Vault-Verschlüsselungsschlüssel für Block-Volume verwalten

Vom Kunden verwaltete Schlüssel sind Schlüssel, die mit Oracle Cloud Infrastructure Vault verwaltet und verfügbar gemacht werden.

Block-Volumes werden standardmäßig mit von Oracle verwalteten Schlüsseln verschlüsselt. Sie haben die Möglichkeit, Ihre eigenen Schlüssel zu verwenden, die von Vault verwaltet werden. Sie können beim Erstellen eines Volumes einen vom Kunden verwalteten Schlüssel angeben. Informationen hierzu finden Sie unter Block-Volumes erstellen. Die Backups des Volumes verwenden automatisch den angegebenen Schlüssel. Sie können einen anderen Schlüssel festlegen, wenn Sie ein neues Volume durch Klonen eines Volumes oder Wiederherstellen eines Volumes aus einem Volume-Backup erstellen.

So legen Sie beim Wiederherstellen eines Backups einen neuen Schlüssel fest

Führen Sie bei Verwendung der CLI den folgenden Befehl aus:
```
oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
        --volume-backup-id=<source_backup_ID>
```
Wenn Sie das Attribut --kms-key-id nicht angeben, verwendet das Volume, das beim Wiederherstellen eines Backups erstellt wurde, den von Oracle verwalteten Schlüssel.
Wenn Sie das Block-Volume in der Konsole aus einem Backup wiederherstellen, wählen Sie im Abschnitt Verschlüsselung im Formular Block-Volume wiederherstellen die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln und dann den Vault-Verschlüsselungsschlüssel aus, den Sie verwenden möchten.
Wenn Sie die API verwenden, geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId von CreateVolumeDetails an, wenn Sie den Vorgang CreateVolume aufrufen.

So legen Sie einen neuen Schlüssel beim Klonen eines Volumes fest

Führen Sie bei Verwendung der CLI den folgenden Befehl aus:

oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-id=<source_volume_ID>

Wenn Sie ein Volume in der Konsole klonen, wählen Sie im Formular Klon erstellen im Abschnitt Verschlüsselung die Option Mit benutzerdefinierten Schlüsseln verschlüsseln und dann den Vault-Verschlüsselungsschlüssel aus, den Sie verwenden möchten.
Wenn Sie die API verwenden, geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId von CreateVolumeDetails an, wenn Sie den Vorgang CreateVolume aufrufen.

So legen Sie einen neuen Schlüssel beim Aktivieren eines Replikats fest

Führen Sie bei Verwendung der CLI den folgenden Befehl aus:

oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-replica-id=<source_replica_ID>

Wenn Sie in der Konsole Volume-Replikat aktivieren, wählen Sie im Abschnitt Verschlüsselung im Formular Volume-Replikat aktivieren die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln und dann den Vault-Verschlüsselungsschlüssel aus, den Sie verwenden möchten.
Wenn Sie die API verwenden, geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId von CreateVolumeDetails an, wenn Sie den Vorgang CreateVolume aufrufen.

Schlüssel beim Aktivieren der Replikation angeben

Sie können optional einen eigenen Schlüssel angeben, um das Volume-Replikat in der Zielregion zu verschlüsseln. Der vom Kunden verwaltete Schlüssel kann:

einen replizierten Schlüssel, der in der Zielregion vorhanden ist.
alle Schlüssel in der Zielregion, für die Sie verantwortlich sind und die sich vom Schlüssel in der Quellregion unterscheiden.

Sie können das Volume-Replikat mit einem vom Kunden verwalteten Verschlüsselungsschlüssel in der Zielregion verschlüsseln, wenn Sie die Replikation für ein Volume oder eine Volume-Gruppe aktivieren. Wenn Sie die Replikation aktivieren, wählen Sie Mit vom Kunden verwalteten Schlüsseln verschlüsseln für die Verschlüsselung der regionsübergreifenden Replikation aus, und geben Sie dann die OCID für einen gültigen Verschlüsselungsschlüssel in der Region an, in der Sie das Volume oder die Volume-Gruppe replizieren möchten. Wenn Sie keinen vom Kunden verwalteten Schlüssel angeben, wird stattdessen ein von Oracle verwalteter Verschlüsselungsschlüssel verwendet.

