Oracle Cloud Infrastructure - Dokumentation

Schlüssel löschen

Erfahren Sie, wie Sie das Löschen eines in einem OCI-Vault gespeicherten Masterverschlüsselungsschlüssels planen.

Mit dem Key Management-Service von OCI können Sie Schlüssel, die Sie nicht mehr verwenden, entweder deaktivieren oder löschen. Die Deaktivierung eines Schlüssels bietet den einfachsten Weg zum Wiederherstellen eines Schlüssels für den Service, wenn der Schlüssel später benötigt wird. Möglicherweise müssen Sie Schlüssel aufgrund der Schlüssellebenszyklus-Policy Ihrer Organisation löschen oder Quota in Ihrem Key Management-Servicelimit freigeben.

Da das Löschen eines Schlüssels ein destruktiver Vorgang ist, der dazu führen kann, dass Daten verschlüsselt wurden, auf die der Schlüssel nicht zugegriffen werden kann, muss OCI die Löschung mit einer von Ihnen angegebenen Wartezeit planen. Sie können entweder die Standardwartezeit von 30 Tagen bis zum Löschen akzeptieren oder eine kürzere Periode angeben, wobei 7 Tage die Mindestwartezeit sind. Wir empfehlen dringend, einen Schlüssel zu sichern, bevor Sie ihn zum Löschen planen. Bei einem Backup können Sie den Schlüssel im Vault wiederherstellen, wenn Sie den Schlüssel später verwenden müssen.

Wir empfehlen die Verwendung von Servicelogdaten, um die Schlüsselverwendung zu analysieren und gegebenenfalls zu entscheiden, ob ein Schlüssel gelöscht oder deaktiviert werden soll. Beachten Sie, dass einige Schlüssel trotz begrenzter Aktivitäten weiterhin betrieblich wichtig sein können. Dies muss zusammen mit Nutzungsdaten berücksichtigt werden, wenn Sie entscheiden, einen Schlüssel zu löschen oder zu deaktivieren. Informationen zur Verwendung von OCI-Servicelogs zum Verfolgen der Schlüsselverwendung finden Sie unter Schlüsselauslastung überwachen.

Wichtig:

  • Wenn sich ein Schlüssel in den Status "Ausstehendes Löschen" versetzen, sind alle mit diesem Schlüssel verschlüsselten Daten umgehend unzugänglich, einschließlich Secrets. Der Schlüssel kann auch keiner Ressource zugewiesen oder deren Zuweisung aufgehoben oder anderweitig aktualisiert werden. Wenn der Schlüssel gelöscht wird, werden das Schlüsselmaterial und die Metadaten unwiderruflich entfernt. Bevor Sie einen Schlüssel löschen, weisen Sie Ressourcen, die aktuell mit diesem Schlüssel verschlüsselt sind, einen neuen Schlüssel zu, oder erhalten Sie anderweitig den Zugriff auf die Daten. Um die Verwendung eines Schlüssels wiederherzustellen, bevor er endgültig gelöscht wird, können Sie den Löschvorgang abbrechen. Weitere Informationen finden Sie unter Löschen eines Masterverschlüsselungsschlüssels abbrechen.
  • Wenn der Schlüssel zum Löschen geplant ist, wird die automatische Rotation für Schlüssel, für die diese Funktion aktiviert ist, vorübergehend ausgesetzt, aber nicht deaktiviert. Wenn das Löschen des Schlüssels abgebrochen wird und der Schlüssel in den Status "Aktiv" zurückkehrt, wird die Einstellung für die automatische Rotation wiederhergestellt, die der Schlüssel vor dem geplanten Löschen hatte.
    1. Suchen Sie auf der Listenseite Masterverschlüsselungsschlüssel den Schlüssel, mit dem Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, lesen Sie Schlüssel auflisten.
    2. Wählen Sie im Menü Aktionen (drei Punkte) am Ende des Zeileneintrags für den Schlüssel die Option Schlüssel löschen aus.
    3. Geben Sie zur Bestätigung auf der Seite Bestätigen den Schlüsselnamen in das Feld Name ein.
    4. Verwenden Sie die Felder Löschdatum auswählen und Zeit, um zu planen, wann der Vault-Service den Schlüssel löschen soll. Standardmäßig löscht der Service Schlüssel 30 Tage nach dem aktuellen Datum und der aktuellen Uhrzeit. Sie können einen Zeitraum zwischen 7und 30 Tagen festlegen. Wenn Sie den Schlüssel zum Löschen planen, wird empfohlen, den Schlüssel zu sichern, da alle Schlüsselverwaltungsvorgänge ausgeführt werden.
    5. Wählen Sie Schlüssel löschen aus.

  • Verwenden Sie den Befehl oci kms management key schedule-deletion sowie die erforderlichen Parameter, um das Löschen eines Schlüssels zu planen. Standardmäßig wird die Löschung für 30 Tage ab dem Zeitpunkt der Anforderung geplant. Verwenden Sie den optionalen Parameter --time-of-deletion, um den Löschvorgang für eine Anzahl von Tagen zwischen 7 und 30 ab dem Zeitpunkt der Anforderung zu planen. Weitere Informationen finden Sie in der CLI-Befehlsreferenz:

    oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <kmsmanagement_control_plane_URL>

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang ScheduleKeyDeletion mit dem Managementendpunkt aus, um den Vault-Schlüssel zu löschen.

    Hinweis

    Der Managementendpunkt wird für Verwaltungsvorgänge verwendet, einschließlich "Erstellen", "Aktualisieren", "Liste", "Abrufen" und "Löschen". Der Managementendpunkt wird auch als Control-Plane-URL oder KMSMANAGEMENT-Endpunkt bezeichnet.

    Der kryptografische Endpunkt wird für kryptografische Vorgänge verwendet, einschließlich Verschlüsseln, Entschlüsseln, Generieren von Datenverschlüsselungsschlüsseln, Signieren und Prüfen. Der kryptografische Endpunkt wird auch als Data-Plane-URL oder KMSCRYPTO-Endpunkt bezeichnet.

    Sie finden die Management- und kryptografischen Endpunkte in den Detailmetadaten eines Vaults. Anweisungen finden Sie unter Details eines Vaults abrufen.

    Regionale Endpunkte für die APIs für Schlüsselverwaltung, Secret Management und Secret Retrieval finden Sie unter API-Referenz und -Endpunkte.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.