Oracle Cloud Infrastructure - Dokumentation

Neuen Masterverschlüsselungsschlüssel zuweisen

Weisen Sie einer Block-Volume-Ressource einen neuen Schlüssel zu, z.B. beim Wiederherstellen eines Backups, Klonen eines Volumes, Aktivieren eines Replikats oder Aktivieren der Replikation. Sie können einen vom Kunden verwalteten Schlüssel oder einen von Oracle verwalteten Schlüssel zuweisen.

Anforderungen

Vom Kunden verwaltete Verschlüsselungsschlüssel für regionsübergreifende Vorgänge

Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel für regionsübergreifende Vorgänge angeben, stellen Sie Folgendes sicher:

Wenn Sie keinen vom Kunden verwalteten Verschlüsselungsschlüssel für regionsübergreifende Vorgänge angeben, wird standardmäßig eine von Oracle verwaltete Verschlüsselung verwendet. Diese Anforderungen gelten nicht für von Oracle verwaltete Verschlüsselungsschlüssel.

Regionsübergreifende Backupkopien

Wenn Sie ein Volume-Backup manuell zwischen Regionen kopieren, können Sie den von Oracle verwalteten Schlüssel oder Ihren eigenen Verschlüsselungsschlüssel verwenden. Wenn Sie einer Volume- oder Volume-Gruppe eine Backup-Policy zuweisen, bei der regionsübergreifende Backupkopien aktiviert sind, oder eine regionsübergreifende manuelle Backupkopie ausführen, können Sie optional Mit vom Kunden verwalteten Schlüsseln verschlüsseln für die regionsübergreifende Backupkopieverschlüsselung auswählen, um das Volume-Backup in der Zielregion zu verschlüsseln. Wenn Sie diese Option auswählen, müssen Sie die OCID für einen gültigen Verschlüsselungsschlüssel in der Zielregion angeben.

Siehe auch Verschlüsselungsschlüssel, die vom Kunden verwaltet werden, für regionsübergreifende Vorgänge.

    • Backups wiederherstellen, Volumes klonen oder Replikate aktivieren:

      Wählen Sie unter Verschlüsselung die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln aus, und wählen Sie den Vault-Verschlüsselungsschlüssel aus, den Sie verwenden möchten.

    • Replikation aktivieren: Sie können optional Ihren eigenen Schlüssel angeben, um das Volume-Replikat in der Zielregion zu verschlüsseln. Der vom Kunden verwaltete Schlüssel kann einer der folgenden Schlüsseltypen sein:
      • Replizierter Schlüssel, der in der Zielregion vorhanden ist
      • Jeder Schlüssel in der Zielregion, für die Sie verantwortlich sind und der sich von dem Schlüssel in der Quellregion unterscheidet

      Sie können das Volume-Replikat mit einem vom Kunden verwalteten Verschlüsselungsschlüssel in der Zielregion verschlüsseln, wenn Sie die Replikation für ein Volume oder eine Volume-Gruppe aktivieren.

      Wählen Sie unter Regionsübergreifende Replikationsverschlüsselung die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln aus, und geben Sie die OCID für einen gültigen Verschlüsselungsschlüssel in der Region an, in der Sie das Volume oder die Volume-Gruppe replizieren möchten.

      Wenn Sie keinen vom Kunden verwalteten Schlüssel angeben, wird stattdessen ein von Oracle verwalteter Verschlüsselungsschlüssel verwendet.

    • Backups wiederherstellen, Volumes klonen oder Replikate aktivieren:

      Verwenden Sie den entsprechenden Block-Volume-CLI-Befehl. Nehmen Sie das Attribut --kms-key-id auf, es sei denn, Sie möchten zum Wiederherstellen eines Volumes den von Oracle verwalteten Schlüssel verwenden.

    • Replikation aktivieren: Sie können optional Ihren eigenen Schlüssel angeben, um das Volume-Replikat in der Zielregion zu verschlüsseln. Der vom Kunden verwaltete Schlüssel kann:
      • einen replizierten Schlüssel, der in der Zielregion vorhanden ist.
      • einen beliebigen Schlüssel in der Zielregion, deren Eigentümer Sie sind und der sich von dem Schlüssel in der Quellregion unterscheidet.

      Sie können das Volume-Replikat mit einem vom Kunden verwalteten Verschlüsselungsschlüssel in der Zielregion verschlüsseln, wenn Sie die Replikation für ein Volume oder eine Volume-Gruppe aktivieren.

      Wählen Sie unter Regionsübergreifende Replikationsverschlüsselung die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln aus, und geben Sie die OCID für einen gültigen Verschlüsselungsschlüssel in der Region an, in der Sie das Volume oder die Volume-Gruppe replizieren möchten.

      Wenn Sie keinen vom Kunden verwalteten Schlüssel angeben, wird stattdessen ein von Oracle verwalteter Verschlüsselungsschlüssel verwendet.

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

    • Backups wiederherstellen, Volumes klonen oder Replikate aktivieren:

      Führen Sie den entsprechenden Coreservices-API-Vorgang aus, um einen Masterverschlüsselungsschlüssel zuzuweisen. Nehmen Sie das Attribut kmsKeyId auf.

    • Replikation aktivieren: Sie können optional Ihren eigenen Schlüssel angeben, um das Volume-Replikat in der Zielregion zu verschlüsseln. Der vom Kunden verwaltete Schlüssel kann:
      • einen replizierten Schlüssel, der in der Zielregion vorhanden ist.
      • einen beliebigen Schlüssel in der Zielregion, deren Eigentümer Sie sind und der sich von dem Schlüssel in der Quellregion unterscheidet.

      Sie können das Volume-Replikat mit einem vom Kunden verwalteten Verschlüsselungsschlüssel in der Zielregion verschlüsseln, wenn Sie die Replikation für ein Volume oder eine Volume-Gruppe aktivieren.

      Wählen Sie unter Regionsübergreifende Replikationsverschlüsselung die Option Mit vom Kunden verwalteten Schlüsseln verschlüsseln aus, und geben Sie die OCID für einen gültigen Verschlüsselungsschlüssel in der Region an, in der Sie das Volume oder die Volume-Gruppe replizieren möchten.

      Wenn Sie keinen vom Kunden verwalteten Schlüssel angeben, wird stattdessen ein von Oracle verwalteter Verschlüsselungsschlüssel verwendet.