Siehe:

Verschlüsselungsschlüssel rotieren

Das Rotieren desselben Schlüssels wird derzeit nicht unterstützt, und das Verhalten ist nicht definiert, wenn mehrere Versionen eines Schlüssels vorhanden sind. Block Volume unterstützt nur Schlüssel mit einer einzelnen Version. Um einen Verschlüsselungsschlüssel zu rotieren, ändern Sie den Verschlüsselungsschlüssel des Volumes in einen neuen Schlüssel. Sie können auch den Verschlüsselungsschlüssel für ein Volume-Backup ändern.

Wenn Sie den Schlüssel für ein Volume durch Angabe eines neuen Verschlüsselungsschlüssels rotieren, verwenden alle untergeordneten Ressourcen, die vor der Aktualisierung des Schlüssels erstellt wurden, weiterhin den alten Verschlüsselungsschlüssel. Dazu gehören Backups und Klone.

So ändern Sie den Verschlüsselungsschlüssel für ein Volume

Sie können den einem Volume zugewiesenen Schlüssel in einen anderen vom Kunden verwalteten Schlüssel ändern. Wenn Sie den Verschlüsselungsschlüssel ändern, wird der Inhalt des Volume nicht erneut verschlüsselt. Nur der Datenschlüssel wird erneut verschlüsselt.

Um mit der CLI einen anderen vom Kunden verwalteten Schlüssel für ein Volume festzulegen, führen Sie den folgenden Befehl aus:
```
oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>
```
Informationen zum Festlegen eines anderen vom Kunden verwalteten Schlüssels für ein Volume mit der Konsole finden Sie unter So aktualisieren Sie einen Schlüssel für ein Block-Volume.
Um einen anderen vom Kunden verwalteten Schlüssel mit der API festzulegen, verwenden Sie den Vorgang UpdateVolumeKmsKey.

Verschlüsselungsschlüssel für ein Volume-Backup ändern

Sie können den einem Volume-Backup zugewiesenen Schlüssel in einen anderen vom Kunden oder in einen von Oracle verwalteten Schlüssel ändern. Wenn Sie den Verschlüsselungsschlüssel ändern, wird das Volume-Backup nicht erneut verschlüsselt. Es wird nur der Datenschlüssel erneut verschlüsselt. Informationen zum Ändern des Verschlüsselungsschlüssels für ein Backup mit der CLI, Konsole oder API finden Sie unter Verschlüsselungsschlüssel für Volume-Backups.

Zugriff auf Sicherheits-Compartment-Schlüssel

Als Best Practice empfiehlt die CIS Oracle Cloud Infrastructure Foundations Benchmark, einen Vault für Ihre vom Kunden verwalteten Schlüssel in einem separaten Compartment zu erstellen und den Zugriff auf dieses Compartment zu beschränken. Das folgende Diagramm zeigt, wie Sie dies organisieren.

Architekturdiagramm mit vom Kunden verwalteten Schlüsseln, die in einem separaten Compartment mit eingeschränktem Zugriff gespeichert sind

Die folgenden Policys sind erforderlich, um für die Verschlüsselung von Boot-Volumes, Block-Volumes und zugehörigen Ressourcen die Schlüssel in einem separaten Sicherheits-Compartment mit eingeschränktem Zugriff zu verwenden.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>

Verschlüsselungsschlüssel für Volume-Backups

Mit dem Oracle Cloud Infrastructure Vault-Service können Sie Ihre eigenen Schlüssel zur Verschlüsselung von Volumes und deren Backups verwenden und verwalten. Wenn Sie ein Volume-Backup erstellen, wird der für das Volume verwendete Verschlüsselungsschlüssel auch für das Volume-Backup verwendet.

