Oracle Cloud Infrastructure-Dokumentation

Vom Kunden verwaltete Schlüssel für Oracle Break Glass

Sichern Sie Ihre Fusion Applications-Umgebungen mit Oracle Break Glass und vom Kunden verwalteten Schlüsseln.

Standardmäßig sind Ihre Fusion Applications-Umgebungen durch von Oracle verwaltete Verschlüsselungsschlüssel geschützt. Wenn Sie den Oracle Break Glass-Service abonnieren, wird Ihnen das Feature zu vom Kunden verwalteten Schlüsseln angeboten. Damit können Sie die Schlüssel bereitstellen und verwalten, die Ihre Umgebung schützen. Sie können diese Option auch als Add-on-Abonnement erwerben.

Bei vom Kunden verwalteten Schlüsseln verwenden Sie Ihre Schlüssel, die in einem OCI-Vault gespeichert sind, um die im Ruhezustand in Ihren Produktions- und Nicht-Produktionsumgebungen gespeicherten Daten zu sichern. Sie können die Option "Vom Kunden verwaltete Schlüssel" entweder während der Umgebungserstellung oder nach dem Erstellen der Umgebung in Ihrer Umgebung aktivieren.

Best Practices zur Einrichtung und Verwaltung von Vaults und Schlüsseln

Es wird empfohlen, separate Vaults für Produktions- und Nicht-Produktionsumgebungen zu erstellen. Erstellen Sie im Vault der Nicht-Produktionsumgebung separate Schlüssel für Ihre Test- und Entwicklungsumgebungen. Sie können beispielsweise folgende Elemente erstellen:

Umgebung Vault Masterverschlüsselungsschlüssel
Produktion my-production-vault my-production-key
Test my-nonproduction-vault my-test-environment-key
Entwicklung my-development-environment-key

Vorteile separater Vaults für die Produktions- und Nicht-Produktionsumgebung:

  • Die Verwaltung separater Vaults ermöglicht die unabhängige Rotation von Schlüsseln für Produktions- und Nicht-Produktionsumgebungen.
  • Die Anzahl der Schlüssel pro Vault ist begrenzt. Durch separate Vaults wird eine separate Anzahl an Schlüsseln für Produktions- und Nicht-Produktionsumgebungen bereitgestellt.
Wichtig

Bei Produktion-zu-Test-(P2T-)Aktualisierungen, bei denen die Testumgebung vom Kunden verwaltete Schlüssel verwendet, werden auch Schlüsselversionen konsumiert. Bei häufigen P2T-Aktualisierungen sinkt daher die Anzahl der verbleibenden Schlüsselversionen in einem Vault schneller.

Sie können Ihre Schlüssellimits und -nutzung prüfen, indem Sie die Seite "Limits, Quota und Nutzung" anzeigen. Dort werden die Ressourcenlimits, -Quota und -nutzung für die jeweilige Region unterteilt nach Service angezeigt:

  1. Öffnen Sie in der Konsole das Navigationsmenü, und wählen Sie Governance und Administration aus. Wählen Sie unter Mandantenverwaltung die Option Limits, Quota und Nutzung aus.
  2. Wählen Sie in der Liste Service die Option Schlüsselverwaltung aus.

    Prüfen Sie, je nach ausgewähltem Schlüsseltyp, die Schlüssellimits für "Anzahl Schlüsselversionen für virtuelle Vaults" oder "Anzahl Softwareschlüsselversionen für virtuelle Vaults" festlegen.

Vom Kunden verwaltete Schlüssel einrichten

In Fusion Applications können Sie mit dem OCI Vault-Service Verschlüsselungsschlüssel erstellen und verwalten, um Ihre Produktions- und Nicht-Produktionsumgebungen zu sichern. Sie können Schlüssel in Ihrer Umgebung entweder einrichten, während Sie die Umgebung erstellen, oder den Schlüssel zu einer vorhandenen Umgebung hinzufügen.

