Oracle Cloud Infrastructure-Dokumentation

Vom Kunden verwaltete Schlüssel für Oracle Break Glass

Sichern Sie Ihre Fusion Applications-Umgebungen mit Oracle Break Glass und vom Kunden verwalteten Schlüsseln.

Standardmäßig sind Ihre Fusion Applications-Umgebungen durch von Oracle verwaltete Verschlüsselungsschlüssel geschützt. Wenn Sie den Oracle Break Glass-Service abonnieren, wird Ihnen das Feature zu vom Kunden verwalteten Schlüsseln angeboten. Damit können Sie die Schlüssel bereitstellen und verwalten, die Ihre Umgebung schützen. Sie können diese Option auch als Add-on-Abonnement erwerben.

Bei vom Kunden verwalteten Schlüsseln verwenden Sie Ihre Schlüssel, die in einem OCI-Vault gespeichert sind, um die im Ruhezustand in Ihren Produktions- und Nicht-Produktionsumgebungen gespeicherten Daten zu sichern. Sie können die Option "Vom Kunden verwaltete Schlüssel" entweder während der Umgebungserstellung oder nach dem Erstellen der Umgebung in Ihrer Umgebung aktivieren.

Best Practices zur Einrichtung und Verwaltung von Vaults und Schlüsseln

Es wird empfohlen, separate Vaults für Produktions- und Nicht-Produktionsumgebungen zu erstellen. Erstellen Sie im Vault der Nicht-Produktionsumgebung separate Schlüssel für Ihre Test- und Entwicklungsumgebungen. Sie können beispielsweise folgende Elemente erstellen:

Umgebung Vault Masterverschlüsselungsschlüssel
Produktion my-production-vault my-production-key
Test my-nonproduction-vault my-test-environment-key
Entwicklung my-development-environment-key

Vorteile separater Vaults für die Produktions- und Nicht-Produktionsumgebung:

  • Die Verwaltung separater Vaults ermöglicht die unabhängige Rotation von Schlüsseln für Produktions- und Nicht-Produktionsumgebungen.
  • Die Anzahl der Schlüssel pro Vault ist begrenzt. Durch separate Vaults wird eine separate Anzahl an Schlüsseln für Produktions- und Nicht-Produktionsumgebungen bereitgestellt.
Wichtig

Bei Produktion-zu-Test-(P2T-)Aktualisierungen, bei denen die Testumgebung vom Kunden verwaltete Schlüssel verwendet, werden auch Schlüsselversionen konsumiert. Bei häufigen P2T-Aktualisierungen sinkt daher die Anzahl der verbleibenden Schlüsselversionen in einem Vault schneller.

Sie können Ihre Schlüssellimits und -nutzung prüfen, indem Sie die Seite "Limits, Quota und Nutzung" anzeigen. Dort werden die Ressourcenlimits, -Quota und -nutzung für die jeweilige Region unterteilt nach Service angezeigt:

  1. Öffnen Sie in der Konsole das Navigationsmenü, und wählen Sie Governance und Administration aus. Wählen Sie unter Mandantenverwaltung die Option Limits, Quota und Nutzung aus.
  2. Wählen Sie in der Liste Service die Option Schlüsselverwaltung aus.

    Prüfen Sie, je nach ausgewähltem Schlüsseltyp, die Schlüssellimits für "Anzahl Schlüsselversionen für virtuelle Vaults" oder "Anzahl Softwareschlüsselversionen für virtuelle Vaults" festlegen.

Vom Kunden verwaltete Schlüssel einrichten

In Fusion Applications können Sie mit dem OCI Vault-Service Verschlüsselungsschlüssel erstellen und verwalten, um Ihre Produktions- und Nicht-Produktionsumgebungen zu sichern. Sie können Schlüssel in Ihrer Umgebung entweder einrichten, während Sie die Umgebung erstellen, oder den Schlüssel zu einer vorhandenen Umgebung hinzufügen. Wenn Sie die Konfiguration in einer vorhandenen Umgebung hinzufügen, erfolgt die Verschlüsselung der Umgebung während des nächsten geplanten Wartungszyklus.

