Oracle Cloud Infrastructure-Dokumentation

Vom Kunden verwaltete Schlüssel für Oracle Break Glass

Sichern Sie Fusion Applications-Umgebungen mit Oracle Break Glass und vom Kunden verwalteten Schlüsseln.

Standardmäßig sind Fusion Applications-Umgebungen durch von Oracle verwaltete Verschlüsselungsschlüssel geschützt. Wenn du den Oracle Break Glass-Service abonnierst, wird dir das Feature zu den vom Kunden verwalteten Schlüsseln angeboten. Damit können Sie die Verschlüsselungsschlüssel bereitstellen und verwalten, die Ihre Umgebung schützen. Sie können diese Option auch als Add-on-Abonnement erwerben.

Mit vom Kunden verwalteten Schlüsseln verwenden Sie Schlüssel, die in einem OCI-Vault gespeichert sind, um die Daten zu sichern, die im Ruhezustand in Ihren Produktions- und Nicht-Produktionsumgebungen gespeichert sind. Sie können die Option "Vom Kunden verwaltete Schlüssel" in Ihrer Umgebung entweder während der Umgebungserstellung oder nach dem Erstellen der Umgebung aktivieren.

Best Practices zur Einrichtung und Verwaltung von Vaults und Schlüsseln

Als Best Practice wird empfohlen, separate Vaults für Produktions- und Nicht-Produktionsumgebungen zu erstellen. Erstellen Sie im Vault der Nicht-Produktionsumgebung separate Schlüssel für Ihre Test- und Entwicklungsumgebungen. Sie können beispielsweise folgende Elemente erstellen:

Umgebung Vault Masterverschlüsselungsschlüssel
Produktion my-production-vault my-production-key
Test my-nonproduction-vault my-test-environment-key
Entwicklung my-development-environment-key

Vorteile separater Vaults für die Produktions- und Nicht-Produktionsumgebung:

  • Die Verwaltung separater Vaults ermöglicht die unabhängige Rotation von Schlüsseln für Produktions- und Nicht-Produktionsumgebungen.
  • Es gibt ein Limit für die Anzahl der Schlüssel pro Vault. Durch separate Vaults wird eine separate Anzahl an Schlüsseln für Produktions- und Nicht-Produktionsumgebungen bereitgestellt.
Wichtig

Production-to-Test-Updates, bei denen die Testumgebung vom Kunden verwaltete Schlüssel verwendet, belegen auch Schlüsselversionen. Daher reduziert häufiges P2Ts die Anzahl der verbleibenden Schlüsselversionen schneller in einem Vault.

Sie können die Schlüssellimits und -nutzung prüfen, indem sie die Seite Limits, Quota und Nutzung anzeigen. Dort werden Ressourcenlimits, Quota und -nutzung für die jeweilige Region nach Service angezeigt:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Governance und Administration aus. Wählen Sie unter Mandantenverwaltung die Option Limits, Quota und Nutzung aus.
  2. Wählen Sie neben Service die Option Filter bearbeiten aus.
  3. Wählen Sie in der Liste Service die Option Key Management, Aktualisieren aus.

    Prüfen Sie die Schlüssellimits für die Anzahl Schlüsselversionen für virtuelle Vaults oder die Anzahl Softwareschlüsselversionen für virtuelle Vaults, je nachdem, welchen Schlüsseltyp Sie verwenden möchten.

Vom Kunden verwaltete Schlüssel einrichten

In Fusion Applications können Sie mit dem OCI Vault-Service Verschlüsselungsschlüssel erstellen und verwalten, um Produktions- und Nicht-Produktionsumgebungen zu sichern. Sie können Schlüssel in Ihrer Umgebung entweder während der Umgebungserstellung einrichten, oder den Schlüssel zu einer vorhandenen Umgebung hinzufügen.

