Oracle Cloud Infrastructure Key Management 是一項託管式的金鑰管理服務,可讓身為客戶的您管理並控制用於加密靜態資料的 AES 對稱金鑰。金鑰會儲存在 FIPS 140-2 的 Level 3 認證硬體加密模組 (HSM),可確保可靠耐用性與高度可用性。Key Management 服務與許多 Oracle Cloud Infrastructure 服務整合,包括 Block Volumes、File Storage、Oracle Container Engine for Kubernetes 和 Object Storage。
Oracle Vault (金鑰保存庫) 是金鑰的邏輯分組。Vault 必須在任何金鑰產生或匯入之前建立。Vault 分為兩種類型:私有 (Private) 和虛擬 (Virtual),可發揮不同等級的隔離能力,定價與運算能力也各不相同。
每個租戶可以擁有零至多個 Vault。私人的金鑰保存庫可保存 3,000 個金鑰,並在 HSM 上有專屬的分區。分區是 HSM 上物理邊界,因此私人的金鑰保存庫具備高等級隔離能力。虛擬金鑰保存庫使用多租戶分區,並由 HSM 上的軟體管理,可發揮中等程度隔離能力。
如果您需要將主加密金鑰儲存在 HSM 中,以符合治理和法規遵循要求,或者您希望對資料所使用的加密金鑰週期進行更進一步的控制,則可使用 Key Management 服務。
預設值為 10 個虛擬金鑰保存庫,每個保存庫可保存 100 個金鑰。
私人金鑰保存庫的預設值為 0,每個保存庫可保存 1000 個金鑰。
如需檢閱和更新 Key Management 服務的限制,請參閱服務限制。您可以隨時提交票證,請求提高限額。
請確保您的租戶限制值允許您建立所需的金鑰保存庫類型。
確保使用者帳戶的 IAM 原則具備建立 Vault 所需的權限。如需製作聲明,請參閱IAM 原則參考資料。
首先,您要先在 Oracle Cloud Infrastructure Console 選擇 安全性,然後選擇 Key Management,以便建立金鑰管理的金鑰保存庫。
建立一個 Vault,然後根據您的隔離與處理需求,從兩個可用的 Vault Types (保存庫類型) 擇一:
在您的金鑰保存庫中建立 [Master Encryption] (主加密) 金鑰。可視需要對金鑰進行版本控制。
確保服務的 IAM 原則或呼叫 Key Management 的實體具備必要的權限。例如:允許服務 objectstorage-us-ashburn-1 使用
使用金鑰:
SDK 和 API 也提供加密作業。如需更多詳細資訊,請參閱說明文件的「Key Management 概要」。
使用主控台的指標和 Monitoring (監控) 服務,監控您的操作使用狀況。指標與規格如下:https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm
目前與 Key Management 整合的服務如下:
數款市售產品服務也原裝整合 Key Management 服務。
客戶託管加密意味著在這些儲存服務中加密的資料,都將以您 Key Management 的主加密金鑰所包裝的資料加密金鑰,提供公開透明的保護。
Oracle 託管加密則代表著,資料將會以 Oracle 針對該區域所有 Oracle 託管儲存區所持有與共用的加密金鑰進行加密。
不論是哪一種情況,資料均會採靜態加密。客戶託管加密可提供更進一步的隔離、版本與加密週期控制。
不用。當您使用 Oracle Cloud Infrastructure Block Volumes、File Storage Service 和 Object Storage 儲存資料,但未搭配 Key Management 時,您的資料會使用由 Oracle 安全儲存與控制的加密金鑰進行保護。
使用 Key Management 服務時,可享有以下金鑰管理功能:
整合 Key Management 的服務可提供以下金鑰管理功能:
建立金鑰時,可選擇用於指示金鑰長度和所用演算法的金鑰形式。所有金鑰均為進階加密標準 (AES),共有以下三種金鑰長度選擇:AES-128、AES-192 和 AES-256。建議使用 AES-256。
Key Management 在所有 Oracle Cloud Infrastructure 地區皆可用。