Überblick über Setupaufgaben und -rollen

Die Verwaltung von vom Kunden verwalteten Schlüsseln umfasst Aufgaben, die von verschiedenen Rollen in Ihrer Organisation ausgeführt werden müssen. Im Folgenden finden Sie eine Übersicht über die Rollen und Aufgaben, die jeweils ausgeführt werden:

Rolle Setupaufgaben Wartungsaufgaben
Mandantenadministrator
  • Erstellt Compartments für Vaults und Schlüssel
  • Erstellt die Sicherheitsadministratorgruppe, fügt der Gruppe Admin-Benutzer hinzu und erstellt eine Policy für die Gruppe, um Vaults und Schlüssel verwalten zu können.
  • Fügt die System-Policy hinzu, damit vom Kunden verwaltete Schlüssel von Fusion Applications verwendet werden können
  • Fügt Berechtigungen hinzu, mit denen der Fusion Applications-Administrator Vaults und Schlüssel lesen kann
  • Keine
Sicherheitsadministrator
  • Erstellt die Vaults für Produktions- und Nicht-Produktionsumgebungen
  • Erstellt die Schlüssel für Produktions- und Nicht-Produktionsumgebungen
  • Stellt dem Fusion Applications-Administrator Informationen zu Vaults und Schlüsseln zur Verfügung, die zu der Umgebung hinzugefügt werden sollen
  • Schlüssel rotieren
  • Prüft die Schlüsselrotation
  • Deaktiviert Schlüssel (falls erforderlich)
Fusion Applications-Administrator
  • Aktiviert vom Kunden verwaltete Schlüssel in Produktions- und Nicht-Produktionsumgebungen
  • Optional wird das Startdatum für die Verwendung von vom Kunden verwalteten Schlüsseln geplant
  • Änderungen an vom Kunden verwalteten Schlüsseln in Produktions- und Nicht-Produktionsumgebungen
  • Prüft die Schlüsselrotation

Setupaufgaben für den Mandantenadministrator

Der Mandantenadministrator führt die Aufgaben zum Einrichten des Mandanten für den Sicherheitsadministrator und Fusion Applications-Administrator aus, damit vom Kunden verwaltete Schlüssel aktiviert und verwaltet werden können.

1. Sicherheitsadministratorgruppe erstellen

Es wird empfohlen, eine separate Sicherheitsadministratorgruppe zu erstellen, um den Zugriff auf die Sicherheitsfeatures Ihrer Fusion Applications-Umgebungen einzuschränken.

Mit der Policy für die Sicherheitsadministratorgruppe kann die Gruppe Vaults und Schlüssel verwalten. Das Löschen ist jedoch nicht zulässig. Die Policy lautet: 

allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Informationen zum Erstellen von Gruppen und Policys, um Rollen zu definieren, einschließlich der spezifischen erforderlichen Berechtigungen für die Sicherheitsadministratorrolle, finden Sie unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten.

2. Berechtigungen für den Fusion Applications-Administrator hinzufügen
Der Fusion Applications-Administrator benötigt read-Berechtigungen für Vaults und Schlüssel. Mit der Berechtigung read kann der Fusion Applications-Administrator folgende Aufgaben ausführen:
  • Den Vault und den Schlüssel während der Konfiguration auswählen
  • Die Schlüsselrotation prüfen
  • Den Vault und die Schlüssel im OCI Vault-Service zur Fehlerbehebung anzeigen

So fügen Sie die Berechtigungen für den Fusion Applications-Administrator hinzu:

  1. Informationen hierzu finden Sie unter Oracle Cloud-Benutzer mit bestimmten Funktionen verwalten, wo die Erstellung der Fusion Applications-Administratorrolle beschrieben wird.
  2. Fügen Sie die folgenden Anweisungen zur Rolle Fusion Applications-Umgebungsadministrator hinzu, falls noch nicht vorhanden: 
    
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>

Stellen Sie sicher, dass Sie alle <location>-Variablen durch den Namen des Compartments ersetzen, in dem der Vault und die Schlüssel erstellt wurden.

3. System-Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln in Ihrem Mandanten hinzufügen
Wichtig

Die Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln muss hinzugefügt werden, bevor Sie den Vault und den Schlüssel zu Ihrer Umgebung hinzufügen. Wenn diese Policy nicht hinzugefügt wird:
  • Das Provisioning der Umgebung ist nicht abgeschlossen.
  • Die Wartung der vorhandenen Umgebung ist nicht abgeschlossen.
  • Die Aktivierung des vom Kunden verwalteten Schlüssels ist nicht abgeschlossen.
Hinweis

Diese Policy gilt nur für Mandanten in der Commercial Cloud (OC1-Realm). Wenn sich Ihre Fusion Applications-Umgebung in einer anderen Realm befindet (z.B. Oracle US Government Cloud, United Kingdom Government Cloud usw.), müssen Sie eine Supportanfrage öffnen, um die korrekte Policy zu erhalten.

