BYOK(Bring Your Own Key)
Bring Your Own Keyを使用すると、キー管理エディターロールのユーザーはを使ってデフォルトのAuth0環境ルートキーを独自の顧客提供ルートキーに置き換えることができます。 顧客は独自の暗号化マテリアルを含む独自のルートキーを安全にアップロードして以下を行うことができます。- 環境ルートキーのカスタムの鍵の生成および出所の要件を満たす。
- 環境ルートキーの特定の鍵のインストールまたは寿命の要件を満たす。
BYOKを使用して独自の顧客提供ルートキーをインポートすることにより、Auth0による顧客提供ルートキーのライフサイクル管理を削除以外について暗示的に無効化しようとしています。
- 公開ラッピングキーを作成して、システムにダウンロードします。
- 公開ラッピングキーを取得し、独自のキー管理システムを使ってそれを独自の暗号化マテリアルとラップし、ラップされた暗号鍵(顧客提供ルートキー)を作成します。
- ラップされた暗号鍵をアップロードして、[Save(保存)] を選択します。
ラップされた暗号化キーをアップロードすると、ハードウェアセキュリティモジュール(AWSまたはAzure)にあるAuth0の環境ルートキーが顧客提供ルートキーに置き換えられます。
暗号化に必要な情報の要件
貴社のキー管理システムを使って暗号化に必要な独自の情報をパブリックラッピングキーでラッピングし、ラップされた暗号化キーを作成します。Auth0クラウドサービスプロバイダー(AWSまたはAzure)に応じて、CKM_RSA_AES_KEY_WRAPアルゴリズムパラメ―ターに以下の設定を使用します:AWSクラウド上のAuth0
- パブリックラッピングキーの長さ3072ビット
- アルゴリズム:CKG_MGF1_SHA256
- CKM_AES_KEY_WRAP_PADの一時的なAESキーの長さ:256ビット
- カスタマーが提供するルートキーのタイプ:256ビット長のAES対称キー
AzureクラウドのAuth0
- パブリックラッピングキーの長さ2048ビット
- アルゴリズム:CKG_MGF1_SHA-1
- CKM_AES_KEY_WRAP_PADの一時的なAESキーの長さ:256ビット
- 顧客が提供するルートキーのタイプ:2048ビット長のRSA秘密鍵
- 秘密鍵のエンコーディング:PKCS #8 - ASN.1 DER