CLI verwenden

Um einen anderen Schlüssel für ein Volume-Backup mit der CLI anzugeben, führen Sie den folgenden Befehl aus:

oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>

Um anzugeben, dass das Volume-Backup einen von Oracle verwalteten Schlüssel verwendet, geben Sie eine leere Zeichenfolge für die Schlüssel-ID an, wie im folgenden Beispiel dargestellt:

oci bv backup update --backup-id=<backup_ID> --kms-key-id=''

Konsole verwenden

Öffnen Sie das Navigationsmenü , und wählen Sie Speicher aus. Wählen Sie unter Block Storage die Option Block-Volume-Backups aus.
Wählen Sie unter Listenbereich in der Liste Compartment das Compartment mit dem Volume-Backup aus, für das Sie den Schlüssel aktualisieren möchten.
Klicken Sie in der Liste der Volume-Backups auf das gewünschte Backup.
Wählen Sie eine der folgenden Vorgehensweisen aus:
- Wenn dem Volume-Backup bereits ein Schlüssel zugewiesen wurde, klicken Sie neben Verschlüsselungsschlüssel auf Bearbeiten, um einen anderen Schlüssel zuzuweisen.
- Wenn dem Volume-Backup noch kein Schlüssel zugewiesen wurde, klicken Sie neben Verschlüsselungsschlüssel auf Zuweisen.
Wählen Sie das Vault Compartment, den Vault, das Key Compartment und den Schlüssel aus.
Klicken Sie abschließend auf Zuweisen oder Aktualisieren.

API verwenden

Um einen anderen vom Kunden verwalteten Schlüssel mit der API anzugeben, verwenden Sie den Vorgang UpdateVolumeBackup, und geben Sie die Verschlüsselungsschlüssel-OCID im Attribut kmsKeyId an.

Schlüssel für regionsübergreifende Backupkopien angeben

Wenn Sie ein Volume-Backup manuell zwischen Regionen kopieren, können Sie den von Oracle verwalteten Schlüssel oder Ihren eigenen Verschlüsselungsschlüssel verwenden. Wenn Sie eine Backup-Policy mit aktivierten regionübergreifenden Backupkopien einem Volume oder einer Volume-Gruppe zuweisen oder eine regionsübergreifende Kopie eines manuellen Backups ausführen, können Sie optional Mit vom Kunden verwalteten Schlüsseln verschlüsseln auswählen, um das Volume-Backup in der Zielregion zu verschlüsseln. Wenn Sie diese Option auswählen, müssen Sie die OCID für einen gültigen Verschlüsselungsschlüssel in der Zielregion angeben. Siehe auch Anforderungen für vom Kunden verwaltete Verschlüsselungsschlüssel für regionsübergreifende Vorgänge.

Weitere Ressourcen

Anforderungen für vom Kunden verwaltete Verschlüsselungsschlüssel für regionsübergreifende Vorgänge

Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel für regionsübergreifende Vorgänge angeben, stellen Sie Folgendes sicher:

Die OCID ist eine gültige OCID für den Verschlüsselungsschlüssel in einem Format ähnlich dem Folgenden:
```
ocid1.key.oc1.iad-ad-1.<unique_ID>
```
Die OCID bezieht sich auf einen Verschlüsselungsschlüssel, der in der Zielregion für den regionsübergreifenden Vorgang vorhanden ist.
Sie haben die erforderlichen Berechtigungen in der Zielregion konfiguriert, um Verschlüsselungsschlüssel mit Block-Volume zu verwenden. Weitere Informationen finden Sie unter:

Wenn Sie keinen vom Kunden verwalteten Verschlüsselungsschlüssel für regionsübergreifende Vorgänge angeben, wird standardmäßig eine von Oracle verwaltete Verschlüsselung verwendet. Diese Anforderungen gelten nicht für von Oracle verwaltete Verschlüsselungsschlüssel.

Oracle Cloud Infrastructure - Dokumentation