Überblick über Setupaufgaben und -rollen

Die Verwaltung von vom Kunden verwalteten Schlüsseln umfasst Aufgaben, die von verschiedenen Rollen in Ihrer Organisation ausgeführt werden müssen. Im Folgenden finden Sie eine Übersicht über die Rollen und Aufgaben, die jeweils ausgeführt werden:

Rolle Setupaufgaben Wartungsaufgaben
Mandantenadministrator
  • Erstellt Compartments für Vaults und Schlüssel
  • Erstellt die Sicherheitsadministratorgruppe, fügt der Gruppe Admin-Benutzer hinzu und erstellt eine Policy für die Gruppe, um Vaults und Schlüssel verwalten zu können.
  • Fügt die System-Policy hinzu, damit die vom Kunden verwalteten Schlüssel von Fusion Applications verwendet werden können
  • Fügt Berechtigungen hinzu, mit denen der Fusion Applications-Administrator Vaults und Schlüssel lesen können
  • Keine
Sicherheitsadministrator
  • Erstellt die Vaults für Produktions- und Nicht-Produktionsumgebungen
  • Erstellt die Schlüssel für Produktions- und Nicht-Produktionsumgebungen
  • Stellt dem Fusion Applications-Administrator Informationen zu Vaults und Schlüsseln zur Verfügung, die zu der Umgebung hinzugefügt werden sollen
  • Schlüssel rotieren
  • Prüft die Schlüsselrotation
  • Deaktiviert Schlüssel (falls erforderlich)
Fusion Applications-Administrator
  • Aktiviert vom Kunden verwaltete Schlüssel in Produktions- und Nicht-Produktionsumgebungen
  • Optional wird das Startdatum für die Verwendung von vom Kunden verwalteten Schlüsseln geplant
  • Änderungen an vom Kunden verwalteten Schlüsseln in Produktions- und Nicht-Produktionsumgebungen
  • Prüft die Schlüsselrotation

Setupaufgaben für den Mandantenadministrator

Der Mandantenadministrator führt die Aufgaben zum Einrichten des Mandanten für den Sicherheitsadministrator und Fusion-Anwendungsadministrator aus, damit vom Kunden verwaltete Schlüssel aktiviert und verwaltet werden können.

1. Sicherheitsadministratorgruppe erstellen

Es wird empfohlen, eine separate Sicherheitsadministratorgruppe zu erstellen, um den Zugriff auf die Sicherheitsfeatures Ihrer Fusion Applications-Umgebungen einzuschränken.

Mit der Policy für die Sicherheitsadministratorgruppe kann die Gruppe Vaults und Schlüssel verwalten. Das Löschen ist jedoch nicht zulässig. Die Policy lautet: 

allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten finden Sie die Verfahren zum Erstellen der Gruppen und Policys, mit denen Rollen definiert werden. Dazu gehören die spezifischen erforderlichen Berechtigungen für die Sicherheitsadministratorrolle.

2. Berechtigungen für den Fusion Applications-Administrator hinzufügen
Der Fusion Applications-Administrator benötigt read-Berechtigungen für Vaults und Schlüssel. Mit der Berechtigung read kann der Fusion Applications-Administrator folgende Aufgaben ausführen:
  • Den Vault und den Schlüssel während der Konfiguration auswählen
  • Die Schlüsselrotation prüfen
  • Den Vault und die Schlüssel im OCI Vault-Service zur Fehlerbehebung anzeigen

So fügen Sie die Berechtigungen für den Fusion Applications-Administrator hinzu:

  1. Weitere Informationen zum Erstellen der Fusion Applications-Administratorrolle finden Sie unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten.
  2. Fügen Sie die folgenden Anweisungen zur Rolle Fusion Applications-Umgebungsadministrator hinzu, falls noch nicht vorhanden: 
    
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>

Stellen Sie sicher, dass Sie alle <location>-Variablen durch den Namen des Compartments ersetzen, in dem der Vault und die Schlüssel erstellt wurden.