Überblick über Setupaufgaben und -rollen

Die Verwaltung von vom Kunden verwalteten Schlüsseln umfasst Aufgaben, die von verschiedenen Rollen in Ihrer Organisation ausgeführt werden müssen. Im Folgenden werden die Rollen und Aufgaben zusammengefasst, die jeweils ausgeführt werden:

Rolle Setupaufgaben Wartungsaufgaben
Mandantenadministrator
  • Erstellt Compartments für Vaults und Schlüssel
  • Erstellt die Sicherheitsadministratorgruppe, fügt der Gruppe Admin-Benutzer hinzu und erstellt eine Policy für die Gruppe, um Vaults und Schlüssel zu verwalten.
  • Fügt die System-Policy hinzu, damit die vom Kunden verwalteten Schlüssel von Fusion Applications verwendet werden können
  • Fügt Berechtigungen hinzu, mit denen der Fusion Applications-Administrator Vaults und Schlüssel lesen können
  • Keine
Sicherheitsadministrator
  • Erstellt die Vaults für Produktions- und Nicht-Produktionsumgebungen
  • Erstellt die Schlüssel für Produktions- und Nicht-Produktionsumgebungen
  • Stellt dem Fusion Applications-Administrator Informationen zu Vaults und Schlüsseln zur Verfügung, die zu der Umgebung hinzugefügt werden sollen
  • Schlüssel rotieren
  • Prüft die Schlüsselrotation
  • Deaktiviert Schlüssel (falls erforderlich)
Fusion Applications-Administrator
  • Aktiviert vom Kunden verwaltete Schlüssel in Produktions- und Nicht-Produktionsumgebungen
  • Optional wird das Startdatum für die Verwendung von vom Kunden verwalteten Schlüsseln geplant
  • Änderungen an vom Kunden verwalteten Schlüsseln in Produktions- und Nicht-Produktionsumgebungen
  • Prüft die Schlüsselrotation

Setupaufgaben für den Mandantenadministrator

Der Mandantenadministrator führt die Aufgaben zum Einrichten des Mandanten aus, damit der Sicherheitsadministrator und der Fusion Applications-Administrator vom Kunden verwaltete Schlüssel aktivieren und verwalten können.

1. Sicherheitsadministratorgruppe erstellen

Wir empfehlen, eine separate Sicherheitsadministratorgruppe zu erstellen, um die Zugriffsrechte auf die Sicherheitsfeatures Ihrer Fusion Applications-Umgebungen einzuschränken.

Mit dieser Policy für die Sicherheitsadministratorgruppe kann die Gruppe Vaults und Schlüssel verwalten, das Löschen jedoch nicht zulässig ist. Die Policy lautet: 

allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten finden Sie die Verfahren zum Erstellen der Gruppen und Policys, mit denen Rollen definiert werden. Dazu gehören die spezifischen erforderlichen Berechtigungen für die Sicherheitsadministratorrolle.

2. Berechtigungen für den Fusion Applications-Administrator hinzufügen
Der Fusion Applications-Administrator benötigt read-Berechtigungen für Vaults und Schlüssel. Mit der Berechtigung read kann der Fusion Applications-Administrator folgende Aufgaben ausführen:
  • Vault und Schlüssel während der Konfiguration wählen.
  • Die Schlüsselrotation prüfen
  • Den Vault und die Schlüssel im OCI Vault-Service zur Fehlerbehebung anzeigen

So fügen Sie die Berechtigungen für den Fusion Applications-Administrator hinzu

  1. Informationen zum Erstellen der Fusion Applications-Administratorrolle finden Sie unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten.
  2. Fügen Sie die folgenden Anweisungen zur Rolle Fusion Applications-Umgebungsadministrator hinzu, falls noch nicht vorhanden: 
    
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>

Stellen Sie sicher, dass Sie alle <location>-Variablen durch den Namen des Compartments ersetzen, in dem der Vault und die Schlüssel erstellt wurden.

3. System-Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln in Ihrem Mandanten hinzufügen
Wichtig

Die Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln muss hinzugefügt werden, bevor Sie den Vault und den Schlüssel zu Ihrer Umgebung hinzufügen. Wenn diese Policy nicht hinzugefügt wird:
  • Das Provisioning der Umgebung ist nicht abgeschlossen.
  • Die Wartung der vorhandenen Umgebung ist nicht abgeschlossen.
  • Die Aktivierung des vom Kunden verwalteten Schlüssels ist nicht abgeschlossen.
Hinweis

Diese Policy gilt nur für Mandanten in der Commercial Cloud (OC1-Realm). Wenn sich Ihre Fusion Applications-Umgebung in einer anderen Realm befindet (z.B. Oracle US Government Cloud oder United Kingdom Government Cloud), müssen Sie eine Supportanfrage öffnen, um die richtige Policy abzurufen.

