Oracle Cloud Infrastructure - Dokumentation

Vault-Verschlüsselungsschlüssel für Block-Volume verwalten

Bei vom Kunden verwalteten Schlüsseln handelt es sich um Ihre eigenen Schlüssel, die im Vault-Service gespeichert sind.

Sie können externe Schlüssel in den Vault-Service importieren oder mit dem Service neue Schlüssel generieren. Weitere Informationen zu diesen Aufgaben finden Sie unter Schlüssel verwalten und Schlüssel und Schlüsselversionen importieren.

Wenn Sie ein Volume erstellen, können Sie den vom Kunden verwalteten Schlüssel für das Volume angeben. Siehe Block-Volume erstellen. Die Backups des Volumes verwenden automatisch den angegebenen Schlüssel. Sie können einen anderen Schlüssel festlegen, wenn Sie ein neues Volume durch Klonen eines Volumes oder Wiederherstellen eines Volumes aus einem Volume-Backup erstellen.

So legen Sie einen neuen Schlüssel beim Klonen eines Volumes fest

  • Führen Sie bei Verwendung der CLI den folgenden Befehl aus:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-id=<source_volume_ID>

  • Wenn Sie ein Volume in der Konsole klonen, wählen Sie im Abschnitt Verschlüsselung unter Klon erstellen die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln und dann den Vault-Verschlüsselungsschlüssel aus, den Sie verwenden möchten.

  • Wenn Sie die API verwenden, geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId von CreateVolumeDetails an, wenn Sie den Vorgang CreateVolume aufrufen.

So legen Sie beim Wiederherstellen eines Backups einen neuen Schlüssel fest

  • Führen Sie bei Verwendung der CLI den folgenden Befehl aus:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--volume-backup-id=<source_backup_ID>

    Wenn Sie das Attribut --kms-key-id nicht angeben, verwendet das Volume, das beim Wiederherstellen eines Backups erstellt wurde, den von Oracle verwalteten Schlüssel.

  • Wenn Sie das Block-Volume in der Konsole aus einem Backup wiederherstellen, wählen Sie im Abschnitt Verschlüsselung im Formular Block-Volume wiederherstellen die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln und dann den Vault-Verschlüsselungsschlüssel aus, den Sie verwenden möchten.

  • Wenn Sie die API verwenden, geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId von CreateVolumeDetails an, wenn Sie den Vorgang CreateVolume aufrufen.

So legen Sie einen neuen Schlüssel beim Aktivieren eines Replikats fest

Volumes mit aktivierter Replikation unterstützen keine vom Kunden verwalteten Schlüssel. Wenn Sie die Replikation für ein Volume aktivieren möchten, verwenden Sie von Oracle verwaltete Schlüssel für die Volume-Verschlüsselung. Siehe Die regionsübergreifende Replikation wird für Volumes, die mit vom Kunden verwalteten Schlüsseln verschlüsselt sind, nicht unterstützt.

  • Führen Sie bei Verwendung der CLI den folgenden Befehl aus:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-replica-id=<source_replica_ID>

  • Wenn Sie in der Konsole Volume-Replikat aktivieren, wählen Sie im Abschnitt Verschlüsselung im Formular Volume-Replikat aktivieren die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln und dann den Vault-Verschlüsselungsschlüssel aus, den Sie verwenden möchten.

  • Wenn Sie die API verwenden, geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId von CreateVolumeDetails an, wenn Sie den Vorgang CreateVolume aufrufen.

Verschlüsselungsschlüssel rotieren

Das Rotieren desselben Schlüssels wird derzeit nicht unterstützt, und das Verhalten ist nicht definiert, wenn mehrere Versionen eines Schlüssels vorhanden sind. Block Volume unterstützt nur Schlüssel mit einer einzelnen Version. Um einen Verschlüsselungsschlüssel zu rotieren, ändern Sie den Verschlüsselungsschlüssel des Volumes in einen neuen Schlüssel. Sie können den Verschlüsselungsschlüssel auch für ein Volume-Backup ändern.

Wenn Sie den Schlüssel für ein Volume durch Angabe eines neuen Verschlüsselungsschlüssels rotieren, verwenden alle untergeordneten Ressourcen, die vor der Aktualisierung des Schlüssels erstellt wurden, weiterhin den alten Verschlüsselungsschlüssel. Dazu gehören Backups und Klone.

So ändern Sie den Verschlüsselungsschlüssel für ein Volume

Sie können den einem Volume zugewiesenen Schlüssel in einen anderen vom Kunden verwalteten Schlüssel ändern. Wenn Sie den Verschlüsselungsschlüssel ändern, wird der Inhalt des Volumes nicht erneut verschlüsselt. Es wird lediglich der Datenschlüssel erneut verschlüsselt.

  • Um mit der CLI einen anderen vom Kunden verwalteten Schlüssel für ein Volume festzulegen, führen Sie den folgenden Befehl aus:

    oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>

  • Informationen zum Festlegen eines anderen vom Kunden verwalteten Schlüssels für ein Volume mit der Konsole finden Sie unter So aktualisieren Sie einen Schlüssel für ein Block-Volume.