Erstellen Sie eine Policy in der OC1-Realm mit den folgenden Anweisungen:

define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}
Hinweis

Die im Beispiel angegebenen Beispielrichtlinien sind als Richtlinien gedacht. Sie sollten diese Richtlinien mit dem Sicherheitsteam Ihres Unternehmens überprüfen, um die Übereinstimmung mit den internen Sicherheitsanforderungen und Best Practices sicherzustellen.

Um Berechtigungen auf bestimmte Compartments einzuschränken, geben Sie alternativ das Compartment anstelle des im Beispiel angezeigten Mandanten an. Wenn Sie keine Policy-Anweisungen für jedes Compartment haben, müssen Sie diese erstellen. Informationen zum Hinzufügen von Policy-Anweisungen für Ihre Compartments finden Sie unter Policy erstellen. Wenn Policy-Anweisungen für jedes Compartment vorhanden sind, müssen Sie sie aktualisieren. Informationen zum Aktualisieren von Policy-Anweisungen für jedes Compartment finden Sie unter Anweisungen einer Policy aktualisieren.

Wenn Sie Schlüssel- oder Vault Compartments in Zukunft ändern, müssen Sie auch die Policys aktualisieren. Andernfalls kann Ihre Fusion-Umgebung nicht auf Ihre Schlüssel zugreifen, was zu einer Unterbrechung führen kann. Informationen zum Suchen des Compartments für den Vault finden Sie unter Details eines Vaults abrufen.

Setupaufgaben für den Sicherheitsadministrator

Der Sicherheitsadministrator richtet die Vaults und Schlüssel ein und stellt dem Fusion Applications-Administrator die Informationen zur Verfügung, um sie der Umgebung hinzuzufügen.

1. Vaults für die Umgebungen erstellen

Befolgen Sie die Prozedur Erstellen eines Vaults in der Vault-Dokumentation.

Hinweis

Der grundlegende Vault-Typ ist in Ihrem Break Glass-Serviceabonnement enthalten. Wenn Sie einen Vault erstellen, können Sie ihn als virtuellen privaten Vault erstellen. Dieser Vault-Typ verwendet eine dedizierte Partition für Ihren Vault und ist nicht in Ihrem Break Glass-Serviceabonnement enthalten. Wenn Sie Virtuellen privaten Vault erstellen auswählen, fallen zusätzliche Gebühren an. Weitere Informationen zu Vault-Typen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.

Es wird empfohlen, 2 Vaults zu erstellen: einen für Ihre Produktionsumgebungsschlüssel und einen für Ihre Nicht-Produktionsumgebungsschlüssel.

Nachdem Sie die Vaults erstellt haben, replizieren Sie den Vault, den Sie für die Produktionsumgebung erstellt haben. Der replizierte Vault wird für das Disaster Recovery verwendet.

  1. Prüfen Sie die Kombination der Disaster Recovery-Region für die Region, in der sich Ihre Fusion Applications-Produktionsumgebung befindet. Eine Liste der Regionspaare finden Sie unter Disaster-Recovery-Support.
  2. Abonnieren Sie die Region, die als Paarung für Ihre Region aufgeführt ist. Informationen zum Abonnieren einer Region finden Sie unter Infrastrukturregionen abonnieren.
  3. Replizieren Sie den Vault, den Sie für Ihre Produktionsumgebung erstellt haben, indem Sie die Schritte unter Vaults und Schlüssel replizieren ausführen. Wenn Sie die Zielregion für die Replikation auswählen, müssen Sie die Disaster-Recovery-Region auswählen, die Sie im vorherigen Schritt abonniert haben.
2. Schlüssel erstellen

Befolgen Sie die Schritte unter Masterverschlüsselungsschlüssel erstellen in der Vault-Dokumentation, oder befolgen Sie die Anweisungen unter Öffentlichen RSA-Wrapping-Schlüssel abrufen und RSA-OAEP mit AES zum Wrappen von Schlüsselmaterial anwenden, um eigene Schlüssel zu importieren.

Um Schlüssel für Fusion Applications zu erstellen, müssen Sie folgende Optionen auswählen:

  • Wählen Sie unter Schlüsselform: Algorithmus die Option AES (symmetrischer Schlüssel für Ver- und Entschlüsselung) aus (Sie müssen diese Option für vom Kunden verwaltete Fusion Applications-Schlüssel auswählen).
  • Wählen Sie unter Schlüsselform: Länge die Option 256 Bit aus.