Erstellen Sie eine Policy in der OC1-Realm mit den folgenden Anweisungen:

define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}
Hinweis

Als Best Practice wird empfohlen, die vorherige Policy mit diesen genauen Anweisungen in die Realm OC1 zu kopieren. Prüfen Sie zuvor diese Anweisungen mit dem Sicherheitsteam Ihrer Organisation, um sicherzustellen, dass sie mit internen Sicherheitsanforderungen und Best Practices übereinstimmen.

Setupaufgaben für den Sicherheitsadministrator

Der Sicherheitsadministrator richtet die Vaults und Schlüssel ein und stellt dem Fusion Applications-Administrator die Informationen zur Verfügung, um sie der Umgebung hinzuzufügen.

1. Vaults für die Umgebungen erstellen

Befolgen Sie die Anweisungen unter Vault erstellen in der Vault-Dokumentation. Informationen zum Erstellen eines externen Vaults finden Sie unter External Key Management Service.

Hinweis

Der grundlegende Vault-Typ ist in Ihrem Break Glass-Serviceabonnement enthalten. Wenn Sie einen Vault erstellen und die Option Virtuellen privaten Vault erstellen auswählen oder einen externen Vault erstellen, fallen zusätzliche Gebühren an. Weitere Informationen zu Vault-Typen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.

Wir empfehlen, 2 Vaults zu erstellen: einen für die Produktionsumgebungsschlüssel und einen für die Nicht-Produktionsumgebungsschlüssel.

Nach dem Erstellen der Vaults replizieren Sie den Vault, den Sie für die Produktionsumgebung erstellt haben. Der replizierte Vault wird für Disaster Recovery verwendet.

  1. Prüfen Sie das Pairing der Disaster-Recovery-Region für die Region, in der sich die Fusion Applications-Produktionsumgebung befindet. Eine Liste der Regionspaare finden Sie unter Disaster Recovery-Unterstützung.
  2. Abonnieren Sie die Region, die als Paarung für Ihre Region aufgeführt ist. Informationen zum Abonnieren einer Region finden Sie unter Infrastrukturregionen abonnieren.
  3. Replizieren Sie den Vault, den Sie für Ihre Produktionsumgebung erstellt haben, indem Sie die Schritte unter Vaults und Schlüssel replizieren befolgen. Wenn Sie die Zielregion für die Replikation auswählen, müssen Sie die Disaster-Recovery-Region auswählen, die Sie im vorherigen Schritt abonniert haben.
2. Schlüssel erstellen

Befolgen Sie die Schritte unter Masterverschlüsselungsschlüssel erstellen in der Vault-Dokumentation, oder führen Sie zum Importieren Ihrer eigenen Schlüssel die Schritte unter Schlüssel und Schlüsselversionen importieren aus.

Im HSM-(Hardwaresicherheitsmodul-)Schlüsselschutzmodus werden Ihre Verschlüsselungsschlüssel in FIPS 140-2 Level 3-zertifizierten Hardwaresicherheitsmodulen gespeichert und geschützt.

Um Schlüssel für Fusion Applications zu erstellen, müssen Sie folgende Optionen auswählen:

  • Wählen Sie unter Schlüsselausprägung: Algorithmus die Option AES (Symmetrischer Schlüssel zum Verschlüsseln und Entschlüsseln aus. (Sie müssen diese Option für vom Kunden verwaltete Fusion Applications-Schlüssel auswählen.)
  • Wählen Sie unter Schlüsselform: Länge die Option 256 Bit aus.

Es wird empfehlen, einen Schlüssel im Produktions-Vault für Ihre Produktionsumgebung und einen Schlüssel für jede Nicht-Produktionsumgebung im Nicht-Produktions-Vault zu erstellen.

3. Vault- und Schlüsselinformationen dem Fusion Applications-Administrator bereitstellen

Nachdem Sie den Vault und die Schlüsseln erstellt haben, geben Sie dem Fusion Applications-Administrator die Namen des Vaults und des Vaults und des Schlüsselnamens (und falls abweichend, den Namen des Schlüssel-Compartments) an.

Vom Kunden verwaltete Schlüssel zu neuen und vorhandenen Umgebungen hinzufügen

Der Fusion Applications-Administrator fügt die vom Kunden verwalteten Schlüssel zu den Umgebungen hinzu. Dieser Vorgang kann entweder während der Umgebungserstellung ausgeführt werden oder nachdem die Umgebung bereits erstellt wurde. Bei vorhandenen Umgebungen stellt Oracle dem Administrator eine Auswahl von Zeitfenstern zur Verfügung, um das Update zu planen. Bei neuen Umgebungen werden die Schlüssel zum Zeitpunkt des Provisioning der Umgebung hinzugefügt, und es ist keine Planung erforderlich.

