Masterverschlüsselungsschlüssel in Autonomous Database on Dedicated Exadata Infrastructure

Standardmäßig erstellt und verwaltet Autonomous Database on Dedicated Exadata Infrastructure alle Masterverschlüsselungsschlüssel zum Schutz Ihrer Daten und speichert diese in einem sicheren PKCS 12-Keystore auf denselben Exadata-Systemen, auf denen die Datenbanken gespeichert sind. Diese werden als von Oracle verwaltete Verschlüsselungsschlüssel bezeichnet.

Mit von Oracle verwalteten Schlüsseln stellt Oracle den vollständigen Lebenszyklus der Schlüssel als von Oracle verwaltete Metadaten sicher. Bei Exadata Cloud@Customer-Deployments ist der Zugriff auf Backups eine gemeinsame Verantwortung, und der Kunde muss sicherstellen, dass die Datenbankumgebung und die Zugänglichkeit von Backupdateien für Oracle-APIs mit internen Lebenszyklusvorgängen für das Schlüsselmanagement funktionieren.

Wenn die Sicherheits-Policys Ihres Unternehmens dies erfordern, kann Autonomous Database stattdessen die Schlüssel verwenden, die Sie mit Oracle Key Store erstellen und verwalten. Bei Oracle Public Cloud-Deployments können Sie auch den Oracle Cloud Infrastructure Vault-Service verwenden, um Schlüssel zu erstellen und zu verwalten. Kunden mit gesetzlicher Compliance zum Speichern von Schlüsseln außerhalb von Oracle Cloud oder anderen Cloud-Standorten von Drittanbietern können einen externen Schlüsselverwaltungsservice (externes KMS) verwenden.

Wenn Sie einen vom Kunden verwalteten Schlüssel mit dem OCI Vault-Service erstellen, können Sie auch Ihr eigenes Schlüsselmaterial (Bring Your Own Key oder BYOK) importieren, anstatt dass der Vault-Service das Schlüsselmaterial intern generiert.

Achtung:

Da in Oracle Key Vault (OKV) gespeicherte vom Kunden verwaltete Schlüssel außerhalb des Datenbankhosts liegen, kann auf die Daten nicht zugegriffen werden, wenn der OKV aufgrund einer Konfigurationsänderung oder Unterbrechung für die Datenbank, die seine Schlüssel verwendet, nicht zugänglich ist.

Unabhängig davon, ob Sie von Oracle verwaltete oder vom Kunden verwaltete Schlüssel verwenden, können Sie darüber hinaus die in vorhandenen Datenbanken verwendeten Schlüssel bei Bedarf rotieren, um die Sicherheits-Policys Ihres Unternehmens zu erfüllen. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel rotieren.

Bevor Sie beginnen: Best Practices zur Compartment-Hierarchie

Oracle empfiehlt, dass Sie wie folgt eine Compartment-Hierarchie für das Autonomous Database-Deployment auf einer dedizierten Infrastruktur erstellen:
  • Ein übergeordnetes Compartment für das gesamte Deployment
  • Untergeordnete Compartments für jede der verschiedenen Ressourcenarten:
    • Autonome Datenbanken
    • Autonome Containerdatenbanken und Infrastrukturressourcen (Exadata-Infrastrukturen und autonome Exadata-VM-Cluster)
    • VCN (virtuelles Cloud-Netzwerk) und die zugehörigen Subnetze
    • Vaults mit den vom Kunden verwalteten Schlüsseln

Diese Best Practice ist besonders wichtig, wenn Sie vom Kunden verwaltete Schlüssel verwenden, da die Policy-Anweisung, mit der Sie Autonomous Database-Zugriff auf Ihre Schlüssel erteilen, einer Policy hinzugefügt werden muss, die höher in der Compartment-Hierarchie steht als das Compartment, das Ihre Vaults und Schlüssel enthält.

