Guide d'administration d'Oracle^® ZFS Storage Appliance, version OS8.8.x

Suppression d'une clé de chiffrement (CLI)

La suppression d'une clé de chiffrement est un moyen rapide et efficace de rendre une grande quantité de données inaccessibles. Les clés peuvent être supprimées même lorsqu'elles sont en cours d'utilisation. Si la clé à supprimer est en cours d'utilisation, un avertissement s'affiche et la confirmation est requise. Tous les partages, projets ou pools utilisant la clé sont annulés et les clients en perdent l'accès.

Si vous devez utiliser à nouveau une clé LOCAL pour accéder aux partages qui lui sont associés, sauvegardez le nom et la valeur de la clé avant de la supprimer. Vous pourrez ultérieurement effectuer une procédure de restauration comme décrit dans la section Restauration d'une clé LOCAL (CLI).

Lorsqu'une clé de chiffrement actuellement utilisée par un pool, un projet ou un partage est supprimée, tous les pools, projets et partages concernés sont répertoriés en tant qu'éléments dépendants de la clé. Lorsque la clé est supprimée, la valeur de la propriété keystatus est remplacée par unavailable.

Pour supprimer une clé de chiffrement, procédez comme suit :

1. Accédez à shares encryption.
2. Accédez à la configuration de keystore appropriée.
3. Supprimez la clé.

   Utilisez la commande destroy keyname pour supprimer une clé.

   hostname:shares encryption local local_keys> destroy keyname=MyKey
   
   This key has the following dependent shares:
   
       pool-1
       pool-1/local/default
       pool-1/local/default/fs-1
   
   Destroying this key will render the data inaccessible. Are you sure? (Y/N)

   Lisez l'avertissement et confirmez la suppression de la clé.

   Lorsqu'une clé est supprimée, toutes les données de tous les pools et partages qui l'utilisent deviennent inaccessibles. Cette opération équivaut à une destruction sécurisée des données. Elle est définitive et irréversible, sauf si vous avez préparé la restauration de la clé en la sauvegardant. Pour plus d'informations sur la sauvegarde et la restauration de la clé, reportez-vous aux sections Sauvegarde d'une clé locale (CLI) et Restauration d'une clé LOCAL (CLI).

4. Vérifiez qu'un partage n'est plus accessible à l'aide de cette clé.

   • La valeur de la propriété keystatus est remplacée par unavailable.

   • La propriété keystatus est signalée comme critique.

   • La clé manquante est considérée comme une erreur.

   hostname:> shares select default select fs-1
   hostname:shares default/fs-1> get encryption keystore keyname keystatus
   
                      encryption = aes-128-ccm (inherited)
                         keystore = LOCAL (inherited)
                          keyname = MyKey (inherited)
                        keystatus = unavailable
   
   Errors:
               key_unavailable

5. Pour répertorier les dépendants, utilisez les commandes CLI suivantes :

   hostname:shares (pool-1) encryption local keys> select keyname=1 hostname:shares
          (pool-010) encryption local key-002> list
   
   Properties:
                           cipher = AES
                          keyname = 1
   
   hostname:shares (pool-010) encryption local key-002> list dependents DEPENDENTS
           pool-010/local/default/a hostname:shares (pool-010) encryption local key-002>

Rubriques connexes

• Modification d'une clé de chiffrement de partage (CLI)

• Sauvegarde d'une clé locale (CLI)

• Restauration d'une clé LOCAL (CLI)