Nachdem vom Kunden verwaltete Schlüssel aktiviert wurden, kann der Administrator auch einen Schlüssel in einer Umgebung ändern. Siehe Schlüssel ändern und rotieren.

Wichtig

Fügen Sie einen vom Kunden verwalteten Schlüssel nicht mehr als zweimal innerhalb eines Zeitraums von 24 Stunden hinzu, oder ändern Sie ihn nicht.

Voraussetzungen:

  • Das Abonnement wurde der Umgebungsfamilie hinzugefügt. Wenn das Abonnement nicht hinzugefügt wurde, wird die Option zum Auswählen eines vom Kunden verwalteten Schlüssels nicht angezeigt.
  • Der Sicherheitsadministrator hat den Vault und den Schlüssel erstellt.
    Hinweis

    Der grundlegende Vault-Typ ist in Ihrem Break Glass-Serviceabonnement enthalten. Wenn Sie einen Vault erstellen und die Option Virtuellen privaten Vault erstellen auswählen oder auswählen, um einen externen Vault zu erstellen, fallen zusätzliche Gebühren an. Weitere Informationen zu Vault-Typen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.
  • Der Mandantenadministrator hat die System-Policy eingerichtet, um vom Kunden verwaltete Schlüssel im Mandanten zu aktivieren.
  • Der Mandantenadministrator hat eine Policy für den Fusion Applications-Administrator erstellt, um Vaults und Schlüssel zu lesen und sie mit Fusion Applications-Umgebungen zu verknüpfen.
Vom Kunden verwalteten Schlüssel während der Umgebungserstellung hinzufügen

Diese Prozedur umfasst nur die Schritte zum Aktivieren des vom Kunden verwalteten Schlüssels. Eine vollständige Prozedur zum Erstellen einer Umgebung finden Sie unter Aufgaben der Umgebungsverwaltung.

Gehen Sie auf der Seite zum Erstellen der Umgebung wie folgt vor:

  1. Blenden Sie unter Erweiterte Optionen den Abschnitt Verschlüsselung ein.
  2. Wählen Sie Vom Kunden verwalteter Schlüssel (empfohlen) aus.

    Wenn diese Option nicht angezeigt wird, wurde das Abonnement der Umgebungsfamilie nicht hinzugefügt.

  3. Vergewissern Sie sich, dass die Policys erstellt wurden.
  4. Wählen Sie den Vault.

    Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie das entsprechende Compartment aus.

  5. Wählen Sie den Schlüssel.

    Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie das entsprechende Compartment aus. Nur AES-256-Bit-Schlüssel werden angezeigt.

Nachdem Sie alle Schritte zum Einrichten der Umgebung ausgeführt haben, beginnt der Provisioning-Prozess. Durch Hinzufügen des vom Kunden verwalteten Schlüssels wird die Dauer des Provisioning-Prozesses verlängert. Während der Aktivierung des Schlüssels wird eine Meldung mit einem Hinweis angezeigt, dass die Umgebung nicht verfügbar ist.

Vom Kunden verwaltete Schlüssel zu einer vorhandenen Umgebung hinzufügen und Aktualisierung planen, um die Verschlüsselungsverwaltung zu wechseln
Wichtig

  • Wenn Sie einen Vom Kunden verwalteten Schlüssel in einer vorhandenen Umgebung aktivieren, erfolgt die Verschlüsselungnicht sofort. Stattdessen bietet Ihnen Oracle eine Auswahl an Zeitfenstern, um das Update zu planen. Diese Optionen werden in der OCI-Konsole angezeigt, wenn Sie das Dialogfeld Verschlüsselung bearbeiten öffnen und das Update anfordern. Weitere Informationen finden Sie unter So aktivieren Sie einen vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung in diesem Thema.

  • Sie können dieses Update in der OCI-Konsole neu planen oder abbrechen, ohne sich an Oracle Support zu wenden, solange das Update den Status Geplant aufweist. Wenn die Aktualisierung in Bearbeitung oder abgeschlossen ist, können Sie die Aktualisierung nicht abbrechen oder rückgängig machen.