Vom Kunden verwaltete Schlüssel im Vault-Service verwenden

Bevor Sie im Vault-Service gespeicherte vom Kunden verwaltete Schlüssel verwenden können, müssen Sie eine Reihe vorbereitender Konfigurationsaufgaben ausführen, um einen Vault und Masterverschlüsselungsschlüssel zu erstellen und diesen Vault und seine Schlüssel dann in Autonomous Database verfügbar zu machen, insbesondere:

  1. Erstellen Sie einen Vault im Vault-Service, indem Sie die Anweisungen unter So erstellen Sie einen neuen Vault in der Oracle Cloud Infrastructure-Dokumentation befolgen. Oracle empfiehlt, dass Sie beim Befolgen dieser Anweisungen den Vault in einem Compartment erstellen, das speziell für die Vaults erstellt wurde, die vom Kunden verwaltete Schlüssel enthalten, wie unter Best Practice zur Compartment-Hierarchie beschrieben.
    Nachdem Sie den Vault erstellt haben, können Sie mindestens einen Master-Verschlüsselungsschlüssel im Vault erstellen, indem Sie die Anweisungen unter So erstellen Sie einen neuen Master-Verschlüsselungsschlüssel in der Oracle Cloud Infrastructure-Dokumentation befolgen. Wählen Sie beim Befolgen dieser Anweisungen die folgenden Optionen aus:
    • Erstellen in Compartment: Oracle empfiehlt, dass Sie den Master-Verschlüsselungsschlüssel in demselben Compartment wie den Vault erstellen, d.h. das Compartment, das speziell für die Vaults erstellt wurde, die vom Kunden verwaltete Schlüssel enthalten.
    • Schutzmodus: Wählen Sie einen geeigneten Wert in der Dropdown-Liste aus:
      • HSM zur Erstellung eines Masterverschlüsselungsschlüssels, der in einem Hardware-Sicherheitsmodul (HSM) gespeichert und verarbeitet wird.
      • Software, um einen Masterverschlüsselungsschlüssel zu erstellen, der in einem Software-Dateisystem im Vault-Service gespeichert wird. Softwaregeschützte Schlüssel werden mit einem HSM-basierten Root-Schlüssel im Ruhezustand geschützt. Sie können Softwareschlüssel in andere Schlüsselverwaltungsgeräte oder eine andere OCI-Cloud-Region exportieren. Im Gegensatz zu HSM-Schlüsseln sind softwaregeschützte Schlüssel kostenlos.
    • Algorithmus für Schlüsselform: AES
    • Schlüsselformlänge: 256 Bit

    Hinweis:

    Sie können auch einen Verschlüsselungsschlüssel zu einem vorhandenen Vault hinzufügen.
  2. Verwenden Sie den Networking-Service zum Erstellen eines Servicegateways, einer Routingregel und einer Egress-Sicherheitsregel für das VCN (Virtual Cloud Network) und die Subnetze, in denen sich Ihre Autonomous Database-Ressourcen befinden.
  3. Verwenden Sie den IAM-Service, um eine dynamische Gruppe zu erstellen, die Ihre Autonomous Database-Ressourcen identifiziert, sowie eine Policy-Anweisung, die dieser dynamischen Gruppe Zugriff auf die von Ihnen erstellten Masterverschlüsselungsschlüssel erteilt.

Tipp:

Als Alternative können Sie Lab 17: Customer Controlled Database Encryption Keys in Oracle Autonomous Database Dedicated for Security Administrators ausführen, um diese Anweisungen auszuprobieren.

Nachdem Sie den vom Kunden verwalteten Schlüssel mit den oben genannten Schritten konfiguriert haben, können Sie ihn beim Provisioning einer autonomen Containerdatenbank (ACD) oder durch Rotieren des vorhandenen Verschlüsselungsschlüssels auf der Seite "Details" von ACD oder Autonomous Database konfigurieren. In dieser ACD bereitgestellte autonome Datenbanken erben diese Verschlüsselungsschlüssel automatisch. Weitere Informationen finden Sie unter Autonome Containerdatenbank erstellen oder Verschlüsselungsschlüssel einer autonomen Containerdatenbank rotieren.

Wenn Sie regionsübergreifendes Autonomous Data Guard aktivieren möchten, müssen Sie zuerst den OCI-Vault in der Region replizieren, in der Sie die Standbydatenbank hinzufügen möchten. Weitere Informationen finden Sie unter Vaults und Schlüssel replizieren.

