por hora.
Debes solicitar un límite explícitamente para particiones de HSM dedicadas.¿Puedo agregar más particiones a un clúster de HSM existente?
No. Cada clúster de HSM contiene tres particiones fijas. Si necesitas más particiones, crea clústeres de HSM adicionales.
¿Cómo gestiono y realizo operaciones criptográficas en mis claves?
Las aplicaciones de cliente acceden a las claves y realizan operaciones criptográficas directamente a través de HSM mediante la interfaz estándar PKCS#11, sin depender de las API de OCI.
¿Cuáles son las ventajas clave de OCI Dedicated KMS?
OCI Dedicated KMS ofrece un mayor control y seguridad para la gestión de claves con particiones de HSM certificadas por FIPS 140-2 de nivel 3, cifrado de extremo a extremo para interacciones de HSM y control granular sobre el acceso del usuario y las políticas de seguridad.
¿Dónde puedo encontrar más información sobre OCI Dedicated KMS?
Puedes encontrar información útil en la página web de OCI Key Management Service. Consulta la documentación técnica de Oracle para obtener información detallada sobre la configuración.
External Key Management Service
¿Qué es OCI External Key Management Service (KMS Externo de OCI)?
OCI External KMS es un servicio que permite a los clientes utilizar claves de cifrado almacenadas y gestionadas fuera de OCI. Puede resultar útil para los clientes que tienen requisitos normativos para almacenar claves de cifrado locales o fuera de OCI, o que desean tener más control sobre sus claves de cifrado. Consulta este blog para obtener más información.
¿Cuáles son las ventajas de OCI External KMS?
El servicio ayuda a los clientes a abordar lo siguiente:
- Soberanía de datos, conformidad y regulaciones: OCI External KMS ayuda a los clientes a mantener el control sobre tus claves de cifrado y dónde las almacenan. Se trata de algo beneficioso para las organizaciones que deben cumplir con estrictos requisitos de soberanía de datos, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
- Confianza y garantía: OCI External KMS permite a los clientes poseer y gestionar el módulo criptográfico y convertirse en custodios de sus claves de cifrado. Se trata de algo beneficioso para las organizaciones que deben demostrar su control sobre los procesos de cifrado a los clientes finales, socios y partes interesadas.
¿Cuáles son las consideraciones operativas para utilizar OCI External KMS?
OCI External KMS ofrece a los clientes más control sobre sus claves de cifrado, pero también conlleva una responsabilidad operativa: los clientes deben administrar, gestionar y mantener claves de cifrado y módulos de seguridad de hardware (HSM) locales. Se trata de un modelo de propiedad distinto del actual servicio OCI Vault, en el que Oracle gestiona y administra la infraestructura HSM en nombre de los clientes.
¿Cómo puedo rotar claves en OCI External KMS?
Para rotar una clave (también conocida como referencia de clave) en OCI External KMS, primero deberá rotar las claves en Thales CipherTrust Manager siguiendo el paso que se indica a continuación, ya que el material de claves se almacena fuera de OCI.
- Añade una nueva versión de clave externa en Thales CipherTrust Manager.
En OCI, se puede hacer clic en Rotar referencia de clave y escribir el ID de versión de clave externa del paso anterior.
¿Qué servicios de OCI admite OCI External KMS?
OCI External KMS admite claves de cifrado simétricas y es compatible con aplicaciones que ya están integradas con OCI Vault. Como resultado, los clientes no tienen que modificar aplicaciones para beneficiarse de OCI External KMS: pueden utilizar y asociar claves de la misma forma que lo harían con OCI Vault y con el mismo SLA del 99,9 %.
Los siguientes servicios están integrados con OCI Vault y pueden beneficiarse de un KMS externo sin ningún cambio:
- Oracle Cloud Infrastructure Object Storage, Block Volume y File Storage
- Oracle Cloud Infrastructure Container Engine for Kubernetes
- Oracle Database, incluidas Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure, Oracle Database Cloud Service y Database as a Service
¿Qué sucede si desactivo, bloqueo o elimino claves de Thales CipherTrust Manager en OCI External KMS? ¿Mis datos en OCI seguirán siendo accesibles?
OCI External KMS está diseñado de tal manera que OCI no tiene acceso al material de claves criptográficas real. Una vez que un cliente ha bloqueado la clave en Thales CipherTrust Manager, OCI no tiene forma de utilizar la referencia de clave para descifrar datos ni realizar cualquier operación con esa referencia de clave.
A continuación, también puedes desactivar/suprimir las referencias de clave de la consola de OCI.
¿OCI External KMS admite la replicación entre regiones de claves/almacenes?
Actualmente, OCI External KMS no admite la replicación entre regiones de claves/almacenes.
¿Cuál es el precio de OCI External KMS?
OCI External KMS cuesta 3 dólares por versión de clave al mes, y no hay ningún costo adicional por el uso de estas versiones de clave. Los clientes tienen un límite flexible de 10 cámaras y 100 versiones de claves por cámara. Contacta con Thales para obtener más información sobre los precios y límites de CipherTrust Manager.
¿Cómo puedo obtener más información sobre OCI External KMS?
Puedes obtener más información sobre OCI External KMS leyendo la documentación técnica o probándolo en la consola de OCI. Accede a External KMS en la consola de OCI seleccionando Identidad y seguridad en el menú de navegación de OCI, Gestión de claves y gestión de secretos y, a continuación, Gestión de claves externas.