  • Stellen Sie sicher, dass die Zeit, die Sie für die Aktualisierung auswählen, nicht mit anderen wichtigen Umgebungsaktivitäten in Konflikt steht, wie z.B. einem Aktualisierungsvorgang. Bei Aktualisierungsvorgängen bedeutet dies, dass weder die Quell- noch die Zielumgebung für vom Kunden verwaltete Schlüssel aktualisiert werden können, während die Aktualisierung stattfindet.
  • Bis zum Update zur Aktivierung von vom Kunden verwalteten Schlüsseln wird die Umgebung weiterhin durch den von Oracle verwalteten Schlüssel verschlüsselt.

So aktivieren Sie einen vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung:

  1. Wählen Sie auf der Listenseite Umgebungen die Umgebung aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter So listen Sie Umgebungen auf.

  2. Wählen Sie auf der Detailseite der Umgebung die Option Sicherheit aus.
  3. Unter Verschlüsselung wird der Typ standardmäßig von Oracle verwaltet. Wählen Sie Verschlüsselung bearbeiten aus, um Ihren Vault und Schlüssel hinzuzufügen.

    Wenn die Bearbeitungsoption nicht angezeigt wird, haben Sie entweder die entsprechenden Optionen nicht hinzugefügt oder die Umgebung wird aktualisiert.

  4. Wählen Sie Vom Kunden verwalteter Schlüssel (empfohlen) aus.
  5. Vergewissern Sie sich, dass die Policys erstellt wurden.
  6. Wählen Sie den Vault.

    Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie das entsprechende Compartment aus.

    Wenn Sie Disaster Recovery (DR) verwenden, müssen Sie einen Vault auswählen, der die Replikation unterstützt. Alle privaten Vaults unterstützen die Replikation. Informationen zum Ermitteln, ob ein virtueller Vault die Replikation unterstützt, finden Sie unter Vaults und Schlüssel replizieren.

  7. Wählen Sie den Schlüssel.

    Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie das entsprechende Compartment aus. Nur AES-256-Bit-Schlüssel werden angezeigt.

  8. Wählen Sie unter Aktualisierungsplan für Verschlüsselung das Zeitfenster aus, in dem das Update für die Verschlüsselungsverwaltung beginnen soll. Es werden bis zu drei Daten angezeigt.
  9. Wählen Sie Weiterleiten aus, um das Update anzufordern, das vom Kunden verwaltete Schlüssel in Ihrer Umgebung ermöglicht.

In der Meldung unten im Fenster wird angezeigt, wann die Verschlüsselung planmäßig stattfinden soll. Die Verschlüsselung wird während des angegebenen Zeitfensters ausgeführt. Bis zur Aktualisierung bleibt die Umgebung mit dem von Oracle verwalteten Schlüssel verschlüsselt.

Hinweis

Informationen dazu, wie Sie die Aktualisierung für vom Kunden verwaltete Schlüssel neu planen oder abbrechen müssen, finden Sie unter So planen Sie eine Aktualisierung für vom Kunden verwaltete Schlüssel neu oder stornieren.

Aktualisierung zur Aktivierung von vom Kunden verwalteten Schlüsseln neu planen oder abbrechen

Sie können eine Aktualisierung neu planen oder abbrechen, um zu vom Kunden verwalteten Schlüsseln zu wechseln, solange der Aktualisierungsstatus Geplant lautet. Wenn die Aktualisierung in Bearbeitung oder abgeschlossen ist, kann sie nicht abgebrochen oder rückgängig gemacht werden.

Sie können das Update selbst in der OCI-Konsole abbrechen oder neu planen, indem Sie die Anweisungen in diesem Thema verwenden.

So planen oder stornieren Sie eine Aktualisierung, um vom Kunden verwaltete Schlüssel zu aktivieren
Hinweis

Um diese Anweisungen verwenden zu können, muss der Status für die Aktualisierung Geplant sein.

  1. Wählen Sie auf der Listenseite Umgebungen die Umgebung aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter So listen Sie Umgebungen auf.