Hinweis:

Virtuelle Vaults, die vor der Einführung des regionsübergreifenden Vault-Replikationsfeatures erstellt wurden, können nicht regionsübergreifend repliziert werden. Erstellen Sie einen neuen Vault und neue Schlüssel, wenn Sie einen Vault haben, den Sie in einer anderen Region replizieren müssen, und die Replikation für diesen Vault nicht unterstützt wird. Alle privaten Vaults unterstützen jedoch die regionsübergreifende Replikation. Weitere Informationen finden Sie unter Regionsübergreifende Virtual-Vault-Replikation.

Bring Your Own Keys (BYOK) im Vault-Service verwenden

Gilt nur für: Oracle Public Cloud (Anwendbar)

Wenn Sie einen vom Kunden verwalteten Schlüssel mit dem OCI Vault-Service erstellen, können Sie auch Ihr eigenes Schlüsselmaterial (Bring Your Own Key oder BYOK) importieren, anstatt dass der Vault-Service das Schlüsselmaterial intern generiert.

Bevor Sie Ihre eigenen Schlüssel in den Vault-Service bringen können, müssen Sie mehrere vorbereitende Konfigurationsaufgaben ausführen, um einen Vault zu erstellen und den Masterverschlüsselungsschlüssel zu importieren und diesen Vault und seine Schlüssel dann in Autonomous Database verfügbar zu machen, insbesondere:
  1. Erstellen Sie einen Vault im Vault-Service, indem Sie die Anweisungen unter So erstellen Sie einen neuen Vault in der Oracle Cloud Infrastructure-Dokumentation befolgen. Oracle empfiehlt, dass Sie beim Befolgen dieser Anweisungen den Vault in einem Compartment erstellen, das speziell für die Vaults erstellt wurde, die vom Kunden verwaltete Schlüssel enthalten, wie unter Best Practice zur Compartment-Hierarchie beschrieben.
    Nachdem Sie den Vault erstellt haben, können Sie mindestens einen Master-Verschlüsselungsschlüssel im Vault erstellen, indem Sie die Anweisungen unter So erstellen Sie einen neuen Master-Verschlüsselungsschlüssel in der Oracle Cloud Infrastructure-Dokumentation befolgen. Sie können auch einen Kundenverschlüsselungsschlüssel in einen vorhandenen Vault importieren. Wählen Sie beim Befolgen dieser Anweisungen die folgenden Optionen aus:
    • Erstellen in Compartment: Oracle empfiehlt, dass Sie den Master-Verschlüsselungsschlüssel in demselben Compartment wie den Vault erstellen, d.h. das Compartment, das speziell für die Vaults erstellt wurde, die vom Kunden verwaltete Schlüssel enthalten.
    • Schutzmodus: Wählen Sie einen geeigneten Wert in der Dropdown-Liste aus:
      • HSM zur Erstellung eines Masterverschlüsselungsschlüssels, der in einem Hardware-Sicherheitsmodul (HSM) gespeichert und verarbeitet wird.
      • Software, um einen Masterverschlüsselungsschlüssel zu erstellen, der in einem Software-Dateisystem im Vault-Service gespeichert wird. Softwaregeschützte Schlüssel werden mit einem HSM-basierten Root-Schlüssel im Ruhezustand geschützt. Sie können Softwareschlüssel in andere Schlüsselverwaltungsgeräte oder eine andere OCI-Cloud-Region exportieren. Im Gegensatz zu HSM-Schlüsseln sind softwaregeschützte Schlüssel kostenlos.
    • Algorithmus für Schlüsselform: AES
    • Schlüsselformlänge: 256 Bit
    • Externen Schlüssel importieren: Um einen Kundenverschlüsselungsschlüssel (BYOK) zu verwenden, wählen Sie Externen Schlüssel importieren aus, und geben Sie die folgenden Details an:
      • Wrapping-Schlüsselinformationen. Dieser Abschnitt ist schreibgeschützt, Sie können jedoch die Details des Public Wrapping-Schlüssels anzeigen.
      • Wrapping-Algorithmus. Wählen Sie einen Umbruchalgorithmus aus der Dropdown-Liste aus.
      • Datenquelle für externen Schlüssel. Laden Sie die Datei hoch, die das umgebrochene RSA-Schlüsselmaterial enthält.