3. System-Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln in Ihrem Mandanten hinzufügen
Wichtig

Die Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln muss hinzugefügt werden, bevor Sie den Vault und den Schlüssel zu Ihrer Umgebung hinzufügen. Wenn diese Policy nicht hinzugefügt wird:
  • Das Provisioning der Umgebung ist nicht abgeschlossen.
  • Die Wartung der vorhandenen Umgebung ist nicht abgeschlossen.
  • Die Aktivierung des vom Kunden verwalteten Schlüssels ist nicht abgeschlossen.
Hinweis

Diese Policy gilt nur für Mandanten in der Commercial Cloud (OC1-Realm). Wenn sich Ihre Fusion Applications-Umgebung in einer anderen Realm befindet (z.B. Oracle US Government Cloud, United Kingdom Government Cloud usw.), müssen Sie eine Supportanfrage öffnen, um die korrekte Policy zu erhalten.

Erstellen Sie eine Policy in der OC1-Realm mit den folgenden Anweisungen:

define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}
Hinweis

Die im Beispiel angegebenen Beispielrichtlinien sind als Richtlinien gedacht. Sie sollten diese Richtlinien mit dem Sicherheitsteam Ihres Unternehmens überprüfen, um die Übereinstimmung mit den internen Sicherheitsanforderungen und Best Practices sicherzustellen.

Setupaufgaben für den Sicherheitsadministrator

Der Sicherheitsadministrator richtet die Vaults und Schlüssel ein und stellt dem Fusion Applications-Administrator die Informationen zur Verfügung, um sie der Umgebung hinzuzufügen.

1. Vaults für die Umgebungen erstellen

Befolgen Sie die Anweisungen unter Vault erstellen in der Vault-Dokumentation. Informationen zum Erstellen eines externen Vaults finden Sie unter External Key Management Service.

Hinweis

Der grundlegende Vault-Typ ist in Ihrem Break Glass-Serviceabonnement enthalten. Wenn Sie einen Vault erstellen und die Option Virtuellen privaten Vault erstellen auswählen oder auswählen, um einen externen Vault zu erstellen, fallen zusätzliche Gebühren an. Weitere Informationen zu Vault-Typen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.

Wir empfehlen, 2 Vaults zu erstellen: einen für die Produktionsumgebungsschlüssel und einen für die Nicht-Produktionsumgebungsschlüssel.

Nach dem Erstellen der Vaults replizieren Sie den Vault, den Sie für die Produktionsumgebung erstellt haben. Der replizierte Vault wird für Disaster Recovery verwendet.

  1. Prüfen Sie das Pairing der Disaster-Recovery-Region für die Region, in der sich die Fusion Applications-Produktionsumgebung befindet. Eine Liste der Regionspaare finden Sie unter Disaster Recovery-Unterstützung.
  2. Abonnieren Sie die Region, die als Paarung für Ihre Region aufgeführt ist. Informationen zum Abonnieren einer Region finden Sie unter Infrastrukturregionen abonnieren.
  3. Replizieren Sie den Vault, den Sie für Ihre Produktionsumgebung erstellt haben, indem Sie die Schritte unter Vaults und Schlüssel replizieren befolgen. Wenn Sie die Zielregion für die Replikation auswählen, müssen Sie die Disaster-Recovery-Region auswählen, die Sie im vorherigen Schritt abonniert haben.
2. Schlüssel erstellen

Befolgen Sie die Schritte unter Masterverschlüsselungsschlüssel erstellen in der Vault-Dokumentation, oder führen Sie zum Importieren Ihrer eigenen Schlüssel die Schritte unter Schlüssel und Schlüsselversionen importieren aus.

Im HSM-(Hardwaresicherheitsmodul-)Schlüsselschutzmodus werden Ihre Verschlüsselungsschlüssel in FIPS 140-2 Level 3-zertifizierten Hardwaresicherheitsmodulen gespeichert und geschützt.

