Oracle Cloud Infrastructure - Dokumentation

Masterverschlüsselungsschlüssel erstellen

Erfahren Sie, wie Sie einen Masterverschlüsselungsschlüssel im Key Management-Service von OCI erstellen.

Beachten Sie beim Erstellen von Masterverschlüsselungsschlüsseln Folgendes:

  • Automatische Rotation: Wenn Sie einen Masterverschlüsselungsschlüssel in einem virtuellen privaten Vault erstellen, können Sie die automatische Schlüsselrotation aktivieren. Ausführliche Informationen finden Sie im Abschnitt Automatische Schlüsselrotation des Themas Schlüssel- und Secret-Managementkonzepte. Anweisungen zum Aktualisieren der Einstellungen für die automatische Rotation finden Sie unter Automatische Schlüsselrotation aktivieren und aktualisieren.

  • Verfügbare Algorithmen: Beim Erstellen eines Schlüssels können Sie aus den folgenden Algorithmen auswählen:

    • AES: Advanced Encryption Standard-(AES-)Schlüssel sind symmetrische Schlüssel, mit denen Sie Daten im Ruhezustand verschlüsseln können.
    • RSA: Rivest-Shamir-Adleman-(RSA-)Schlüssel sind asymmetrische Schlüssel. Sie werden auch als Schlüsselpaare bezeichnet, die aus einem Public Key und einem Private Key bestehen. Mit ihnen können Sie Daten während der Übertragung verschlüsseln, Daten signieren und die Integrität signierter Daten prüfen.
    • ECDSA: Elliptic Curve Cryptography Digital Signature Algorithm-(ECDSA-)Schlüssel sind asymmetrische Schlüssel, mit denen Sie Daten signieren und die Integrität signierter Daten überprüfen können.

Weitere Informationen zu Schlüsseln im Key Management-Service von OCI finden Sie unter Schlüssel im Thema Schlüssel- und Secret-Managementkonzepte.

    1. Wählen Sie auf der Listenseite Masterverschlüsselungsschlüssel für den verwendeten Vault die Option Schlüssel erstellen aus. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, lesen Sie Schlüssel auflisten.
    2. Wählen Sie ein Compartment zum Erstellen des Schlüssels aus.
    3. Wählen Sie unter Schutzmodus eine der folgenden Optionen aus:
      • HSM: Wählen Sie diese Option aus, um einen Masterschlüsselungsschlüssel zu erstellen, der in einem Hardware-Sicherheitsmodul (HSM) gespeichert und verarbeitet wird.
      • Software: Wählen Sie diese Option aus, um einen Masterverschlüsselungsschlüssel zu erstellen, der auf einem Server gespeichert und verarbeitet wird.

      Sie können den Schutzmodus eines Schlüssels nicht ändern, nachdem Sie ihn erstellt haben. Weitere Informationen zu Schlüsseln, einschließlich Informationen zu Schlüsselschutzmodi, finden Sie unter Konzepte zur Schlüssel- und Secret-Verwaltung.