    Hinweis:

    Sie können das Schlüsselmaterial entweder als neue externe Schlüsselversion importieren oder auf den Namen eines vorhandenen Masterschlüsselungsschlüssels klicken und es in eine neue Schlüsselversion rotieren.

    Weitere Informationen finden Sie unter Schlüsselmaterial als externe Schlüsselversion importieren.

  2. Verwenden Sie den Networking-Service zum Erstellen eines Servicegateways, einer Routingregel und einer Egress-Sicherheitsregel für das VCN (Virtual Cloud Network) und die Subnetze, in denen sich Ihre Autonomous Database-Ressourcen befinden.
  3. Verwenden Sie den IAM-Service, um eine dynamische Gruppe zu erstellen, die Ihre Autonomous Database-Ressourcen identifiziert, sowie eine Policy-Anweisung, die dieser dynamischen Gruppe Zugriff auf die von Ihnen erstellten Masterverschlüsselungsschlüssel erteilt.

Nachdem Sie das vom Kunden verwaltete BYOK mit den obigen Schritten konfiguriert haben, können Sie es verwenden, indem Sie den vorhandenen Verschlüsselungsschlüssel auf der Seite Details der autonomen Containerdatenbank oder von Autonomous Database rotieren. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel einer autonomen Containerdatenbank rotieren.

Externe Schlüssel aus OCI External Key Management Service (OCI EKMS) verwenden

Gilt nur für: Anwendbar Oracle Public Cloud

Bevor Sie externe Schlüssel aus OCI EKMS verwenden können, müssen Sie mehrere vorbereitende Konfigurationsaufgaben ausführen, um einen Vault zu erstellen und diesen Vault und seine Schlüssel dann in Autonomous Database verfügbar zu machen.

In OCI EKMS können Sie Masterverschlüsselungsschlüssel (als externe Schlüssel) auf einem außerhalb von OCI gehosteten Schlüsselverwaltungssystem eines Drittanbieters speichern und steuern. Sie können dies für eine verbesserte Datensicherheit oder bei Einhaltung gesetzlicher Vorschriften zum Speichern von Schlüsseln außerhalb von Oracle Public Cloud oder anderen Cloud-Standorten von Drittanbietern verwenden. Da sich die tatsächlichen Schlüssel im Schlüsselverwaltungssystem eines Drittanbieters befinden, erstellen Sie nur Schlüsselreferenzen in OCI.
  1. Sie können einen Vault erstellen und verwalten, der Schlüsselreferenzen in OCI EKMS enthält. Sie können die Schlüssel aus OCI EKMS mit Autonomous Database on Dedicated Exadata Infrastructure verwenden, die in Oracle Public Cloud bereitgestellt ist. Weitere Informationen finden Sie unter Vault in OCI EKMS erstellen. Wählen Sie beim Befolgen dieser Anweisungen die folgenden Optionen aus:
    • In Compartment erstellen: Wählen Sie ein Compartment für den OCI EKMS-Vault aus.
    • IDCS-Accountnamens-URL: Geben Sie die Authentifizierungs-URL ein, mit der Sie auf den KMS-Service zugreifen. Die Konsole leitet zu einem Anmeldebildschirm um.
    • Schlüsselverwaltungsanbieter: Wählen Sie einen Drittanbieter aus, der den Schlüsselverwaltungsservice bereitstellt. Derzeit unterstützt OCI KMS nur Thales als externen Schlüsselverwaltungsanbieter.
    • Clientanwendungs-ID: Geben Sie die OCI-KMS-Client-ID ein, die generiert wird, wenn Sie die vertrauliche Clientanwendung in der Oracle-Identitätsdomain registrieren.
    • Clientanwendungs-Secret: Geben Sie die Secret-ID der vertraulichen Clientanwendung ein, die in der Oracle-Identitätsdomain registriert ist.
    • Privater Endpunkt in Compartment: Wählen Sie die GUID des privaten Endpunkts der externen Schlüsselverwaltung aus.
    • Externe Vault-URL: Geben Sie die Vault-URL ein, die beim Erstellen des Vaults in der externen Schlüsselverwaltung generiert wurde.
  2. Verwenden Sie den Networking-Service zum Erstellen eines Servicegateways, einer Routingregel und einer Egress-Sicherheitsregel für das VCN (Virtual Cloud Network) und die Subnetze, in denen sich Ihre Autonomous Database-Ressourcen befinden.
  3. Verwenden Sie den IAM-Service, um eine dynamische Gruppe zu erstellen, die Ihre Autonomous Database-Ressourcen identifiziert, sowie eine Policy-Anweisung, die dieser dynamischen Gruppe Zugriff auf die von Ihnen erstellten Masterverschlüsselungsschlüssel erteilt.