  2. Wählen Sie auf der Detailseite der Umgebung die Option Sicherheit aus.
  3. Suchen Sie unter Verschlüsselung die Zeile Vom Kunden verwaltet. Wählen Sie das Menü Aktionen (drei Punkte), und wählen Sie Neu planen oder Abbrechen.
  4. Nur neu planen: Wenn Sie die Aktualisierung für vom Kunden verwaltete Schlüssel neu planen, wählen Sie ein neues Datum und dann Weiterleiten.
    Hinweis

    Stellen Sie sicher, dass die Zeit, die Sie für die Aktualisierung auswählen, nicht mit anderen wichtigen Umgebungsaktivitäten wie einem Aktualisierungsvorgang in Konflikt steht. Bei Aktualisierungsvorgängen bedeutet dies, dass weder die Quell- noch die Zielumgebung für vom Kunden verwaltete Schlüssel aktualisiert werden können, während die Aktualisierung stattfindet.

    Nur abbrechen: Wenn Sie die Aktualisierung abbrechen, geben Sie den Umgebungsnamen ein, um zu bestätigen, dass Sie die Aktualisierung abbrechen möchten, und wählen Sie Geplanten Schlüssel abbrechen aus.

Schlüsselstatus und -details anzeigen

So zeigen Sie Schlüsselstatus und -details an:

  1. Wählen Sie auf der Listenseite Umgebungen die Umgebung aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter So listen Sie Umgebungen auf.

  2. Wählen Sie auf der Detailseite der Umgebung die Option Sicherheit aus.

    Wählen Sie unter Verschlüsselung die Namen Vault und Schlüssel aus, um zu diesen Ressourcen zu navigieren und weitere Informationen zu erhalten.

Mit vom Kunden verwalteten Schlüsseln arbeiten

Nachdem Sie vom Kunden verwaltete Schlüssel zu Fusion Applications-Umgebungen hinzugefügt haben, können Sie:

Wichtig

Fügen Sie keinen vom Kunden verwalteten Schlüssel hinzu, ändern Sie ihn nicht, und rotieren Sie einen Schlüssel nicht mehr als zweimal innerhalb eines Zeitraums von 24 Stunden.

Ändern und Drehen von Schlüsseln

Sie können den Masterverschlüsselungsschlüssel ändern und Schlüsselversionen nach Bedarf rotieren.

Wichtig

Drehen Sie die Schlüssel nicht mehr als einmal alle 15 Minuten. Andernfalls dauert die Schlüsselrotation länger.
So ändern Sie einen vom Kunden verwalteten Masterverschlüsselungsschlüssel

  1. Wählen Sie auf der Listenseite Umgebungen die Umgebung aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter So listen Sie Umgebungen auf.

  2. Wählen Sie auf der Detailseite der Umgebung die Option Sicherheit aus.
  3. Wählen Sie unter Verschlüsselung die Option Verschlüsselung ändern aus.
  4. Wählen Sie im Bereich Verschlüsselungsschlüssel ändern einen Vault aus.

    Wenn Sie Disaster Recovery (DR) verwenden, müssen Sie einen Vault auswählen, der die Replikation unterstützt. Alle privaten Vaults unterstützen die Replikation. Informationen zu virtuellen Vaults finden Sie unter Vaults und Schlüssel replizieren. Dort erfahren Sie, wie Sie herausfinden, ob ein virtueller Vault die Replikation unterstützt.

    Wenn sich der ausgewählte Vault in einem anderen Compartment befindet, müssen Sie möglicherweise IAM-Policys für den Vault-Zugriff erstellen. Siehe 3. Details finden Sie in der System-Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln in Ihrem Mandanten.

  5. Wählen Sie einen Master-Verschlüsselungsschlüssel aus.
  6. Wählen Sie Weiterleiten aus, und bestätigen Sie die Schlüsseländerung.

So rotieren Sie einen Schlüssel

Sie rotieren Schlüssel basierend auf den Sicherheitspraktiken Ihres Unternehmens. Sie können einen CLI-Job so einrichten, dass die Schlüssel automatisch rotiert werden, oder der angegebene Sicherheitsadministrator kann sie manuell über die Konsolen-UI des Vault-Service rotieren. Weitere Informationen zu Schlüsselversionen finden Sie unter Konzepte der Schlüssel- und Secret-Verwaltung.

Bevor Sie einen Schlüssel rotieren können, müssen die folgenden Bedingungen erfüllt sein:

  • Der Lebenszyklusstatus der Umgebung muss Aktiv sein, und der Zustand muss Verfügbar lauten.
  • Sie dürfen das Limit der für den Vault verfügbaren Schlüsselversionen nicht erreicht haben. Production-to-Test aktualisiert, wenn die Testumgebung vom Kunden verwaltete Schlüssel verwendet, auch Schlüsselversionen konsumiert. Daher reduziert häufiges P2Ts auch die Anzahl der verbleibenden Schlüsselversionen in einem Vault.

