# Criação do Vault (Tipo DEFAULT é gratuito)
resource "oci_kms_vault" "vault" {
  compartment_id = var.vault_compartment
  display_name   = "${var.vault_name}"
  vault_type     = "DEFAULT" 

  freeform_tags = {
    "ManagedBy" = "Terraform"
  }
}

# Criação da Master Encryption Key (Obrigatória para encriptar os secrets)
resource "oci_kms_key" "master_key" {
  compartment_id      = var.vault_compartment
  display_name        = "master-key-${var.vault_name}"
  management_endpoint = oci_kms_vault.vault.management_endpoint

  key_shape {
    algorithm = "AES"
    length    = 32 # AES-256
  }

  protection_mode = "SOFTWARE" # Gratuito. "HSM" tem custo associado.

  freeform_tags = {
    "ManagedBy" = "Terraform"
  }
}