Servicegateway, Routingregel und Egress-Sicherheitsregel erstellen

Das Oracle Cloud Infrastructure (OCI) Service Gateway bietet privaten, sicheren Zugriff auf mehrere Oracle Cloud-Services gleichzeitig über ein einzelnes Gateway innerhalb eines virtuellen Cloud-Netzwerks (VCN) oder On-Premise-Netzwerks, ohne das Internet zu durchlaufen.

Erstellen Sie ein Servicegateway im VCN (virtuellen Cloud-Netzwerk), in dem sich Ihre Autonomous Database-Ressourcen befinden, indem Sie die Anweisungen unter Aufgabe 1: Servicegateway erstellen in der Oracle Cloud Infrastructure-Dokumentation befolgen.

Nachdem Sie das Servicegateway erstellt haben, fügen Sie eine Routingregel und eine Egress-Sicherheitsregel zu jedem Subnetz (im VCN) hinzu, in dem sich Autonomous Database-Ressourcen befinden. Dadurch können diese Ressourcen über das Gateway auf den Vault-Service zugreifen:
  1. Gehen Sie zur Seite Subnetzdetails für das Subnetz.
  2. Klicken Sie auf der Registerkarte Informationen zum Subnetz auf den Namen der Routentabelle des Subnetzes, um die Seite Routentabellendetails anzuzeigen.
  3. Prüfen Sie in der Tabelle der vorhandenen Routingregeln, ob bereits eine Regel mit den folgenden Eigenschaften vorhanden ist:
    • Ziel: Alle IAD-Services in Oracle Services Network
    • Zieltyp: Servicegateway
    • Ziel: Der Name des Servicegateways, das Sie gerade im VCN erstellt haben

    Wenn keine solche Regel vorhanden ist, klicken Sie auf Routenregeln hinzufügen, und fügen Sie eine Routingregel mit diesen Eigenschaften hinzu.

  4. Zurück zur Seite Subnetzdetails für das Subnetz.
  5. Klicken Sie in der Tabelle Sicherheitslisten des Subnetzes auf den Namen der Sicherheitsliste des Subnetzes, um die Seite Sicherheitslistendetails anzuzeigen.
  6. Klicken Sie im Seitenmenü unter Ressourcen auf Egress-Regeln.
  7. Prüfen Sie in der Tabelle der vorhandenen Ausgangsregeln, ob bereits eine Regel mit den folgenden Eigenschaften vorhanden ist:
    • zustandslos: Nein
    • Ziel: Alle IAD-Services in Oracle Services Network
    • IP-Protokoll: TCP
    • Quellportbereich: Alle
    • Zielportbereich: 443

    Wenn keine derartige Regel vorhanden ist, klicken Sie auf Egress-Regeln hinzufügen, und fügen Sie eine Egress-Regel mit diesen Eigenschaften hinzu.

Dynamische Gruppe und Policy-Anweisung erstellen

Um Autonomous Database-Ressourcen Zugriff auf vom Kunden verwaltete Schlüssel zu gewähren, erstellen Sie eine dynamische IAM-Gruppe, die diese Ressourcen identifiziert. Erstellen Sie dann eine IAM-Policy, die dieser dynamischen Gruppe Zugriff auf die im Vault-Service erstellten Masterverschlüsselungsschlüssel erteilt.