Um Schlüssel für Fusion Applications zu erstellen, müssen Sie folgende Optionen auswählen:

  • Wählen Sie unter Schlüsselform: Algorithmus die Option AES (symmetrischer Schlüssel für Ver- und Entschlüsselung) aus (Sie müssen diese Option für vom Kunden verwaltete Fusion Applications-Schlüssel auswählen).
  • Wählen Sie unter Schlüsselform: Länge die Option 256 Bit aus.

Es wird empfohlen, einen Schlüssel im Vault der Produktionsumgebung und einen Schlüssel für jede Nicht-Produktionsumgebung im Vault der Nicht-Produktionsumgebung zu erstellen.

3. Vault- und Schlüsselinformationen dem Fusion Applications-Administrator bereitstellen

Nachdem Sie den Vault und die Schlüssel erstellt haben, stellen Sie dem Fusion Applications-Administrator den Namen des Vault Compartments, den Vault-Namen und den Schlüsselnamen (und, falls abweichend, den Namen des Schlüssel-Compartments) bereit.

Vom Kunden verwaltete Schlüssel zu neuen und vorhandenen Umgebungen hinzufügen

Der Fusion Applications-Administrator fügt die vom Kunden verwalteten Schlüssel zu den Umgebungen hinzu. Dieser Vorgang kann entweder während der Umgebungserstellung ausgeführt werden oder nachdem die Umgebung bereits erstellt wurde. Bei vorhandenen Umgebungen stellt Oracle dem Administrator eine Auswahl von Zeitfenstern zur Verfügung, um das Update zu planen. Bei neuen Umgebungen werden die Schlüssel zum Zeitpunkt des Provisioning der Umgebung hinzugefügt, und es ist keine Planung erforderlich.

Nachdem vom Kunden verwaltete Schlüssel aktiviert wurden, kann der Administrator auch einen Schlüssel in einer Umgebung ändern. Siehe Schlüssel ändern und rotieren.

Wichtig

Fügen Sie einen vom Kunden verwalteten Schlüssel nicht mehr als zweimal innerhalb eines Zeitraums von 24 Stunden hinzu, oder ändern Sie ihn nicht.

Voraussetzungen:

  • Das Abonnement wurde der Umgebungsfamilie hinzugefügt. Wenn das Abonnement nicht hinzugefügt wurde, wird die Option zur Auswahl des vom Kunden verwalteten Schlüssels nicht angezeigt.
  • Der Sicherheitsadministrator hat den Vault und den Schlüssel erstellt.
    Hinweis

    Der grundlegende Vault-Typ ist in Ihrem Break Glass-Serviceabonnement enthalten. Wenn Sie einen Vault erstellen und die Option Virtuellen privaten Vault erstellen auswählen oder auswählen, um einen externen Vault zu erstellen, fallen zusätzliche Gebühren an. Weitere Informationen zu Vault-Typen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.
  • Der Mandantenadministrator hat die System-Policy eingerichtet, um vom Kunden verwaltete Schlüssel im Mandanten zu aktivieren.
  • Der Mandantenadministrator hat eine Policy für den Fusion Applications-Administrator erstellt, um Vaults und Schlüssel zu lesen und sie mit Fusion Applications-Umgebungen zu verknüpfen.
Vom Kunden verwalteten Schlüssel während der Umgebungserstellung hinzufügen

Diese Prozedur umfasst nur die Schritte zum Aktivieren des vom Kunden verwalteten Schlüssels. Eine vollständige Prozedur zum Erstellen einer Umgebung finden Sie unter Aufgaben der Umgebungsverwaltung.