可以。您可以根據安全性治理和法規遵循需求定期輪換金鑰,或在安全性事件發生時臨時輪換。可使用 Console、API 定期輪換金鑰 (例如:每 90 天),或使用 CLI 限制受單一金鑰保護的資料量。
請注意:輪換金鑰並不會對先前以舊金鑰版本加密的資料進行重新加密;此資料會在下次由客戶修改時重新加密。若您懷疑金鑰外洩,則應該對所有由該金鑰保護的資料重新加密,並停用先前的金鑰版本。
可以。使用非對稱 RSA 金鑰對之後,客戶必須包裝 AES 對稱金鑰,然後就可匯入 Key Management 服務。
可以,但無法立即刪除。您可以設定 7 至 30 天的刪除等候期,以安排從 Key Management 刪除金鑰保存庫的時間。金鑰保存庫和所有在金鑰保存庫內建立的所有金鑰,均會在等候期結束時刪除,所有受這些金鑰保護的資料都將無法存取。金鑰保存庫刪除後將無法還原。
是的,您可以刪除金鑰或金鑰版本。您可以禁用金鑰,如此將可避免使用該金鑰進行任何加密/解密作業。
當您使用私人金鑰保存庫儲存金鑰時,每個金鑰保存庫最多可建立並儲存 3,000 個金鑰版本。
若使用虛擬金鑰保存庫儲存金鑰,則無固定限制。
不論相應的金鑰為啟用或停用,所有儲存在保存庫的金鑰版本均會納入此限制值計算。
您可以透過 Oracle Cloud Infrastructure《請求增加服務限制》說明文件中的步驟,請求提高儲存在保存庫內的金鑰限制值。由於已啟用和停用的金鑰均會納入限制值計算,Oracle 建議刪除不再使用的已停用金鑰。
不用,您可以產生以主加密金鑰包裝的資料加密金鑰 (DEK),並使用 DEK 加密資料。
您可以搭配任何加密程式庫使用 (例如:Bouncy Castle、OpenSSL) 對資料進行加密。
提交包含 Oracle Cloud Infrastructure 貯體資訊的 Service Request (服務請求),讓專人為您的金鑰保存庫進行設定,以傳送紀錄檔至該貯體。
Oracle 使用六個 HSM 的叢集,可提供有史以來最高的 99.999% 可用性。
目前您只能在金鑰建立的區域中使用金鑰。
若使用 Virtual Vault (虛擬金鑰保存庫),則會根據您所建立的金鑰版本數量計費,並且在月底發出當月使用量的帳單。
若使用 Private Vault (私人金鑰保存庫),則會以小時為單位,就您所建立的每個保存庫計費,並在月底發出當月使用量的帳單。若以私人金鑰保存庫類型儲存金鑰,則對於您在金鑰保存庫中建立且搭配受支援 Oracle Cloud Infrastructure 服務使用之金鑰,將不額外收費。
關於當前的定價,請參閱「Key Management 定價」頁面。
不會,使用排定刪除的金鑰保存庫不會產生計費費用。如果您在等候期間取消刪除金鑰保存庫,則將繼續計費。
是,處於待刪除狀態的金鑰仍計入您的配額限制。
不可以。
您在 Key Management 中建立和儲存的金鑰由您控制。您定義金鑰的使用和管理原則,並授予 Oracle IAM 使用者、群組或服務使用和管理權限,也可以為您的金鑰綁定資源。
當您請求服務以您的名義建立金鑰時,Key Management 會將金鑰和所有後續金鑰版本儲存在由 HSM 支援的金鑰保存庫。
當您請求服務以您的名義在私人金鑰保存庫內建立金鑰時,金鑰管理會使用 FIPS 140-2 的 Security Level 3 認證硬體加密模組 (HSM) 中按客戶隔離的分區,將金鑰和所有後續金鑰版本儲存在由 HSM 支援的金鑰保存庫 (您可以查看以下 FIPS 140-2 安全性原則,瞭解用於支援金鑰保存庫所用的硬體:http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf)。
所有含有您的金鑰的金鑰保存庫類型,均會在區域內進行多次複寫,以確保金鑰的持久性和可用性。純文字金鑰資料永遠不可從金鑰保存庫檢視或匯出。唯有您透過 IAM 原則授權的使用者、群組或服務,才可啟動 Key Management 來加密或解密資料使用金鑰。
不可以。您的加密金鑰僅會儲存在託管於 FIPS 140-2 的 Level 3 認證 HSM 金鑰保存庫,而且您無法從金鑰保存庫將這些金鑰匯出。
將 IAM 原則中的「use」metaverb 改為「manage」,將保存庫的刪除權限限制在最低的使用者組數。例如:允許 VaultOperators 群組在
限制保存庫和金鑰至儲存區的指派,以免遭到未經授權替換。
關於常見的模式範例,請參閱此處。