Beim Definieren der dynamischen Gruppe identifizieren Sie die Autonomous Database-Ressourcen, indem Sie die OCID des Compartments angeben, das Ihre Exadata-Infrastrukturressource enthält.
  1. Kopieren Sie die OCID des Compartments, das Ihre Exadata-Infrastrukturressource enthält. Sie finden diese OCID auf der Seite Compartment-Details des Compartments.
  2. Erstellen Sie eine dynamische Gruppe nach den Anweisungen unter So erstellen Sie eine dynamische Gruppe in der Oracle Cloud Infrastructure-Dokumentation. Geben Sie beim Ausführen der Anweisungen eine Übereinstimmungsregel in diesem Format ein:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    Dabei ist <compartment-ocid> die OCID des Compartments, das die autonome Exadata-VM-Clusterressource enthält.

Nachdem Sie die dynamische Gruppe erstellt haben, navigieren Sie zu einer (oder erstellen Sie eine) IAM-Policy in einem Compartment, das in der Compartment-Hierarchie über dem Compartment liegt, das Ihre Vaults und Schlüssel enthält. Fügen Sie dann eine Policy-Anweisung in diesem Format hinzu:
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
Wenn Sie einen replizierten virtuellen Vault oder replizierten virtuellen privaten Vault für das Autonomous Data Guard-Deployment verwenden, fügen Sie eine zusätzliche Policy-Anweisung in folgendem Format hinzu:
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

Dabei ist <dynamic-group> den Namen der von Ihnen erstellten dynamischen Gruppe und <vaults-and-keys-compartment> den Namen des Compartments, in dem Sie Ihre Vaults und Masterschlüsselungsschlüssel erstellt haben.

Vom Kunden verwaltete Schlüssel in Oracle Key Vault verwenden

Oracle Key Vault (OKV) ist eine sicherheitserprobte Full-Stack-Software-Appliance, mit der Sie die Verwaltung von Schlüsseln und Sicherheitsobjekten im Unternehmen zentralisieren können. Sie integrieren Ihr On-Premise-OKV-Deployment in Oracle Autonomous Database, um Ihre eigenen Masterschlüssel zu erstellen und zu verwalten.

Bevor Sie vom Kunden verwaltete Schlüssel verwenden können, die in OKV gespeichert sind, müssen Sie eine Reihe von vorbereitenden Konfigurationsaufgaben ausführen, wie unter Verwendung von Oracle Key Vault vorbereiten beschrieben.

Nachdem Sie die vorbereitenden Konfigurationsaufgaben abgeschlossen haben, können Sie die Customer Manager-Schlüssel in OKV beim Provisioning einer autonomen Containerdatenbank (ACD) verknüpfen. Alle in dieser ACD bereitgestellten Autonomous Database-Schlüssel erben diese Verschlüsselungsschlüssel automatisch. Siehe Autonome Containerdatenbank erstellen für weitere Details.

Hinweis:

Wenn Sie regionsübergreifenden Autonomous Data Guard aktivieren möchten, stellen Sie sicher, dass Sie Verbindungs-IP-Adressen für das OKV-Cluster im Keystore hinzugefügt haben.

Sie können die OKV-Endpunktgruppe auf der Seite "Details" einer ACD aktualisieren. Optional können Sie beim Provisioning der ACD oder höher auch einen OKV-Endpunktgruppennamen mit dem OKV-Keystore hinzufügen.

Um die OKV-Endpunktgruppe auf einer ACD zu aktualisieren, müssen Sie Folgendes sicherstellen:
  • Der Name der OKV-Endpunktgruppe hat Zugriff auf das entsprechende OKV-Wallet.
  • Die OKV-Endpunkte, die der ACD entsprechen, gehören zur OKV-Endpunktgruppe.
  • Die OKV-Endpunktgruppe hat Lesezugriff auf Standard-Wallet(s) der Endpunkte.
So aktualisieren Sie den Namen der OKV-Endpunktgruppe:
  • Gehen Sie zur Seite Details der ACD. Anweisungen finden Sie unter Details einer autonomen Containerdatenbank anzeigen.
  • Klicken Sie neben dem Namen der OKV-Endpunktgruppe unter Verschlüsselung auf Bearbeiten.
  • Wählen Sie einen Keystore aus der Liste, und geben Sie einen Namen für die OKV-Endpunktgruppe ein. Der Name der Endpunktgruppe muss in Großbuchstaben angegeben werden. Er kann Zahlen, Bindestriche (-) und Unterstriche (_) enthalten und mit einem Großbuchstaben beginnen.
  • Klicken Sie auf Speichern.