Es wird empfohlen, einen Schlüssel im Vault der Produktionsumgebung und einen Schlüssel für jede Nicht-Produktionsumgebung im Vault der Nicht-Produktionsumgebung zu erstellen.

3. Vault- und Schlüsselinformationen dem Fusion Applications-Administrator bereitstellen

Nachdem Sie den Vault und die Schlüssel erstellt haben, stellen Sie dem Fusion Applications-Administrator den Namen des Vault Compartments, den Vault-Namen und den Schlüsselnamen (und, falls abweichend, den Namen des Schlüssel-Compartments) bereit.

Vom Kunden verwaltete Schlüssel zu neuen und vorhandenen Umgebungen hinzufügen

Der Fusion Applications-Administrator fügt die vom Kunden verwalteten Schlüssel zu den Umgebungen hinzu. Dieser Vorgang kann entweder während der Umgebungserstellung ausgeführt werden oder nachdem die Umgebung bereits erstellt wurde. Bei vorhandenen Umgebungen stellt Oracle dem Administrator eine Auswahl von Zeitfenstern zur Verfügung, um das Update zu planen. Bei neuen Umgebungen werden die Schlüssel zum Zeitpunkt des Provisioning der Umgebung hinzugefügt, und es ist keine Planung erforderlich.

Nachdem vom Kunden verwaltete Schlüssel aktiviert wurden, kann der Administrator auch einen Schlüssel in einer Umgebung ändern.

Voraussetzungen:

  • Das Abonnement wurde der Umgebungsfamilie hinzugefügt. Wenn das Abonnement nicht hinzugefügt wurde, wird die Option zur Auswahl eines vom Kunden verwalteten Schlüssels nicht angezeigt.
  • Der Sicherheitsadministrator hat den Vault und den Schlüssel erstellt.
    Hinweis

    Der grundlegende Vault-Typ ist in Ihrem Break Glass-Serviceabonnement enthalten. Wenn Sie einen Vault erstellen, können Sie ihn als virtuellen privaten Vault erstellen. Dieser Vault-Typ verwendet eine dedizierte Partition für Ihren Vault und ist nicht in Ihrem Break Glass-Serviceabonnement enthalten. Wenn Sie Virtuellen privaten Vault erstellen auswählen, fallen zusätzliche Gebühren an. Weitere Informationen zu Vault-Typen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.
  • Der Mandantenadministrator hat die System-Policy eingerichtet, um vom Kunden verwaltete Schlüssel in Ihrem Mandanten zu aktivieren.
  • Der Mandantenadministrator hat eine Policy für den Fusion Applications-Administrator erstellt, um Vaults und Schlüssel zu lesen und sie mit Fusion Applications-Umgebungen zu verknüpfen.
Vom Kunden verwalteten Schlüssel während der Umgebungserstellung hinzufügen

Diese Prozedur umfasst nur die Schritte zum Aktivieren des vom Kunden verwalteten Schlüssels. Eine vollständige Prozedur zum Erstellen einer Umgebung finden Sie unter Aufgaben der Umgebungsverwaltung.

Gehen Sie auf der Seite zum Erstellen der Umgebung wie folgt vor:

  1. Wählen Sie Erweiterte Optionen anzeigen.
  2. Wählen Sie das Register Verschlüsselung .

  3. Wählen Sie Vom Kunden verwalteter Schlüssel (empfohlen) aus.

    Ablauf zur Umgebungserstellung, wobei die Option "Vom Kunden verwalteter Schlüssel" hervorgehoben ist

    Wenn diese Option nicht angezeigt wird, wurde das Abonnement nicht zur Umgebungsfamilie hinzugefügt.

  4. Wählen Sie den Vault aus. Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, müssen Sie auf Compartment ändern klicken und das entsprechende Compartment auswählen.
  5. Wählen Sie den Schlüssel aus. Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, müssen Sie auf Compartment ändern klicken und das entsprechende Compartment auswählen. Nur AES-256-Bit-Schlüssel werden angezeigt.

Nachdem Sie alle Schritte zum Einrichten der Umgebung ausgeführt haben, beginnt der Provisioning-Prozess. Durch Hinzufügen des vom Kunden verwalteten Schlüssels wird die Dauer des Provisioning-Prozesses verlängert. Während der Aktivierung des Schlüssels wird eine Meldung angezeigt, dass die Umgebung nicht verfügbar ist.