Gehen Sie auf der Seite zum Erstellen der Umgebung wie folgt vor:

  1. Wählen Sie Erweiterte Optionen anzeigen.
  2. Wählen Sie das Register Verschlüsselung .

  3. Wählen Sie Vom Kunden verwalteter Schlüssel (empfohlen) aus.

    Ablauf zur Umgebungserstellung, wobei die Option "Vom Kunden verwalteter Schlüssel" hervorgehoben ist

    Wenn diese Option nicht angezeigt wird, wurde das Abonnement nicht zur Umgebungsfamilie hinzugefügt.

  4. Wählen Sie den Vault aus. Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, müssen Sie auf Compartment ändern klicken und das entsprechende Compartment auswählen.
  5. Wählen Sie den Schlüssel aus. Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, müssen Sie auf Compartment ändern klicken und das entsprechende Compartment auswählen. Nur AES-256-Bit-Schlüssel werden angezeigt.

Nachdem Sie alle Schritte zum Einrichten der Umgebung ausgeführt haben, beginnt der Provisioning-Prozess. Durch Hinzufügen des vom Kunden verwalteten Schlüssels wird die Dauer des Provisioning-Prozesses verlängert. Während der Aktivierung des Schlüssels wird eine Meldung angezeigt, dass die Umgebung nicht verfügbar ist.

Vom Kunden verwaltete Schlüssel zu einer vorhandenen Umgebung hinzufügen und Aktualisierung planen, um die Verschlüsselungsverwaltung zu wechseln
Wichtig

  • Wenn Sie einen Vom Kunden verwalteten Schlüssel in einer vorhandenen Umgebung aktivieren, erfolgt die Verschlüsselungnicht sofort. Stattdessen bietet Ihnen Oracle eine Auswahl an Zeitfenstern, um das Update zu planen. Diese Optionen werden in der OCI-Konsole angezeigt, wenn Sie das Dialogfeld Verschlüsselung bearbeiten öffnen und das Update anfordern. Weitere Informationen finden Sie unter So aktivieren Sie einen vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung in diesem Thema.

  • Sie können dieses Update in der OCI-Konsole neu planen oder abbrechen, ohne sich an Oracle Support zu wenden, solange das Update den Status "Geplant" aufweist. Wenn die Aktualisierung in Bearbeitung oder abgeschlossen ist, können Sie die Aktualisierung nicht abbrechen oder rückgängig machen.

  • Stellen Sie sicher, dass die Zeit, die Sie für die Aktualisierung auswählen, nicht mit anderen wichtigen Umgebungsaktivitäten in Konflikt steht, wie z.B. einem Aktualisierungsvorgang. Bei Aktualisierungsvorgängen bedeutet dies, dass weder die Quell- noch die Zielumgebung für vom Kunden verwaltete Schlüssel aktualisiert werden können, während die Aktualisierung stattfindet.
  • Bis zum Update zur Aktivierung von vom Kunden verwalteten Schlüsseln wird die Umgebung weiterhin mit dem von Oracle verwalteten Schlüssel verschlüsselt.

So aktivieren Sie einen vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung:

  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home der Konsole die Option Fusion Applications aus. Suchen Sie auf der Seite Überblick die Umgebungsfamilie für die Umgebung, und wählen Sie den Umgebungsnamen aus.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus. Die Registerkarte Verschlüsselung wird angezeigt.
  3. Standardmäßig ist der Typ "Von Oracle verwaltet" ausgewählt. Wählen Sie Verschlüsselung bearbeiten aus, um den Vault und Schlüssel hinzuzufügen.

    Wenn die Bearbeitungsoption nicht angezeigt wird, haben Sie entweder die entsprechenden Optionen nicht hinzugefügt oder die Umgebung wird aktualisiert.

