Vaults und Schlüssel sichern und wiederherstellen
Erfahren Sie mehr über das Sichern und Wiederherstellen virtueller privater Vaults und Masterverschlüsselungsschlüssel in einem Hardwaresicherheitsmodul (HSM).
Sie können Backups von virtuellen privaten Vaults und Masterverschlüsselungsschlüsseln in einem Objektspeicher-Bucket erstellen oder im Speicher außerhalb von OCI sichern.
Der einzige Vault-Typ, den Sie sichern können, ist ein virtueller privater Vault. Ebenso können Sie nur einen Masterverschlüsselungsschlüssel sichern, der durch ein Hardwaresicherheitsmodul (HSM) geschützt ist. Sie können keine durch Software geschützten Masterverschlüsselungsschlüssel sichern. Sie können auch keine Geheimnisse sichern.
Möglicherweise möchten Sie einen Vault oder Verschlüsselungsschlüssel sichern, bevor Sie sie löschen, wenn Sie sie jetzt nicht benötigen, aber der Meinung sind, dass Sie den Schlüssel möglicherweise später entschlüsseln müssen. Das Löschen eines Vaults und Schlüssels bedeutet andernfalls, dass Sie Ressourcen oder Daten, die mit dem Schlüssel verschlüsselt wurden, nicht mehr entschlüsseln können. Wenn Sie einen Schlüssel aus einem Backup wiederherstellen, können Sie die Verwendung einer Ressource fortsetzen, die durch den Schlüssel verschlüsselt wurde, wenn das ursprüngliche Schlüsselmaterial gelöscht wurde.
Sie können auch ein Backup eines Vaults erstellen, das in einem Disaster-Recovery-Szenario verwendet werden soll. Sie können ein Backup in einer beliebigen Region innerhalb der verwendeten Realm wiederherstellen. Dadurch ist der Zugriff auf verschlüsselte Ressourcen auch in Disaster-Recovery-Szenarios möglich, in denen die Region der gesicherten Ressource nicht mehr verfügbar ist.
Standardmäßig enthält ein Schlüsselbackup Metadaten zum Vault des Schlüssels. Ein Vault-Backup kann optional Schlüsselmetadaten enthalten, enthält jedoch keine Metadaten zu Secrets, da Sie Secrets nicht sichern können, weder unabhängig noch als Teil eines Vault-Backups.
Die folgenden Themen enthalten Anweisungen für Vault-Backupvorgänge:
- Vault sichern
- Vault-Schlüssel sichern
- Vault aus einem Backup wiederherstellen
- Schlüssel wiederherstellen
Informationen zum Erstellen und Verwalten von Schlüsseln finden Sie unter Managing Keys. Informationen zum Verwalten von Vaults finden Sie unter Vaults verwalten. Informationen zum Erstellen und Verwalten von Secrets finden Sie unter Secrets verwalten.
Funktionsweise
Schlüssel sind immer mit dem Vault verknüpft, in dem Sie sie erstellt haben. Diese Beziehung bleibt bestehen, auch wenn der Schlüssel gesichert und wiederhergestellt wird. Daher erfordert die Wiederherstellung eines Schlüssels immer, dass der Vault bereits mit dem Schlüssel verknüpft ist. Sie benötigen den Vault auch, weil der Vault die Management- und kryptografischen Endpunkte hostet, für die Sie den Schlüssel verwalten und verwenden. Dies kann bedeuten, dass Sie zuerst den Vault und danach den Schlüssel wiederherstellen müssen, wenn beide gesichert und anschließend gelöscht wurden.
Sie sichern einen Vault oder Schlüssel, indem Sie identifizierende Informationen über den Vault oder Schlüssel und dessen Inhalt exportieren. (Der Service verschlüsselt die Backups, und nur der Service kann sie wiederherstellen.) Vault-Backups können optional Schlüssel enthalten, vorausgesetzt, der Vault verfügt über Schlüssel und die Schlüssel befinden sich in einem unterstützten Lebenszyklusstatus, wenn Sie das Backup ausführen. Sie können nur aktive, aktivierte oder deaktivierte Schlüssel sichern. Backups schließen Schlüssel aus, die gelöscht wurden oder sich in einem Übergangszustand befinden (z.B. "Erstellen" oder "Ausstehendes Löschen"). Schlüsselbackups enthalten neben Schlüsselmetadaten immer Vault-Metadaten. Nur wenn Vault-Metadaten vorhanden sind, ist es möglich, den Schlüssel überhaupt wiederherzustellen. Sie können nur aktive Vaults sichern.
Sie können jeweils nur einen Vault oder Schlüssel sichern. (Ausnahme: Sie sichern Schlüssel als Teil eines Vault-Backups.) Wenn Sie ein Schlüsselbackup ausführen, enthält die Datei alle zugehörigen Schlüsselversionen in einem aktivierten Status. Backups schließen Schlüsselversionen mit dem Status "Gelöscht" oder "Ausstehendes Löschen" aus.