Vom Kunden verwaltete Schlüssel zu einer vorhandenen Umgebung hinzufügen und Aktualisierung planen, um die Verschlüsselungsverwaltung zu wechseln
Wichtig

  • Wenn Sie einen vom Kunden verwalteten Schlüssel in einer vorhandenen Umgebung aktivieren, wird die Verschlüsselung nicht sofort durchgeführt. Die Option wird während einer geplanten Aktualisierung aktiviert, die während des nächsten geplanten Wartungszyklus oder zu einem von zwei anderen von Oracle bereitgestellten Zeitpunkt erfolgen kann. Die beiden alternativen Zeiten für Ihre Umgebung werden in der OCI-Konsole angezeigt, wenn Sie das Dialogfeld Verschlüsselung bearbeiten öffnen, um das Update anzufordern. Beachten Sie, dass in der Liste der angezeigten Zeitfenster für die Planung der Aktualisierung das reguläre Wartungsfenster der letzte Eintrag in der Auswahlliste ist. Weitere Informationen finden Sie unter So aktivieren Sie einen vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung in diesem Thema.

  • Wenn Sie vom Kunden verwaltete Schlüssel während einer der beiden von Oracle zur Aktivierung dieser Option bereitgestellten alternativen Zeiten aktivieren, können Sie dieses Update in der OCI-Konsole neu planen oder abbrechen, ohne Oracle Support zu kontaktieren, solange das Update den Status "Geplant" aufweist. Wenn die Aktualisierung in Bearbeitung oder abgeschlossen ist, können Sie die Aktualisierung nicht abbrechen oder rückgängig machen.

    Wenn Sie bei der nächsten geplanten Wartung vom Kunden verwaltete Schlüssel aktivieren und dann das Verschlüsselungsupdate neu planen oder abbrechen müssen, müssen Sie sich an Oracle Support wenden, um den Vorgang abzubrechen oder neu zu planen.

  • Wenn Sie vom Kunden verwaltete Schlüssel außerhalb einer regelmäßig geplanten Wartung aktivieren, stellen Sie sicher, dass die Zeit, die Sie für das Update auswählen, nicht mit anderen wichtigen Umgebungsaktivitäten wie einem Aktualisierungsvorgang in Konflikt steht. Bei Aktualisierungsvorgängen bedeutet dies, dass weder die Quell- noch die Zielumgebung für vom Kunden verwaltete Schlüssel aktualisiert werden können, während die Aktualisierung stattfindet.
  • Bis zum Update zur Aktivierung von vom Kunden verwalteten Schlüsseln wird die Umgebung weiterhin mit dem von Oracle verwalteten Schlüssel verschlüsselt.

So aktivieren Sie einen vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung:

  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home der Konsole die Option Fusion-Anwendungen aus. Suchen Sie auf der Seite Überblick die Umgebungsfamilie für die Umgebung, und wählen Sie dann den Umgebungsnamen aus.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus. Die Registerkarte Verschlüsselung wird angezeigt.
  3. Standardmäßig ist der Typ "Von Oracle verwaltet" ausgewählt. Wählen Sie Verschlüsselung bearbeiten aus, um den Vault und Schlüssel hinzuzufügen.

    Wenn die Bearbeitungsoption nicht angezeigt wird, haben Sie entweder die entsprechenden Optionen nicht hinzugefügt oder die Umgebung wird aktualisiert.

  4. Wählen Sie Vom Kunden verwalteter Schlüssel aus.

    Hinzufügen eines vom Kunden verwalteten Schlüssels zu einer vorhandenen Umgebung, wobei die Option "Vom Kunden verwalteter Schlüssel" hervorgehoben ist
  5. Wählen Sie den Vault aus. Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie Compartment ändern aus, und wählen Sie das entsprechende Compartment aus. Wenn Sie Disaster Recovery (DR) verwenden, müssen Sie einen Vault auswählen, der die Replikation unterstützt. Alle privaten Vaults unterstützen die Replikation. Informationen dazu, wie Sie bestimmen, ob ein virtueller Vault die Replikation unterstützt, finden Sie unter Vaults und Schlüssel replizieren.
  6. Wählen Sie den Master-Verschlüsselungsschlüssel aus. Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie Compartment ändern aus, und wählen Sie das entsprechende Compartment aus. Nur AES-256-Bit-Schlüssel werden angezeigt.

  7. Wählen Sie im Abschnitt Verschlüsselungsupdateplan das Zeitfenster aus, um die Zeit anzugeben, zu der das Update der Verschlüsselungsverwaltung beginnen soll. Je nach Zeitpunkt des nächsten geplanten Wartungslaufs für die Umgebung werden bis zu drei Datumsangaben angezeigt.