    4. Geben Sie einen Namen zur Identifizierung des Schlüssels ein. Geben Sie dabei keine vertraulichen Informationen ein.
    5. Wählen Sie unter Schlüsselausprägung: Algorithmus einen der folgenden Algorithmen aus:
      • AES: Advanced Encryption Standard-(AES-)Schlüssel sind symmetrische Schlüssel, mit denen Sie Daten im Ruhezustand verschlüsseln können.
      • RSA: Rivest-Shamir-Adleman-(RSA-)Schlüssel sind asymmetrische Schlüssel. Sie werden auch als Schlüsselpaare bezeichnet, die aus einem Public Key und einem Private Key bestehen. Mit ihnen können Sie Daten während der Übertragung verschlüsseln, Daten signieren und die Integrität signierter Daten prüfen.
      • ECDSA: Elliptic Curve Cryptography Digital Signature Algorithm-(ECDSA-)Schlüssel sind asymmetrische Schlüssel, mit denen Sie Daten signieren und die Integrität signierter Daten überprüfen können.
    6. Nur RSA. Wenn Sie AES oder RSA gewählt haben, wählen Sie die entsprechende Schlüsselformlänge in Bit aus.
    7. Nur OECDSA. Wenn Sie ECDSA ausgewählt haben, wählen Sie einen Wert für Schlüsselform: ID der elliptischen Kurve aus.
    8. Nur importierte Schlüssel. Um einen Schlüssel durch Importieren eines öffentlich gewrappten Schlüssels zu erstellen, wählen Sie Externen Schlüssel importieren aus, und geben Sie die folgenden Details an:
      • Wrapping-Algorithmus: Wählen Sie RSA_OAEP_AES_SHA256 aus (RSA-OAEP mit einem SHA-256-Hash für einen temporären AES-Schlüssel).
      • Datenquelle für externen Schlüssel: Laden Sie die Datei hoch, die das gewrappte RSA-Schlüsselmaterial enthält.
    9. Optional. Wählen Sie Automatische Rotation aus, um die automatische Schlüsselrotation zu aktivieren. Beachten Sie, dass Sie die Einstellungen für die automatische Rotation bearbeiten können, nachdem der Schlüssel erstellt wurde.
    10. Nur für automatische Rotation. Geben Sie im Abschnitt Zeitplan für automatische Rotation die folgenden Details an:
      • Startdatum: Verwenden Sie das Kalendersymbol, um ein Datum zum Starten des Schlüsselrotationszeitplans auszuwählen. Die Rotation erfolgt am oder vor dem geplanten Datum. Beispiel: Wenn Sie heute einen Schlüssel erstellen oder einen vorhandenen Schlüssel aktualisieren und das Startdatum der automatischen Rotation als 10. April mit einem vordefinierten Intervall von 90 Tagen planen, beginnt die automatische Rotation am oder vor dem 10. Juli (10. April + 90 Tage).
        Hinweis

        KMS stellt sicher, dass die automatische Rotation am oder vor dem Abschluss des Rotationsintervalls erfolgt. Die Rotation kann bis zu einigen Tagen vor dem geplanten Intervall gestartet werden.
      • Rotationsintervall: Wählen Sie ein vordefiniertes Intervall aus, in dem die Schlüssel rotiert werden müssen. Standardmäßig ist das Intervall auf 90 Tage gesetzt.
      • Benutzerdefiniert: Optional. Wählen Sie diese Option aus, um ein benutzerdefiniertes Rotationsintervall zwischen 60 und 365 Tagen festzulegen.
    11. Um Tags anzuwenden, wählen Sie Tags aus.
      Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, benötigen Sie Die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
    12. Wählen Sie Schlüssel erstellen aus.

  • Verwenden Sie den Befehl oci kms management key create und die erforderlichen Parameter, um einen Masterverschlüsselungsschlüssel zu erstellen:

    oci kms management key create --compartment-id <target_compartment_ocid> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <kmsmanagement_control_plane_URL>

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Verwenden Sie die CreateKey-API mit dem Managementendpunkt, um einen neuen Masterverschlüsselungsschlüssel zu erstellen.

    Hinweis

    Der Managementendpunkt wird für Verwaltungsvorgänge verwendet, einschließlich "Erstellen", "Aktualisieren", "Liste", "Abrufen" und "Löschen". Der Managementendpunkt wird auch als Control-Plane-URL oder KMSMANAGEMENT-Endpunkt bezeichnet.

    Der kryptografische Endpunkt wird für kryptografische Vorgänge verwendet, einschließlich Verschlüsseln, Entschlüsseln, Generieren von Datenverschlüsselungsschlüsseln, Signieren und Prüfen. Der kryptografische Endpunkt wird auch als Data-Plane-URL oder KMSCRYPTO-Endpunkt bezeichnet.

    Sie finden die Management- und kryptografischen Endpunkte in den Detailmetadaten eines Vaults. Anweisungen finden Sie unter Details eines Vaults abrufen.

    Regionale Endpunkte für die APIs für Schlüsselverwaltung, Secret Management und Secret Retrieval finden Sie unter API-Referenz und -Endpunkte.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.