Für Backupvorgänge müssen Sie angeben, wohin das Backup heruntergeladen werden soll. Downloads können in einem neuen oder vorhandenen Object Storage-Bucket oder unter einer temporären URL gespeichert werden, die speziell für vorab authentifizierte Anforderungen erstellt wurde. Weitere Informationen zu vorab authentifizierten Anforderungen finden Sie unter Vorab authentifizierte Anforderungen verwenden. Backups müssen in Buckets in derselben Region gespeichert werden. Sie können das Backup jedoch mit Object Storage in eine andere Region kopieren.
Backup- und Wiederherstellungsvorgänge generieren Arbeitsanforderungen, mit denen Sie ihren Fortschritt verfolgen können.
Sie können einen Vault oder Schlüssel wiederherstellen, indem Sie das Backup aus dem Speicher in den gewünschten Speicherort importieren, solange Sie den Vault im selben Mandanten und Compartment wiederherstellen, in dem Sie das Backup ursprünglich erstellt haben. Der Schlüssel kann auch nur im ursprünglichen Mandanten und Compartment wiederhergestellt werden, wobei das Compartment nicht mit dem Compartment im Vault identisch sein muss. Sie können jedoch Vaults und Schlüssel in einer anderen Region wiederherstellen, wenn sich Ihr Mandant über mehrere Regionen erstreckt.
Sie können einen Vault oder Schlüssel einzeln wiederherstellen. Wenn Sie Schlüssel in ein Vault-Backup eingeschlossen haben, werden bei der Wiederherstellung des Vaults alle im Backup enthaltenen Schlüssel wiederhergestellt. Durch das Wiederherstellen eines Schlüssels werden alle im Backup enthaltenen Schlüsselversionen wiederhergestellt.
Sie können einen Vault oder Schlüssel auch dann wiederherstellen, wenn der Vault oder Schlüssel bereits in der Region vorhanden ist. Außerdem können Sie jederzeit ein neueres Backup eines Vaults oder Schlüssels durchführen, wenn Sie Änderungen am Vault, z.B. einen neuen Namen oder Tags, oder an den Schlüsseln, z.B. neue Schlüsselversionen, erfassen möchten. Die Aktualisierung eines bereits wiederhergestellten Vaults oder Schlüssels spiegelt diese Änderungen wider. Aktualisierungen aus einem Backup sind immer additiv. Dies bedeutet, dass Aktualisierungen nur neue Informationen anfügen können. Beispiel: Alle neuen Schlüsselversionen, die in einem Referenz-Vault erstellt werden, werden dem wiederhergestellten Schlüssel hinzugefügt, wenn Sie den wiederhergestellten Schlüssel aktualisieren. Wenn Sie jedoch einen Schlüssel aus einem Referenz-Vault löschen und dann einen wiederhergestellten Vault aus einem Backup des Referenz-Vaults aktualisieren, führt die Aktualisierung nicht zu einer entsprechenden Löschung des Schlüssels im wiederhergestellten Vault. Ebenso sind alle für einen wiederhergestellten Vault erstellten Schlüssel unabhängig von Schlüsseln, die mit dem Referenz-Vault verknüpft sind, aus dem Sie das Backup erstellt haben. Sie verwalten sie auch unabhängig.
Während eines Backup- oder Wiederherstellungsvorgangs sind die meisten anderen Vorgänge nicht zulässig. Dadurch wird verhindert, dass Sie einen Schlüssel löschen, während er beispielsweise gesichert wird. Nicht zulässige Vorgänge sind z.B. Versuche, gleichzeitige Backup- oder Wiederherstellungsvorgänge für dieselbe Ressource auszuführen.
Um die Wiederverwendung von Policys zu erleichtern, die Sie zur Verwaltung und Verwendung von Vaults und Schlüsseln erstellt haben, behalten diese bei der Wiederherstellung eines Vaults und Schlüssels denselben eindeutigen Oracle Cloud Identifier (OCID) bei, wenn sie in der Region wiederhergestellt werden, in der sie ursprünglich gesichert wurden. Wenn Sie einen Vault oder Schlüssel in einer anderen Region wiederherstellen, müssen Sie die Policys überprüfen und aktualisieren, damit sie neuen OCIDs entsprechen.
Bei der Wiederherstellung eines Vaults oder Schlüssels, insbesondere eines Schlüssel mit vielen Schlüsselversionen, gelten Mandantenservicelimits.
Erforderliche IAM-Policy
Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.
Für Administratoren: Informationen zu typischen Policys, die Zugriff auf Vaults, Schlüssel und Secrets gewähren, finden Sie unter Verwalten von Vaults, Schlüsseln und Secrets durch Sicherheitsadministratoren zulassen. Weitere Informationen zu Berechtigungen oder zum Schreiben von restriktiveren Policys finden Sie unter Details zum Vault-Service.
Je nachdem, wo Backups gespeichert und abgerufen werden sollen, benötigen Sie möglicherweise auch Zugriff auf einen Object Storage-Bucket. Für Administratoren: Typische Policys, die Zugriff auf Buckets gewähren, finden Sie unter Schreiben von Objekten in Objektspeicher-Buckets durch Benutzer zulassen und Herunterladen von Objekten aus Objektspeicher-Buckets durch Benutzer zulassen.
Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.