  4. Wählen Sie Vom Kunden verwalteter Schlüssel aus.

  5. Wählen Sie den Vault aus. Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie Compartment ändern aus, und wählen Sie das entsprechende Compartment aus. Wenn Sie Disaster Recovery (DR) verwenden, müssen Sie einen Vault auswählen, der die Replikation unterstützt. Alle privaten Vaults unterstützen die Replikation. Informationen dazu, wie Sie bestimmen, ob ein virtueller Vault die Replikation unterstützt, finden Sie unter Vaults und Schlüssel replizieren.
  6. Wählen Sie den Master-Verschlüsselungsschlüssel aus. Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie Compartment ändern aus, und wählen Sie das entsprechende Compartment aus. Nur AES-256-Bit-Schlüssel werden angezeigt.

  7. Wählen Sie im Abschnitt Aktualisierungsplan für Verschlüsselung das Zeitfenster aus, um die Uhrzeit anzugeben, zu der das Update für die Verschlüsselungsverwaltung beginnen soll. Es werden bis zu drei Daten angezeigt.

  8. Wählen Sie Weiterleiten aus, um das Update anzufordern, das vom Kunden verwaltete Schlüssel in Ihrer Umgebung ermöglicht.

In der Meldung unten im Fenster wird angezeigt, wann die Verschlüsselung planmäßig stattfinden soll. Die Verschlüsselung wird während des angegebenen Zeitfensters ausgeführt. Bis zur Aktualisierung bleibt die Umgebung mit dem von Oracle verwalteten Schlüssel verschlüsselt.

Hinweis

Wenn Sie die Aktualisierung für vom Kunden verwaltete Schlüssel neu planen oder abbrechen müssen, lesen Sie die Anweisungen unter So planen Sie eine Aktualisierung für vom Kunden verwaltete Schlüssel neu oder abbrechen.

Aktualisierung zur Aktivierung von vom Kunden verwalteten Schlüsseln neu planen oder abbrechen

Sie können eine Aktualisierung neu planen oder abbrechen, um zu vom Kunden verwalteten Schlüsseln zu wechseln, solange der Aktualisierungsstatus "Geplant" lautet. Wenn die Aktualisierung in Bearbeitung oder abgeschlossen ist, kann sie nicht abgebrochen oder rückgängig gemacht werden.

Sie können das Update selbst in der OCI-Konsole abbrechen oder neu planen, indem Sie die Anweisungen in diesem Thema verwenden.

So planen oder stornieren Sie eine Aktualisierung, um vom Kunden verwaltete Schlüssel zu aktivieren
Hinweis

Um diese Anweisungen verwenden zu können, muss der Status für die Aktualisierung "geplant" sein.
  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home der Konsole die Option Fusion Applications aus. Suchen Sie auf der Seite Überblick die Umgebungsfamilie für die Umgebung, und wählen Sie den Umgebungsnamen aus.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus. Die Registerkarte Verschlüsselung wird angezeigt.
  3. Suchen Sie in der Tabelle der Verschlüsselungsoptionen die Zeile "Vom Kunden verwaltet", und wählen Sie das Menü Aktionen (drei Punkte) aus. Wählen Sie dann Neu planen oder Abbrechen aus.

  4. Nur neu planen: Wenn Sie die Aktualisierung für vom Kunden verwaltete Schlüssel neu planen, wählen Sie im Dropdown-Menü ein neues Datum aus, und wählen Sie Weiterleiten aus.

    Hinweis

    Stellen Sie sicher, dass die Zeit, die Sie für die Aktualisierung auswählen, nicht mit anderen wichtigen Umgebungsaktivitäten wie einem Aktualisierungsvorgang in Konflikt steht. Bei Aktualisierungsvorgängen bedeutet dies, dass weder die Quell- noch die Zielumgebung für vom Kunden verwaltete Schlüssel aktualisiert werden können, während die Aktualisierung stattfindet.

    Nur abbrechen: Wenn Sie die Aktualisierung abbrechen, geben Sie den Umgebungsnamen ein, um zu bestätigen, dass Sie die Aktualisierung abbrechen möchten, und wählen Sie Geplanten Schlüssel abbrechen aus.