Was bei der Schlüsselrotation passiert:

  • Es gibt keine Ausfallzeit, und der Zustand der Umgebung wird weiterhin als Verfügbar angezeigt.
  • Eine Bannermeldung auf der Seite mit den Umgebungsdetails weist Sie darauf hin, dass eine Rotation ausgeführt wird.
  • Als Schlüsselstatus wird Rotation wird ausgeführt angezeigt.

Befolgen Sie die Prozedur Rotieren eines Vault-Schlüssels in der Vault-Dokumentation.

So prüfen Sie die Schlüsselrotation

Nachdem Sie einen Schlüssel rotiert haben, können Sie die Rotation auf der Seite mit den Umgebungsdetails prüfen:

  1. Wählen Sie auf der Listenseite Umgebungen die Umgebung aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter So listen Sie Umgebungen auf.

  2. Wählen Sie auf der Detailseite der Umgebung die Option Sicherheit aus.
  3. Wählen Sie unter Verschlüsselung die Schlüsselversion aus, um zu prüfen, ob sie der Version im Vault-Service entspricht.

Schlüssel deaktivieren und aktivieren

Wenn Sie Fusion Applications beenden und auf die Fusion-Datenbank zugreifen möchten, kann der Sicherheitsadministrator den Schlüssel deaktivieren. So werden alle Benutzer sofort vom System abgemeldet.

Warnung

Wenn Sie einen Schlüssel deaktivieren, gehen möglicherweise Daten verloren. Wenn der Schlüssel deaktiviert ist, versucht der Fusion Applications-Cloudservice proaktiv, die Umgebung zu beenden, um zu verhindern, dass bei der Nutzung der Umgebung Fehler auftreten. Sobald der Schlüssel deaktiviert ist, kann die Umgebung jedoch erst erneut gestartet werden, nachdem er wieder aktiviert ist. Solange der Schlüssel deaktiviert ist, kann kein Fusion Applications-Cloudservice auf zuvor gespeicherte Kundendaten zugreifen.
Was bei der Deaktivierung eines Schlüssels passiert:
  • Der Zustand der Umgebung wird auf Nicht verfügbar gesetzt. Der Lebenszyklusstatus wird auf Deaktiviert gesetzt. Alle Benutzer werden von der Anwendung abgemeldet.
  • Eine Bannermeldung auf der Seite mit den Umgebungsdetails weist Sie darauf hin, dass die Verschlüsselung deaktiviert wurde.
  • Als Schlüsselstatus wird Deaktiviert angezeigt.
Hinweis

Wenn Sie die Deaktivierung eines Schlüssels initiieren, werden eine Reihe von Prozessen ausgeführt, um die Komponenten der Umgebung herunterzufahren (z.B. die Datenbankservices, die Middle Tier, die Load Balancer). Dieser Vorgang kann bis zu einer Stunde dauern. Versuchen Sie nicht, einen Schlüssel erneut zu aktivieren, bevor diese Prozesse abgeschlossen sind.

Wenn Sie die Aktivierung eines Schlüssels initiieren, können die Prozesse, mit denen das System wieder hochgefahren wird, bis zu eine Stunde dauern.

Schlüssel löschen

Die der Sicherheitsadministratorrolle erteilten Berechtigungen umfassen nicht delete für Schlüssel und Vaults. Das Löschen von Schlüsseln und Vaults ist ein äußerst destruktiver Vorgang. Er sollte vom Mandantenadministrator nur in seltenen Fällen ausgeführt werden.

Wenn ein Mandantenadministrator einen Schlüssel löscht, können alle Daten oder OCI-Ressourcen (einschließlich Ihrer Fusion Applications-Datenbank), die mit diesem Schlüssel verschlüsselt sind, sofort unbrauchbar oder unwiederbringlich werden.

Wir empfehlen dringend, einen Schlüssel zu sichern, bevor Sie ihn zum Löschen einplanen. Mit einem Backup können Sie den Schlüssel und Vault wiederherstellen, wenn Sie den Schlüssel später wieder verwenden möchten.

Weitere Informationen finden Sie unter Vault-Schlüssel löschen.