    Beachten Sie, dass eines der Datumsangaben in der Auswahlliste das Datum der nächsten geplanten Wartung ist. Wenn Sie das Datum der nächsten geplanten Wartung auswählen, wird im Hinweistext die Meldung "Das oben ausgewählte Datum ist das nächste geplante Wartungsdatum" angezeigt.
    Ein Bild der OCI-Konsole mit einem Benutzer, der ein Datum für den Wechsel zu vom Kunden verwalteten Schlüsseln auswählt.

    Der Hinweistext für das nächste geplante Wartungsdatum wird wie in der folgenden Abbildung angezeigt:

    Bild des Hinweistextes, der das Datum der nächsten geplanten Wartung anzeigt.

    Hinweis:

    • Standardmäßig wird im Zeitfenster die Option für das nächste geplante Wartungsupdate angezeigt. Wenn Sie diese Option verwenden und das Update abbrechen oder neu planen müssen, um vom Kunden verwaltete Schlüssel zu aktivieren, müssen Sie sich an Oracle Support wenden.
    • Oracle stellt zwei Zeitfenster zur Verfügung, die nicht der Zeitpunkt des nächsten geplanten Wartungsupdates sind. Wenn Sie eines dieser beiden Fenster auswählen, können Sie das Update mit der OCI-Konsole abbrechen oder neu planen, um vom Kunden verwaltete Schlüssel zu aktivieren.
  8. Wählen Sie Weiterleiten aus, um das Update anzufordern, das vom Kunden verwaltete Schlüssel in Ihrer Umgebung ermöglicht.

In der Meldung unten im Fenster wird angezeigt, wann die Verschlüsselung planmäßig stattfinden soll. Die Verschlüsselung wird während des angegebenen Zeitfensters ausgeführt. Bis zur Wartung bleibt die Umgebung mit dem von Oracle verwalteten Schlüssel verschlüsselt.

Hinweis

Wenn Sie die Aktualisierung für vom Kunden verwaltete Schlüssel neu planen oder abbrechen müssen, lesen Sie die Anweisungen unter So planen Sie eine Aktualisierung neu oder stornieren, um vom Kunden verwaltete Schlüssel zu aktivieren.

Aktualisierung zur Aktivierung von vom Kunden verwalteten Schlüsseln neu planen oder abbrechen

Sie können eine Aktualisierung neu planen oder abbrechen, um zu vom Kunden verwalteten Schlüsseln zu wechseln, solange der Aktualisierungsstatus "Geplant" lautet. Wie Sie dies tun, hängt davon ab, ob das Update während der regulären Wartung oder außerhalb des regulären Wartungsfensters geplant ist.

  • Während der regulären Wartung geplante Updates: Wenn Sie während einer regelmäßig geplanten Wartung eine Anforderung zum Aktivieren von vom Kunden verwalteten Schlüsseln weitergeleitet haben, wenden Sie sich an Oracle Support, um die Aktivierung von vom Kunden verwalteten Schlüsseln abzubrechen oder neu zu planen.
  • Updates, die außerhalb eines Wartungsfensters geplant wurden: Wenn Sie ein Zeitfenster für die Aktivierung von vom Kunden verwalteten Schlüsseln angegeben haben, die nicht während der regelmäßig geplanten Wartung vorgenommen wurden, können Sie das Update selbst in der OCI-Konsole abbrechen oder neu planen. Verwenden Sie dazu die Anweisungen in diesem Thema.
Wichtig

Um eine Aktualisierung neu zu planen oder abzubrechen, um zu vom Kunden verwalteten Schlüsseln zu wechseln, muss der Aktualisierungsstatus "geplant" lauten. Wenn die Aktualisierung in Bearbeitung ist oder abgeschlossen ist, kann die Aktualisierung nicht abgebrochen oder rückgängig gemacht werden.
So planen oder stornieren Sie eine Aktualisierung, um vom Kunden verwaltete Schlüssel zu aktivieren
Hinweis

Diese Anweisungen gelten nur für Updates, die außerhalb des regulären Wartungsfensters geplant sind. Der Status für die Aktualisierung muss "Geplant" lauten, damit diese Anweisungen verwendet werden können. Wenn Ihr Update zur Aktivierung von vom Kunden verwalteten Schlüsseln während der regulären Wartung geplant ist, wenden Sie sich an Oracle Support.
  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home der Konsole die Option Fusion-Anwendungen aus. Suchen Sie auf der Seite Überblick die Umgebungsfamilie für die Umgebung, und wählen Sie dann den Umgebungsnamen aus.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus. Die Registerkarte Verschlüsselung wird angezeigt.
  3. Suchen Sie in der Tabelle der Verschlüsselungsoptionen die Zeile "Vom Kunden verwaltet", wählen Sie das Aktionsmenü Menü "Aktionen" aus, und wählen Sie Neu planen oder Abbrechen aus.