Schlüsselstatus und -details anzeigen

So zeigen Sie Schlüsselstatus und -details an:

  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home unter Meine Anwendungen die Option Fusion Applications aus, und wählen Sie den Umgebungsnamen aus. Die Seite mit den Umgebungsdetails wird angezeigt.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus. Die Registerkarte Verschlüsselung wird angezeigt.

Sie können die Vault- und Schlüssel-Namen auswählen, um zu diesen Ressourcen zu navigieren und weitere Informationen zu erhalten.

Mit vom Kunden verwalteten Schlüsseln arbeiten

Nachdem Sie vom Kunden verwaltete Schlüssel zu Fusion-Umgebungen hinzugefügt haben, können Sie:

Wichtig

Fügen Sie keinen vom Kunden verwalteten Schlüssel hinzu, ändern Sie ihn nicht, und rotieren Sie einen Schlüssel nicht mehr als zweimal innerhalb eines Zeitraums von 24 Stunden.

Ändern und Drehen von Schlüsseln

Sie können den Masterverschlüsselungsschlüssel ändern und Schlüsselversionen nach Bedarf rotieren.

Wichtig

Drehen Sie die Schlüssel nicht mehr als einmal alle 15 Minuten. Andernfalls dauert die Schlüsselrotation länger.
So ändern Sie einen vom Kunden verwalteten Masterverschlüsselungsschlüssel
  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home der Konsole die Option Fusion Applications aus. Suchen Sie auf der Seite Überblick die Umgebungsfamilie für die Umgebung, und wählen Sie den Umgebungsnamen aus.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus.
  3. Wählen Sie das Register Verschlüsselung.
  4. Wählen Sie Verschlüsselungsschlüssel ändern aus.

  5. Wählen Sie im Bereich Verschlüsselungsschlüssel ändern einen Vault aus. Wenn Sie Disaster Recovery (DR) verwenden, müssen Sie einen Vault auswählen, der die Replikation unterstützt. Alle privaten Vaults unterstützen die Replikation. Informationen dazu, wie Sie herausfinden, ob ein virtueller Vault die Replikation unterstützt, finden Sie unter Vaults und Schlüssel replizieren.

    Wenn sich der ausgewählte Vault in einem anderen Compartment befindet, müssen Sie möglicherweise IAM-Policys für den Vault-Zugriff erstellen. Siehe 3. Details finden Sie in der System-Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln in Ihrem Mandanten.

  6. Wählen Sie einen Master-Verschlüsselungsschlüssel aus.
  7. Wählen Sie Weiterleiten aus, und bestätigen Sie die Schlüsseländerung.

Sie rotieren Schlüssel basierend auf den Sicherheitspraktiken Ihres Unternehmens. Sie können einen CLI-Job so einrichten, dass die Schlüssel automatisch rotiert werden, oder der angegebene Sicherheitsadministrator kann sie manuell über die Konsolen-UI des Vault-Service rotieren. Weitere Informationen zu Schlüsselversionen finden Sie unter Konzepte der Schlüssel- und Secret-Verwaltung.

Bevor Sie einen Schlüssel rotieren können, müssen die folgenden Bedingungen erfüllt sein:

  • Der Lebenszyklusstatus der Umgebung muss Aktiv sein, und der Zustand muss Verfügbar lauten.
  • Sie dürfen das Limit der für den Vault verfügbaren Schlüsselversionen nicht erreicht haben. Bei Produktion-zu-Test-(P2T-)Aktualisierungen, bei denen die Testumgebung vom Kunden verwaltete Schlüssel verwendet, werden auch Schlüsselversionen konsumiert. Bei häufigen P2T-Aktualisierungen sinkt daher auch die Anzahl der verbleibenden Schlüsselversionen in einem Vault.

Was bei der Schlüsselrotation passiert:

  • Es gibt keine Ausfallzeit, und der Zustand der Umgebung wird weiterhin als Verfügbar angezeigt.
  • Auf der Seite mit den Umgebungsdetails wird eine Bannermeldung angezeigt, dass die Rotation ausgeführt wird.
  • Als Schlüsselstatus wird Rotation wird ausgeführt angezeigt.

