Verschlüsselungsschlüssel verwenden

Erfahren Sie, wie Sie mit Verschlüsselungsschlüsseln Big Data Service sichern können.

Beschreibt, wie vom Kunden verwaltete Verschlüsselungsschlüssel mit Big Data-Serviceclustern verwendet werden. Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel verwenden, wird beschrieben, wie Sie die Verschlüsselung nach dem Rotieren des Schlüssels aktualisieren, zu einem anderen vom Kunden verwalteten Verschlüsselungsschlüssel wechseln oder zu von Oracle verwalteten Verschlüsselungsschlüsseln wechseln.

Verschlüsselungsschlüsselverwaltung in Big Data Service-Clustern

Big Data Service bietet die folgenden Verschlüsselungsoptionen:

  • Von Oracle verwaltete Verschlüsselungsschlüssel
  • Kundenverwaltete Verschlüsselungsschlüssel

Um ein Big Data Service-Cluster mit KMS-Schlüssel zu erstellen, führen Sie die folgenden Schritte aus.

  1. Erstellen Sie einen Vault, und erstellen Sie dann einen Verschlüsselungsschlüssel im Vault in Ihrem Mandanten. Siehe So erstellen Sie einen neuen Vault und So erstellen Sie einen neuen Masterverschlüsselungsschlüssel.
  2. Erstellen Sie IAM-Policys um den KMS-Schlüssel. Siehe IAM-Policys für Block Storage-Verschlüsselung mit KMS-Schlüssel erstellen und IAM-Policys für Object Storage-Verschlüsselung mit KMS-Schlüssel erstellen.
  3. Erstellen Sie ein Big Data Service-Cluster, und wählen Sie den KMS-Schlüssel aus. Siehe Cluster erstellen.

Von Oracle verwaltete Verschlüsselungsschlüssel

Standardmäßig verwenden Cluster von Oracle verwaltete Verschlüsselungsschlüssel. Mit von Oracle verwalteten Schlüsseln erstellt und verwaltet Big Data Service die Verschlüsselungsschlüssel, die Ihr Cluster schützen.

Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln mit Big Data-Serviceclustern

Führen Sie diese erforderlichen Schritte aus, um vom Kunden verwaltete Schlüssel mit Big Data Service zu verwenden.
  1. Erstellen Sie einen Oracle Cloud Infrastructure Vault.
    1. Öffnen Sie die Oracle Cloud Infrastructure-Konsole.
    2. Wählen Sie unter Identität und Sicherheit die Option Vault aus.
    3. Wählen Sie einen vorhandenen Vault aus, oder erstellen Sie einen Vault.

      Weitere Informationen finden Sie in den Anweisungen zum Erstellen eines Vaults unter So erstellen Sie einen neuen Vault.

  2. Erstellen Sie einen Master-Verschlüsselungsschlüssel im Vault.
    Hinweis

    Beim Erstellen des Schlüssels müssen Sie die folgenden Optionen verwenden:
    • Schlüsselform: Algorithmus: AES (für Verschlüsselung und Entschlüsselung verwendeter symmetrischer Schlüssel)
    • Schlüsselform: Länge: 256 Bit

    Weitere Informationen finden Sie unter So erstellen Sie einen neuen Masterverschlüsselungsschlüssel und Überblick über Key Management.

  3. Policy-Anweisungen schreiben:
    1. Wählen Sie in der Oracle Cloud Infrastructure-Konsole die Option Identifizieren und Sicherheit und dann Policys aus.
    2. Um Policys für eine dynamische Gruppe zu schreiben, wählen Sie Policy erstellen aus, und geben Sie einen Namen und eine Beschreibung ein.
    3. Erstellen Sie mit Policy Builder eine Policy.

    Weitere Informationen zu Policys finden Sie unter Erste Schritte mit Policys. Informationen zu Policys für die Verschlüsselung finden Sie unter IAM-Policys für Block Storage-Verschlüsselung mit KMS-Schlüssel erstellen und IAM-Policys für Object Storage-Verschlüsselung mit KMS-Schlüssel erstellen.