  4. Nur neu planen: Wenn Sie die Aktualisierung für vom Kunden verwaltete Schlüssel neu planen, wählen Sie im Dropdown-Menü ein neues Datum aus, und wählen Sie Weiterleiten aus.

    Hinweis

    Wenn Sie vom Kunden verwaltete Schlüssel außerhalb einer regelmäßig geplanten Wartung aktivieren, stellen Sie sicher, dass die für die Aktualisierung ausgewählte Zeit nicht in Konflikt mit anderen wichtigen Umgebungsaktivitäten steht, wie einem Aktualisierungsvorgang. Bei Aktualisierungsvorgängen bedeutet dies, dass weder die Quell- noch die Zielumgebung für vom Kunden verwaltete Schlüssel aktualisiert werden können, während die Aktualisierung stattfindet.

    Nur abbrechen: Wenn Sie die Aktualisierung abbrechen, geben Sie den Umgebungsnamen ein, um zu bestätigen, dass Sie die Aktualisierung abbrechen möchten, und wählen Sie Geplanten Schlüssel abbrechen aus.

Schlüsselstatus und -details anzeigen

So zeigen Sie Schlüsselstatus und -details an:

  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home unter Meine Anwendungen die Option Fusion-Anwendungen und dann den Umgebungsnamen aus. Die Seite mit den Umgebungsdetails wird angezeigt.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus. Die Registerkarte Verschlüsselung wird angezeigt.

Wenn der Schlüssel hinzugefügt, aber der Wartungszyklus noch nicht ausgeführt wurde, wird der Schlüsselstatus als Geplant angezeigt.

Sie können die Vault- und Key-Namen auswählen, um zu diesen Ressourcen zu navigieren.

Ändern und Drehen von Schlüsseln

Sie können den Master-Encyrptionsschlüssel ändern und Schlüsselversionen nach Bedarf rotieren.

So ändern Sie einen vom Kunden verwalteten Masterverschlüsselungsschlüssel
  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home der Konsole die Option Fusion-Anwendungen aus. Suchen Sie auf der Seite Überblick die Umgebungsfamilie für die Umgebung, und wählen Sie dann den Umgebungsnamen aus.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus.
  3. Wählen Sie das Register Verschlüsselung.
  4. Wählen Sie Verschlüsselungsschlüssel ändern aus.

  5. Wählen Sie im Bereich Verschlüsselungsschlüssel ändern einen Vault aus. Wenn Sie Disaster Recovery (DR) verwenden, müssen Sie einen Vault auswählen, der die Replikation unterstützt. Alle privaten Vaults unterstützen die Replikation. Informationen dazu, wie Sie herausfinden, ob ein virtueller Vault die Replikation unterstützt, finden Sie unter Vaults und Schlüssel replizieren.

    Wenn sich der ausgewählte Vault in einem anderen Compartment befindet, müssen Sie möglicherweise IAM-Policys für den Vault-Zugriff erstellen. Siehe 3. Details finden Sie in der System-Policy zum Aktivieren von vom Kunden verwalteten Schlüsseln in Ihrem Mandanten.

  6. Wählen Sie einen Master-Verschlüsselungsschlüssel aus.
  7. Wählen Sie Weiterleiten aus, und bestätigen Sie die Schlüsseländerung.

Sie rotieren Schlüssel basierend auf den Sicherheitspraktiken Ihres Unternehmens. Sie können einen CLI-Job so einrichten, dass die Schlüssel automatisch rotiert werden, oder der angegebene Sicherheitsadministrator kann sie manuell über die Konsolen-UI des Vault-Service rotieren. Weitere Informationen zu Schlüsselversionen finden Sie unter Konzepte der Schlüssel- und Secret-Verwaltung.

Bevor Sie einen Schlüssel rotieren können, müssen die folgenden Bedingungen erfüllt sein:

  • Der Lebenszyklusstatus der Umgebung muss Aktiv sein, und der Zustand muss Verfügbar lauten.
  • Sie dürfen das Limit der für den Vault verfügbaren Schlüsselversionen nicht erreicht haben. Bei Produktion-zu-Test-(P2T-)Aktualisierungen, bei denen die Testumgebung vom Kunden verwaltete Schlüssel verwendet, werden auch Schlüsselversionen konsumiert. Bei häufigen P2T-Aktualisierungen sinkt daher auch die Anzahl der verbleibenden Schlüsselversionen in einem Vault.

