找不到任何結果

您的搜尋未與任何結果相符。

以下操作有助您找到所需內容,建議您不妨一試:

  • 檢查您關鍵字搜尋的拼字是否正確。
  • 改用您所輸入關鍵字的同義詞,例如以「應用軟體」取代「軟體」。“”“”
  • 嘗試下列其中一項熱門搜尋。
  • 開始新的搜尋。
常見問題

常見問題

全部開啟 全部關閉

    一般性問題

  • Oracle Cloud Infrastructure Key Management 是什麼?

    Oracle Cloud Infrastructure Key Management 是一項託管式的金鑰管理服務,可讓身為客戶的您管理並控制用於加密靜態資料的 AES 對稱金鑰。金鑰會儲存在 FIPS 140-2 的 Level 3 認證硬體加密模組 (HSM),可確保可靠耐用性與高度可用性。Key Management 服務與許多 Oracle Cloud Infrastructure 服務整合,包括 Block Volumes、File Storage、Oracle Container Engine for Kubernetes 和 Object Storage。

  • 什麼是 Vault?

    Oracle Vault (金鑰保存庫) 是金鑰的邏輯分組。Vault 必須在任何金鑰產生或匯入之前建立。Vault 分為兩種類型:私有 (Private) 和虛擬 (Virtual),可發揮不同等級的隔離能力,定價與運算能力也各不相同。

  • 如何在 HSM 中將 Oracle Cloud Infrastructure 租戶區隔開來?

    每個租戶可以擁有零至多個 Vault。私人的金鑰保存庫可保存 3,000 個金鑰,並在 HSM 上有專屬的分區。分區是 HSM 上物理邊界,因此私人的金鑰保存庫具備高等級隔離能力。虛擬金鑰保存庫使用多租戶分區,並由 HSM 上的軟體管理,可發揮中等程度隔離能力。

  • 我什麼時候應該使用 Key Management 服務?

    如果您需要將主加密金鑰儲存在 HSM 中,以符合治理和法規遵循要求,或者您希望對資料所使用的加密金鑰週期進行更進一步的控制,則可使用 Key Management 服務。

  • Key Management 的預設限制是什麼?

    預設值為 10 個虛擬金鑰保存庫,每個保存庫可保存 100 個金鑰。

    私人金鑰保存庫的預設值為 0,每個保存庫可保存 1000 個金鑰。

    如需檢閱和更新 Key Management 服務的限制,請參閱服務限制。您可以隨時提交票證,請求提高限額。

  • 我如何開始使用 Key Management 服務?

    請確保您的租戶限制值允許您建立所需的金鑰保存庫類型。

    確保使用者帳戶的 IAM 原則具備建立 Vault 所需的權限。如需製作聲明,請參閱IAM 原則參考資料

    首先,您要先在 Oracle Cloud Infrastructure Console 選擇 安全性,然後選擇 Key Management,以便建立金鑰管理的金鑰保存庫。

    建立一個 Vault,然後根據您的隔離與處理需求,從兩個可用的 Vault Types (保存庫類型) 擇一:

    • 私人 (VIRTUAL_PRIVATE):如果您需要增加 HSM 叢集上的隔離,並對加密/解密作業進行專門處理,請選擇私人金鑰保存庫。私人金鑰保存庫會以更高的費率使用 Universal Credit。
    • 虛擬 (VIRTUAL):如果您想要較低計費方案的金鑰版本,並且可以接受中等級別的隔離 (在 HSM 中採多租戶分區) 以及共用加密/解密作業處理,則可選擇虛擬金鑰保存庫。

    在您的金鑰保存庫中建立 [Master Encryption] (主加密) 金鑰。可視需要對金鑰進行版本控制。

    確保服務的 IAM 原則或呼叫 Key Management 的實體具備必要的權限。例如:允許服務 objectstorage-us-ashburn-1 使用 區間中的金鑰。

    使用金鑰:

    • 使用原生 Oracle Cloud Infrastructure 儲存裝置:建立儲存區時 (貯體、檔案、磁碟區),以「ENCRYPT USING CUSTOMER-MANAGED KEYS」標記,然後選擇金鑰保存庫和主加密金鑰。貯體/磁碟區/檔案儲存區的資料,將會以使用金鑰保存庫的主加密金鑰包裝的資料加密金鑰加密。
    • 以下以使用命令列介面 (CLI) 為範例,說明加密作業:
      oci kms crypto encrypt --key-id --plaintext

    SDK 和 API 也提供加密作業。如需更多詳細資訊,請參閱說明文件的「Key Management 概要」。

    使用主控台的指標和 Monitoring (監控) 服務,監控您的操作使用狀況。指標與規格如下:https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm

  • 與 Key Management 整合的 Oracle Cloud Infrastructure 服務有哪些?

