- Contrôlez votre propre clé : Permet aux éditeurs de gestion des clés de personnaliser le cycle de vie de la clé principale du locataire dans KMS Auth0. :
- Apportez votre propre clé : Permet aux éditeurs de gestion des clés de remplacer la clé racine de l’environnement Auth0 et d’importer leur propre clé de chiffrement enveloppée dans le module de sécurité matérielle (HSM) correspondant du nuage Auth0.
Pour en savoir plus, lisez Ajouter des membres locataires.
Contrôlez votre propre clé
Vous pouvez contrôler le cycle de vie de votre clé principale du locataire en utilisant le point de terminaison Rekey du Auth0 pour :- Effectuer une rotation de l’ancienne clé principale du locataire avec une nouvelle clé principale du locataire.
- Effectuer une rotation et ré-chiffrer les clés d’espace de noms avec la nouvelle clé principale du locataire.
Autorisations
Utilisez les autorisations suivantes pour permettre l’accès aux points de terminaison des clés de chiffrement :| Autorisations | Descriptions |
|---|---|
create:encryption_keys
update:encryption_keys | Les utilisateurs peuvent faire une rotation et re-chiffrer la hiérarchie des clés d’un locataire Auth0 avec le point de terminaison Management API Re-chiffrer les clés . |
Point de terminaison
Utilisez le point de terminaison Management API Rekey pour effectuer une rotation de la clé principale du locataire et pour effectuer une rotation et ré-chiffrer les clés d’espace de noms.- Effectuer une rotation de la clé principale du locataire : désactive la clé principale du locataire actuellement active et crée une nouvelle clé principale du locataire.
-
Effectuer une rotation de toutes les clés d’espace de noms dans le locataire : désactiver les clés actives et activer les nouvelles clés.
- Les nouvelles clés d’espace de noms sont utilisées dans les nouvelles opérations de chiffrement.
- Les clés d’espace de noms désactivées sont utilisées pour déchiffrer des données précédemment chiffrées.
- Ré-chiffrer toutes les clés d’espace de noms existantes avec la nouvelle clé principale du locataire.
Le point de terminaison n’est disponible que pour les membres du locataire ayant des permissions spécifiques dans Auth0. Par défaut, ces permissions sont accordées aux éditeurs de gestion de clés.
Apportez votre propre clé
En important votre propre clé racine fournie par le client avec la fonction Apportez votre propre clé, vous retirez implicitement à Auth0 l’autorisation de gérer le cycle de vie de la clé racine fournie par le client, à l’exception de sa suppression.
- Remplacer la clé racine de l’environnement générée par défaut par Auth0 par une nouvelle clé racine fournie par le client.
- Effectuer une rotation et ré-chiffrer la hiérarchie de clés avec la clé racine fournie par le client. Par exemple : créer et ré-chiffrer une nouvelle clé principale du locataire et une nouvelle clé d’espace de noms.
Surveiller les événements de journal des clés gérées par le client
Les opérations de clés gérées par le client ajoutent l’événement de journal suivant dans vos journaux des locataires : Un code d’événementsapi indiquant :
- Créer la nouvelle clé de chiffrement
- Créer la clé d’encapsulation publique
- Importer la clé de chiffrement
- Supprimer la clé de chiffrement par son identifiant
- Recomposer la hiérarchie des clés
kms_key_management_success indiquant une opération KMS réussie.
Un code d’événement kms_key_management_failure indiquant une opération KMS qui a échoué.
Un code d’événement kms_key_state_changed indiquant un changement d’état de clé KMS.
Hiérarchie des clés Auth0
Au niveau de l’application Auth0, Auth0 protège les secrets et les données des clients en utilisant le chiffrement d’enveloppe. La hiérarchie de chiffrement d’enveloppe Auth0 se compose des clés suivantes, chacune étant chiffrée à l’aide de la clé située au-dessus. Le tableau ci-dessous résume la hiérarchie des clés :| Clé | Algorithme | Stockage |
|---|---|---|
| Clé racine de l’environnement | RSA 2048 OAEP (Auth0 sur Azure) AES-256-GCM (Auth0 sur AWS) | Module de sécurité matérielle FIPS 140-2 L3 |
| Clé principale du locataire | AES-256-GCM | Base de données Auth0 KMS |
| Clé d’espace de noms | AES-256-GCM | Base de données Auth0 KMS |
| Clé de chiffrement des données | AES-256-GCM | Stocké à côté des données |
Clé de racine de l’environnement
La clé racine de l’environnement représente le sommet de la hiérarchie et enveloppe la clé principale du locataire pour empêcher qu’elle soit divulguée ou altérée en dehors d’Auth0. Une clé racine d’environnement Auth0 indépendante est générée pour chaque environnement Auth0 et stockée dans un HSM voisin. Les HSM sont déployés dans une configuration géographique multiple hautement disponible. Cela signifie que les HSM basculeront vers une autre région en cas d’incident grave à l’échelle de la région. La clé racine de l’environnement Auth0 est partagée par tous les locataires. Les clients peuvent utiliser la fonction Apportez votre propre clé pour avoir une clé racine de l’environnement dédiée à leur locataire. Auth0 utilise les algorithmes suivants pour envelopper la clé principale du locataire avec la clé racine de l’environnement en fonction de votre fournisseur de services infonuagiques Auth0 :- Auth0 sur Azure : RSA 2048 OAEP
- Auth0 sur AWS : AES 256 GCM
En utilisant le Auth0 Dashboard ou le Management API, les éditeurs de gestion de clés peuvent remplacer la clé racine de l’environnement Auth0 par leur propre clé racine fournie par le client.
Clés principales du locataire
Chaque locataire possède une clé principale du locataire chiffrée stockée dans le service de gestion des clés Auth0 et chiffre les clés d’espace de noms. L’algorithme utilisé pour chiffrer la clé principale du locataire est AES256 GCM.Lorsqu’un Éditeur de gestion de clés utilisant le Auth0 Dashboard ou le Management API a fourni sa propre clé racine fournie par le client, une nouvelle clé principale du locataire est créée.