So rotieren Sie einen Schlüssel

Befolgen Sie die Prozedur Rotieren eines Vault-Schlüssels in der Vault-Dokumentation.

So prüfen Sie die Schlüsselrotation

Nachdem Sie einen Schlüssel rotiert haben, können Sie die Rotation auf der Seite mit den Umgebungsdetails prüfen:

  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home unter Meine Anwendungen die Option Fusion Applications aus, und wählen Sie den Umgebungsnamen aus. Die Seite mit den Umgebungsdetails wird angezeigt.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus. Die Registerkarte Verschlüsselung wird angezeigt.
  3. Wählen Sie die Schlüsselversion aus, um zu prüfen, ob sie der Version im Vault-Service entspricht.

Schlüssel deaktivieren und aktivieren

Wenn Sie Fusion Applications beenden und auf die Fusion-Datenbank zugreifen möchten, kann der Sicherheitsadministrator den Schlüssel deaktivieren. So werden alle Benutzer sofort vom System abgemeldet.

Warnung

Wenn Sie einen Schlüssel deaktivieren, gehen möglicherweise Daten verloren. Wenn der Schlüssel deaktiviert ist, versucht Fusion Applications Cloud Service selbstständig, die Umgebung zu beenden, um zu verhindern, dass es bei der Verwendung der Umgebung zu Fehlern kommt. Sobald der Schlüssel deaktiviert wurde, kann die Umgebung jedoch erst wieder neu gestartet werden, nachdem der Schlüssel wieder aktiviert wurde. Solange der Schlüssel deaktiviert ist, kann kein Fusion Applications-Cloud-Service auf zuvor gespeicherte Kundendaten zugreifen.
Was bei der Deaktivierung eines Schlüssels passiert:
  • Der Zustand der Umgebung wird auf Nicht verfügbar gesetzt. Der Lebenszyklusstatus wird auf Deaktiviert gesetzt. Alle Benutzer werden von der Anwendung abgemeldet.
  • Auf der Seite mit den Umgebungsdetails wird eine Bannermeldung angezeigt, dass die Verschlüsselung deaktiviert wurde.
  • Als Schlüsselstatus wird Deaktiviert angezeigt.
Hinweis

Wenn Sie die Deaktivierung eines Schlüssels initiieren, werden mehrere Prozesse ausgeführt, um die Komponenten der Umgebung herunterzufahren (z.B. Datenbankservices, Middle Tier, Load Balancer). Der Vorgang kann bis zu einer Stunde dauern. Versuchen Sie nicht, einen Schlüssel erneut zu aktivieren, bevor diese Prozesse abgeschlossen sind.

Wenn Sie die Aktivierung eines Schlüssels initiieren, können die Prozesse, mit denen das System wieder hochgefahren wird, bis zu eine Stunde dauern.

Schlüssel löschen

Zu den Berechtigungen der Sicherheitsadministratorrolle gehört nicht das Löschen von Schlüsseln und Vaults. Das Löschen von Schlüsseln und Vaults ist ein äußerst destruktiver Vorgang. Er sollte vom Mandantenadministrator nur in seltenen Fällen ausgeführt werden.

Wenn ein Mandantenadministrator einen Schlüssel löscht, können alle Daten oder OCI-Ressourcen (einschließlich der Fusion Applications-Datenbank), die mit diesem Schlüssel verschlüsselt sind, ab diesem Zeitpunkt nicht mehr verwendet oder abgerufen werden.

Wir empfehlen dringend, einen Schlüssel zu sichern, bevor Sie ihn zum Löschen einplanen. Mit einem Backup können Sie den Schlüssel und Vault wiederherstellen, wenn Sie den Schlüssel später wieder verwenden möchten.

Weitere Informationen finden Sie unter Vault-Schlüssel löschen.