Oracle Cloud Infrastructure - Dokumentation

Schlüssel rotieren

Erfahren Sie, wie Sie einen Schlüssel rotieren, indem Sie eine neue Schlüsselversion erstellen.

Wenn Sie eine neue Schlüsselversion eines Masterverschlüsselungsschlüssels erstellen, rotiert der KMS-Service die Schlüsselversion, die für den Schlüssel verwendet wird. Der Service kann das Schlüsselmaterial für die neue Schlüsselversion generieren, oder Sie können Ihr eigenes Schlüsselmaterial importieren. Beim Importieren eines Schlüssels müssen Sie einen Wrapping-Schlüssel verwenden, um das Schlüsselmaterial umzubrechen. Sie können einen umschließenden Schlüssel jedoch nicht erstellen, löschen oder rotieren. Weitere Informationen zur Schlüsselrotation finden Sie unter Schlüsselversionen und Rotationen im Thema Konzepte zur Vault- und Schlüsselverwaltung.

Automatische Schlüsselrotation

Bei Schlüsseln, die in virtuellen privaten Vaults erstellt werden, können Sie die automatische Schlüsselrotation aktivieren. Weitere Informationen finden Sie im Abschnitt Automatische Schlüsselrotation des Themas Konzepte zur Vault- und Schlüsselverwaltung. Diese Option kann während der Schlüsselerstellung aktiviert oder aktiviert werden, nachdem ein Schlüssel erstellt wurde. Anweisungen zum Aktualisieren der Einstellungen für die automatische Rotation finden Sie unter Automatische Schlüsselrotation aktivieren und aktualisieren. Anweisungen zum Erstellen eines neuen Schlüssels mit aktivierter automatischer Rotation finden Sie unter Masterverschlüsselungsschlüssel erstellen.

Manuelle Schlüsselumdrehung

Verwenden Sie die Anweisungen in den folgenden Abschnitten, um einen Schlüssel manuell mit der Konsole, der CLI oder der API zu rotieren.

    1. Suchen Sie auf der Listenseite Masterverschlüsselungsschlüssel den Schlüssel, mit dem Sie arbeiten möchten. Informationen zum Suchen der Listenseite finden Sie unter Schlüssel auflisten.
    2. Wählen Sie in der Schlüsselliste das Menü Aktionen (drei Punkte) und dann Drehtaste aus.
    3. Aktivieren Sie im Dialogfeld Bestätigen die Option Externe Schlüsselversion importieren, um die Schlüsselmaterialien und Schlüsselversionen zu importieren, und ermöglichen Sie Key Management Service, eine Kopie davon zu verwenden.
    4. Wählen Sie Schlüssel rotieren aus.
      Hinweis

      Kryptografische Vorgänge mit Objekten, die mit der vorherigen Version dieses Schlüssels verschlüsselt wurden, verwenden weiterhin die ältere Schlüsselversion. Sie können diese Objekte bei Bedarf mit der aktuellen Schlüsselversion erneut verschlüsseln

  • Verwenden Sie den Befehl oci kms management key-version create und die erforderlichen Parameter, um einen Schlüssel zu rotieren.

    oci kms management key-version create --key-id <target_key_id> --endpoint <kmsmanagement_endpoint> [OPTIONS]

    Kryptografische Vorgänge mit Objekten, die mit der vorherigen Version dieses Schlüssels verschlüsselt wurden, verwenden weiterhin die ältere Schlüsselversion. Sie können diese Objekte bei Bedarf mit der aktuellen Schlüsselversion erneut verschlüsseln.

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Mit der CreateKeyVersion-API mit dem Managementendpunkt können Sie einen Masterverschlüsselungsschlüssel rotieren.

    Hinweis

    Der Managementendpunkt wird für Verwaltungsvorgänge verwendet, einschließlich "Erstellen", "Aktualisieren", "Liste", "Abrufen" und "Löschen". Der Managementendpunkt wird auch als Control-Plane-URL oder KMSMANAGEMENT-Endpunkt bezeichnet.

    Der kryptografische Endpunkt wird für kryptografische Vorgänge verwendet, einschließlich Verschlüsseln, Entschlüsseln, Generieren von Datenverschlüsselungsschlüsseln, Signieren und Prüfen. Der kryptografische Endpunkt wird auch als Data-Plane-URL oder KMSCRYPTO-Endpunkt bezeichnet.

    Sie finden die Management- und kryptografischen Endpunkte in den Detailmetadaten eines Vaults. Anweisungen finden Sie unter Details eines Vaults abrufen.

    Regionale Endpunkte für die APIs für Schlüsselverwaltung, Secret Management und Secret Retrieval finden Sie unter API-Referenz und -Endpunkte.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.