Oracle Cloud Infrastructure - Dokumentation

Object Storage-Objekte erneut verschlüsseln

Verschlüsseln Sie die Datenverschlüsselungsschlüssel eines Objekts mit einem anderen Master-Verschlüsselungsschlüssel in einem Objektspeicher-Bucket erneut.

Sie können die Datenverschlüsselungsschlüssel, die ein Objekt verschlüsseln, erneut verschlüsseln, indem Sie die Datenverschlüsselungsschlüssel des Objekts mit der neuesten Version des dem Bucket zugewiesenen Masterverschlüsselungsschlüssels erneut verschlüsseln. Diese erneute Verschlüsselung ist möglich, unabhängig davon, ob es sich um einen von Oracle verwalteten Schlüssel oder um einen Schlüssel in einem von Ihnen verwalteten Vault handelt. Sie können auch die Datenverschlüsselungsschlüssel des Objekts mit einem anderen Schlüssel in einem Vault oder einem anderen SSE-C-Schlüssel erneut verschlüsseln. Wenn Sie SSE-C-Schlüssel verwenden, müssen Sie den SSE-C-Schlüssel bei der Objektentschlüsselung und gegebenenfalls bei der anschließenden erneuten Verschlüsselung angeben.

Um ein Objekt erneut zu verschlüsseln, benötigen Sie die Berechtigungen OBJECT_READ und OBJECT_OVERWRITE. Um ein Objekt, das Sie mit einem SSE-C-Schlüssel verschlüsselt haben, erneut zu verschlüsseln, müssen Sie Object Storage mit der CLI den SSE-C-Schlüssel bereitstellen, der gegebenenfalls während der Entschlüsselung und erneuten Verschlüsselung verwendet werden soll.

Wenn ein Fehler zurückgegeben wird, vergewissern Sie sich, dass Sie über die korrekten Berechtigungen verfügen. Wenn Sie Zugriff auf das Objekt haben, bestätigen Sie, dass das Objekt vorhanden ist und nicht vor Kurzem gelöscht wurde. Wenn Sie Berechtigungen haben und das Objekt vorhanden ist, stellen Sie auch sicher, dass das Objekt mit einem SSE-C-Schlüssel verschlüsselt ist.

Weitere Informationen finden Sie unter Object Storage-Datenverschlüsselung.

    1. Wählen Sie auf der Listenseite Buckets den Objektspeicher-Bucket aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe bei der Suche nach der Listenseite oder dem Objektspeicher-Bucket benötigen, finden Sie weitere Informationen unter Buckets auflisten.
    2. Wählen Sie auf der Detailseite Objekte aus.
    3. Wählen Sie im Menü Aktionen für das gewünschte Objekt die Option Erneut verschlüsseln aus.
    4. Führen Sie eine der folgenden Aufgaben aus, je nachdem, ob der dem Bucket zugewiesene Schlüssel ein von Oracle verwalteter Schlüssel oder ein Schlüssel in einem von Ihnen verwaltenden Vault ist:

      • Bei Buckets, die mit einem von Oracle verwalteten Schlüssel verschlüsselt sind, können Sie das Objekt mit der neuesten Version dieses Schlüssels erneut verschlüsseln, indem Sie Dem Bucket zugewiesenen Schlüssel verwenden auswählen. Sie können das Objekt auch erneut mit einem Schlüssel in einem Vault verschlüsseln, indem Sie Vom Kunden verwalteten Schlüssel verwenden auswählen und dann einen Schlüssel aus einem Compartment und Vault auswählen, auf die Sie Zugriff haben.

      • Bei Buckets, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, können Sie das Objekt mit der neuesten Version dieses Schlüssels erneut verschlüsseln, indem Sie Dem Bucket zugewiesenen Schlüssel verwenden auswählen. Sie können das Objekt auch erneut mit einem anderen Vault-Schlüssel verschlüsseln, indem Sie Anderen vom Kunden verwalteten Schlüssel verwenden auswählen und dann einen anderen Schlüssel aus einem Compartment und Vault auswählen, auf die Sie Zugriff haben.

    5. Wählen Sie Erneut verschlüsseln aus.

  • Verwenden Sie den Befehl oci os object reencrypt und die erforderlichen Parameter, um die Datenverschlüsselungsschlüssel eines Objekts mit der neuesten Schlüsselversion des Schlüssels erneut zu verschlüsseln, der dem Bucket zugewiesen ist:

    oci os object reencrypt --bucket-name bucket_name --name object_name

    Beispiel:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt

    Die Datenverschlüsselungsschlüssel des Objekts werden erneut verschlüsselt, ohne dass weitere Informationen zurückgegeben werden.

    Verschlüsselung mit einem SSE-C-Schlüssel

    Sie können die Datenverschlüsselungsschlüssel eines Objekts mit einem SSE-C-Schlüssel erneut verschlüsseln.

    oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key

    Beispiel:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey

    Wenn die Datenverschlüsselungsschlüssel des Objekts derzeit mit einem SSE-C-Schlüssel verschlüsselt sind, nehmen Sie den Parameter source-encryption-key-file auf, um auch den Namen der Datei anzugeben, die den base64-codierten String des AES-256-Quellverschlüsselungsschlüssels enthält, um das Objekt zuerst zu entschlüsseln.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key

    Beispiel:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey

    Wenn das Objekt derzeit mit einem SSE-C-Schlüssel verschlüsselt ist und Sie die Datenverschlüsselungsschlüssel des Objekts mit einem anderen SSE-C-Schlüssel verschlüsseln möchten, geben Sie den Dateinamen jedes Schlüssels an.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired

    Beispiel:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey

    Verschlüsselung mit einem Vault-Schlüssel

    Um die Datenverschlüsselungsschlüssel eines Objekts mit einem bestimmten Vault-Schlüssel erneut zu verschlüsseln, nehmen Sie den Parameter kms-key-id auf.

    oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID

    Beispiel:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Verschlüsselung mit SSE-C- und Vault-Schlüsseln

    Wenn der Schlüssel mit einem SSE-C-Schlüssel verschlüsselt ist und Sie die Datenverschlüsselungsschlüssel eines Objekts mit einem bestimmten Vault-Schlüssel erneut verschlüsseln, müssen Sie den Parameter source-encryption-key-file aufnehmen, der den Namen der Datei bereitstellt, die den base64-codierten String des AES-256-Quellverschlüsselungsschlüssels enthält, um das Objekt zuerst zu entschlüsseln.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID

    Beispiel:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle ist in der CLI-Befehlsreferenz enthalten.

  • Führen Sie den Vorgang ReencryptObject aus, um die Datenverschlüsselungsschlüssel eines Objekts mit der neuesten Schlüsselversion des dem Bucket zugewiesenen Schlüssels erneut zu verschlüsseln.

    Beim Erstellen einer URL zur Verwendung mit der API fügt Object Storage die Object Storage-Namespace-Zeichenfolge und den Bucket-Namen an:

    /n/object_storage_namespace/b/bucket/o/object_name

    Der Objektname umfasst alles nach dem /o/, was Hierarchieebenen und Präfixzeichenfolgen beinhalten kann.