Was bei der Schlüsselrotation passiert:

  • Es gibt keine Ausfallzeit, und der Zustand der Umgebung wird weiterhin als Verfügbar angezeigt.
  • Auf der Seite mit den Umgebungsdetails wird eine Bannermeldung angezeigt, dass die Rotation ausgeführt wird.
  • Als Schlüsselstatus wird Rotation wird ausgeführt angezeigt.

So rotieren Sie einen Schlüssel

Befolgen Sie die Prozedur Rotieren eines Vault-Schlüssels in der Vault-Dokumentation.

So prüfen Sie die Schlüsselrotation

Nachdem Sie einen Schlüssel rotiert haben, können Sie die Rotation auf der Seite mit den Umgebungsdetails prüfen:

  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home unter Meine Anwendungen die Option Fusion-Anwendungen und dann den Umgebungsnamen aus. Die Seite mit den Umgebungsdetails wird angezeigt.
  2. Wählen Sie unter Ressourcen die Option Sicherheit aus. Die Registerkarte Verschlüsselung wird angezeigt.
  3. Wählen Sie die Schlüsselversion aus, um zu prüfen, ob sie der Version im Vault-Service entspricht.

Schlüssel deaktivieren und aktivieren

Wenn Sie Fusion Applications beenden und auf die Fusion-Datenbank zugreifen möchten, kann der Sicherheitsadministrator den Schlüssel deaktivieren. So werden alle Benutzer sofort vom System abgemeldet.

Warnung

Wenn Sie einen Schlüssel deaktivieren, gehen möglicherweise Daten verloren. Wenn der Schlüssel deaktiviert ist, versucht Fusion Applications Cloud Service selbstständig, die Umgebung zu beenden, um zu verhindern, dass es bei der Verwendung der Umgebung zu Fehlern kommt. Sobald der Schlüssel deaktiviert wurde, kann die Umgebung jedoch erst wieder neu gestartet werden, nachdem der Schlüssel wieder aktiviert wurde. Solange der Schlüssel deaktiviert ist, kann kein Fusion Applications-Cloud-Service auf zuvor gespeicherte Kundendaten zugreifen.
Was bei der Deaktivierung eines Schlüssels passiert:
  • Der Zustand der Umgebung wird auf Nicht verfügbar gesetzt. Der Lebenszyklusstatus wird auf Deaktiviert gesetzt. Alle Benutzer werden von der Anwendung abgemeldet.
  • Auf der Seite mit den Umgebungsdetails wird eine Bannermeldung angezeigt, dass die Verschlüsselung deaktiviert wurde.
  • Als Schlüsselstatus wird Deaktiviert angezeigt.
Hinweis

Wenn Sie die Deaktivierung eines Schlüssels initiieren, werden mehrere Prozesse ausgeführt, um die Komponenten der Umgebung herunterzufahren (z.B. Datenbankservices, Middle Tier, Load Balancer). Der Vorgang kann bis zu einer Stunde dauern. Versuchen Sie nicht, einen Schlüssel erneut zu aktivieren, bevor diese Prozesse abgeschlossen sind.

Wenn Sie die Aktivierung eines Schlüssels initiieren, können die Prozesse, mit denen das System wieder hochgefahren wird, bis zu eine Stunde dauern.

Schlüssel löschen

Zu den Berechtigungen der Sicherheitsadministratorrolle gehört nicht das Löschen von Schlüsseln und Vaults. Das Löschen von Schlüsseln und Vaults ist ein äußerst destruktiver Vorgang. Er sollte vom Mandantenadministrator nur in seltenen Fällen ausgeführt werden.

Wenn ein Mandantenadministrator einen Schlüssel löscht, können alle Daten oder OCI-Ressourcen (einschließlich der Fusion Applications-Datenbank), die mit diesem Schlüssel verschlüsselt sind, ab diesem Zeitpunkt nicht mehr verwendet oder abgerufen werden.

Wir empfehlen dringend, einen Schlüssel zu sichern, bevor Sie ihn zum Löschen einplanen. Mit einem Backup können Sie den Schlüssel und Vault wiederherstellen, wenn Sie den Schlüssel später wieder verwenden möchten.

Weitere Informationen finden Sie unter Vault-Schlüssel löschen.