    目前與 Key Management 整合的服務如下:

    • Block Volumes (包括跨區域備份/還原和 Oracle Cloud Infrastructure Compute 開機磁碟區)
    • Object Storage
    • File Storage 服務
    • Oracle Container Engine for Kubernetes

    數款市售產品服務也原裝整合 Key Management 服務。

  • Oracle 託管加密與客戶託管加密的差別在哪?

    客戶託管加密意味著在這些儲存服務中加密的資料,都將以您 Key Management 的主加密金鑰所包裝的資料加密金鑰,提供公開透明的保護。

    Oracle 託管加密則代表著,資料將會以 Oracle 針對該區域所有 Oracle 託管儲存區所持有與共用的加密金鑰進行加密。

    不論是哪一種情況,資料均會採靜態加密。客戶託管加密可提供更進一步的隔離、版本與加密週期控制。

  • 我需要使用 Key Management 以便使資料在其儲存位置受到保護嗎?

    不用。當您使用 Oracle Cloud Infrastructure Block Volumes、File Storage Service 和 Object Storage 儲存資料,但未搭配 Key Management 時,您的資料會使用由 Oracle 安全儲存與控制的加密金鑰進行保護。

  • Key Management 提供哪些功能?

    使用 Key Management 服務時,可享有以下金鑰管理功能:

    • 建立高可用性的金鑰保存庫,以便可靠地儲存您的加密金鑰
    • 自備對稱金鑰
    • 停用和重新啟用金鑰
    • 輪換金鑰和制定版本
    • 使用 IAM 原則限制金鑰保存庫和金鑰許可
    • 使用 Oracle Audit 監控金鑰和金鑰保存庫的生命週期
    • 使用您的金鑰監控加密作業。
    • 刪除不再使用的金鑰
    • 刪除不再使用的金鑰保存庫
  • 整合 Key Management 的服務提供哪些金鑰管理功能?

    整合 Key Management 的服務可提供以下金鑰管理功能:

    • 將金鑰分配給新資源
    • 將金鑰指派新增至現有資源
    • 變更現有資源的金鑰指派
    • 移除金鑰指派
  • 我在 Key Management 中可以建立和儲存那一種形式/長度的金鑰?

    建立金鑰時,可選擇用於指示金鑰長度和所用演算法的金鑰形式。所有金鑰均為進階加密標準 (AES),共有以下三種金鑰長度選擇:AES-128、AES-192 和 AES-256。建議使用 AES-256。

  • Key Management 在哪些 Oracle Cloud Infrastructure 地區可用?

    Key Management 在所有 Oracle Cloud Infrastructure 地區皆可用。

    管理金鑰和金鑰保存庫

  • 我可以輪換金鑰嗎?

    可以。您可以根據安全性治理和法規遵循需求定期輪換金鑰,或在安全性事件發生時臨時輪換。可使用 Console、API 定期輪換金鑰 (例如:每 90 天),或使用 CLI 限制受單一金鑰保護的資料量。

    請注意:輪換金鑰並不會對先前以舊金鑰版本加密的資料進行重新加密;此資料會在下次由客戶修改時重新加密。若您懷疑金鑰外洩,則應該對所有由該金鑰保護的資料重新加密,並停用先前的金鑰版本。

  • 我可以將金鑰匯入 Key Management 嗎?

    可以。使用非對稱 RSA 金鑰對之後,客戶必須包裝 AES 對稱金鑰,然後就可匯入 Key Management 服務。

  • 我可以從 Key Management 中刪除金鑰保存庫嗎?

    可以,但無法立即刪除。您可以設定 7 至 30 天的刪除等候期,以安排從 Key Management 刪除金鑰保存庫的時間。金鑰保存庫和所有在金鑰保存庫內建立的所有金鑰,均會在等候期結束時刪除,所有受這些金鑰保護的資料都將無法存取。金鑰保存庫刪除後將無法還原。

  • 我可以刪除金鑰或金鑰版本嗎?

    是的,您可以刪除金鑰或金鑰版本。您可以禁用金鑰,如此將可避免使用該金鑰進行任何加密/解密作業。

  • 我在 Key Management 中,可以對每個金鑰保存庫所建立或儲存的金鑰數量進行硬限制嗎?