  • Um einen anderen vom Kunden verwalteten Schlüssel mit der API festzulegen, verwenden Sie den Vorgang UpdateVolumeKmsKey.

Verschlüsselungsschlüssel für ein Volume-Backup ändern

Sie können den einem Volume-Backup zugewiesenen Schlüssel in einen anderen vom Kunden oder in einen von Oracle verwalteten Schlüssel ändern. Wenn Sie den Verschlüsselungsschlüssel ändern, wird das Volume-Backup nicht erneut verschlüsselt. Es wird nur der Datenschlüssel erneut verschlüsselt.

  • Um einen anderen Schlüssel für ein Volume-Backup mit der CLI anzugeben, führen Sie den folgenden Befehl aus:

    oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>

    Um anzugeben, dass das Volume-Backup einen von Oracle verwalteten Schlüssel verwendet, geben Sie eine leere Zeichenfolge für die Schlüssel-ID an, wie im folgenden Beispiel dargestellt: 

    oci bv backup update --backup-id=<backup_ID> --kms-key-id=''

  • Informationen zum Festlegen eines anderen vom Kunden verwalteten Schlüssels für ein Volume-Backup mit der Konsole finden Sie unter Volume-Backupverschlüsselungsschlüssel.

  • Um einen anderen vom Kunden verwalteten Schlüssel mit der API anzugeben, verwenden Sie den Vorgang UpdateVolumeBackup, und geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId an.

Zugriff auf Sicherheits-Compartment-Schlüssel

Als Best Practice empfiehlt die CIS Oracle Cloud Infrastructure Foundations Benchmark, einen Vault für Ihre vom Kunden verwalteten Schlüssel in einem separaten Compartment zu erstellen und den Zugriff auf dieses Compartment zu beschränken. Das folgende Diagramm zeigt, wie Sie dies organisieren.

Architekturdiagramm mit vom Kunden verwalteten Schlüsseln, die in einem separaten Compartment mit eingeschränktem Zugriff gespeichert sind

Die folgenden Policys sind erforderlich, um für die Verschlüsselung von Boot-Volumes, Block-Volumes und zugehörigen Ressourcen die Schlüssel in einem separaten Sicherheits-Compartment mit eingeschränktem Zugriff zu verwenden.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>

Verschlüsselungsschlüssel für Volume-Backups

Der Oracle Cloud Infrastructure Block Volume Service verschlüsselt immer alle Block-Volumes, Boot-Volumes und Volume-Backups im Ruhezustand mit dem Advanced Encryption Standard-(AES-)Algorithmus mit 256-Bit-Verschlüsselung.

Mit dem Oracle Cloud Infrastructure Vault-Service können Sie Ihre eigenen Schlüssel zur Verschlüsselung von Volumes und deren Backups verwenden und verwalten. Wenn Sie ein Volume-Backup erstellen, wird der für das Volume verwendete Verschlüsselungsschlüssel auch für das Volume-Backup verwendet.

Sie können den einem Volume-Backup zugewiesenen Schlüssel in einen anderen vom Kunden oder in einen von Oracle verwalteten Schlüssel ändern. Wenn Sie den Verschlüsselungsschlüssel ändern, wird der Inhalt des Volumes nicht erneut verschlüsselt. Es wird lediglich der Datenschlüssel erneut verschlüsselt.

CLI verwenden

Um einen anderen Schlüssel für ein Volume-Backup mit der CLI anzugeben, führen Sie den folgenden Befehl aus:

oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>

Um anzugeben, dass das Volume-Backup einen von Oracle verwalteten Schlüssel verwendet, geben Sie eine leere Zeichenfolge für die Schlüssel-ID an, wie im folgenden Beispiel dargestellt: 

oci bv backup update --backup-id=<backup_ID> --kms-key-id=''

Konsole verwenden

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Speicher. Klicken Sie unter Block Storage auf Block-Volume-Backups.
  2. Wählen Sie unter Listenumfang in der Liste Compartment das Compartment mit dem Volume-Backup aus, für das Sie den Schlüssel aktualisieren möchten.
  3. Klicken Sie in der Liste der Volume-Backups auf das gewünschte Backup.

  4. Wählen Sie eine der folgenden Vorgehensweisen aus:

    • Wenn dem Volume-Backup bereits ein Schlüssel neben Verschlüsselungsschlüssel zugewiesen wurde, klicken Sie auf Bearbeiten, um einen anderen Schlüssel zuzuweisen.
    • Wenn dem Volume-Backup noch kein Schlüssel zugewiesen wurde, klicken Sie neben Schlüssel auf Zuweisen.

  5. Wählen Sie das Vault Compartment, den Vault, das Schlüssel-Compartment und den Schlüssel aus.

  6. Klicken Sie abschließend auf Zuweisen oder Aktualisieren.

API verwenden

Um einen anderen vom Kunden verwalteten Schlüssel mit der API anzugeben, verwenden Sie den Vorgang UpdateVolumeBackup, und geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId an.

Weitere Ressourcen