    當您使用私人金鑰保存庫儲存金鑰時,每個金鑰保存庫最多可建立並儲存 3,000 個金鑰版本。

    若使用虛擬金鑰保存庫儲存金鑰,則無固定限制。

    不論相應的金鑰為啟用或停用,所有儲存在保存庫的金鑰版本均會納入此限制值計算。

    您可以透過 Oracle Cloud Infrastructure《請求增加服務限制》說明文件中的步驟,請求提高儲存在保存庫內的金鑰限制值。由於已啟用和停用的金鑰均會納入限制值計算,Oracle 建議刪除不再使用的已停用金鑰。

    使用金鑰

  • 我一定要直接使用 Key Management 服務中的金鑰嗎?

    不用,您可以產生以主加密金鑰包裝的資料加密金鑰 (DEK),並使用 DEK 加密資料。

  • 我如何使用 DEK (資料加密金鑰) 加密/解密資料?

    您可以搭配任何加密程式庫使用 (例如:Bouncy Castle、OpenSSL) 對資料進行加密。

  • 我要如何記錄加密作業?

    提交包含 Oracle Cloud Infrastructure 貯體資訊的 Service Request (服務請求),讓專人為您的金鑰保存庫進行設定,以傳送紀錄檔至該貯體。

    高可用性和災難還原

  • Oracle 如何在區域中提供金鑰的高可用性?

    Oracle 使用六個 HSM 的叢集,可提供有史以來最高的 99.999% 可用性。

  • 我可以在金鑰原建立區域以外的區域傳輸並使用金鑰嗎?

    目前您只能在金鑰建立的區域中使用金鑰。

    計費

  • Key Management 服務的收費方式為何?

    若使用 Virtual Vault (虛擬金鑰保存庫),則會根據您所建立的金鑰版本數量計費,並且在月底發出當月使用量的帳單。

    若使用 Private Vault (私人金鑰保存庫),則會以小時為單位,就您所建立的每個保存庫計費,並在月底發出當月使用量的帳單。若以私人金鑰保存庫類型儲存金鑰,則對於您在金鑰保存庫中建立且搭配受支援 Oracle Cloud Infrastructure 服務使用之金鑰,將不額外收費。

    關於當前的定價,請參閱「Key Management 定價」頁面。

  • 為金鑰保存庫安排刪除時程之後,仍會繼續計費嗎?

    不會,使用排定刪除的金鑰保存庫不會產生計費費用。如果您在等候期間取消刪除金鑰保存庫,則將繼續計費。

  • 處於待刪除狀態中的金鑰仍會計入配額限制嗎?

    是,處於待刪除狀態的金鑰仍計入您的配額限制。

    安全性

  • Oracle 員工可以存取我的金鑰資料嗎?

    不可以。

  • 誰可以使用和管理我在 Key Management 中建立和儲存的金鑰?

    您在 Key Management 中建立和儲存的金鑰由您控制。您定義金鑰的使用和管理原則,並授予 Oracle IAM 使用者、群組或服務使用和管理權限,也可以為您的金鑰綁定資源。

  • 我在 Key Management 的金鑰保存庫中所建立的金鑰會如何受到保護?

    當您請求服務以您的名義建立金鑰時,Key Management 會將金鑰和所有後續金鑰版本儲存在由 HSM 支援的金鑰保存庫。

    當您請求服務以您的名義在私人金鑰保存庫內建立金鑰時,金鑰管理會使用 FIPS 140-2 的 Security Level 3 認證硬體加密模組 (HSM) 中按客戶隔離的分區,將金鑰和所有後續金鑰版本儲存在由 HSM 支援的金鑰保存庫 (您可以查看以下 FIPS 140-2 安全性原則,瞭解用於支援金鑰保存庫所用的硬體:http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf)。

    所有含有您的金鑰的金鑰保存庫類型,均會在區域內進行多次複寫,以確保金鑰的持久性和可用性。純文字金鑰資料永遠不可從金鑰保存庫檢視或匯出。唯有您透過 IAM 原則授權的使用者、群組或服務,才可啟動 Key Management 來加密或解密資料使用金鑰。

  • 我可以匯出我在 Key Management 中建立的金鑰嗎?

    不可以。您的加密金鑰僅會儲存在託管於 FIPS 140-2 的 Level 3 認證 HSM 金鑰保存庫,而且您無法從金鑰保存庫將這些金鑰匯出。

  • 治理 Key Management 服務 IAM 原則的最佳做法是什麼?

    將 IAM 原則中的「use」metaverb 改為「manage」,將保存庫的刪除權限限制在最低的使用者組數。例如:允許 VaultOperators 群組在 區間使用金鑰保存庫

    限制保存庫和金鑰至儲存區的指派,以免遭到未經授權替換。

    關於常見的模式範例,請參閱此處