CMEK-Schlüsselmanagement - Workflow

Erfahren Sie mehr über die unterstützten Verwaltungsvorgänge für vom Kunden verwaltete Verschlüsselungsschlüssel.

CMEK-Schlüsselverwaltungsvorgänge

Mit der OCI-Konsole können Sie die folgenden CMEK-Verwaltungsvorgänge ausführen:

Die einzelnen Vorgänge werden in den folgenden Abschnitten ausführlich erläutert.

CMEK zuweisen

Mit der OCI-Konsole können Sie Ihrer dedizierten Umgebung eine CMEK zuweisen.

Voraussetzung:

Vorgehensweise:

  1. Melden Sie sich bei der OCI-Konsole an.

  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Datenbanken und dann NoSQL-Datenbank aus.

  3. Wählen Sie die Dropdown-Option im Feld Umgebung aus, und wählen Sie Ihre dedizierte Umgebung aus.

  4. Unter dem Feld Umgebung wird im Verschlüsselungsschlüssel der von Oracle verwaltete Schlüssel angezeigt. Wählen Sie den Link Zuweisen neben dem von Oracle verwalteten Schlüssel aus.

  5. Wählen Sie auf der Seite Masterverschlüsselungsschlüssel zuweisen den Vault in der Dropdown-Liste aus.

  6. Wählen Sie Ihren CMEK aus der Dropdown-Liste "Masterverschlüsselungsschlüssel" aus.

  7. Wählen Sie Zuweisen aus.

Abbildung: CMEK-Zuordnungsseite

Beschreibung des Bildes folgt

Beschreibung der Abbildung he_assignkey1.png

Oracle NoSQL Database Cloud Service validiert das CMEK und verwendet es dann zur Verschlüsselung von Block-Volumes und Object Storage-Schlüsseln in der ausgewählten dedizierten Umgebung. Der Status der dedizierten Umgebung ändert sich in UPDATING, bis alle Block-Volumes und Object Storage-Schlüssel verschlüsselt sind. In dieser Dauer wird in der Konsole eine Benachrichtigung mit dem Hinweis Schlüsselaktualisierung wird ausgeführt angezeigt. Beachten Sie, dass die Schlüsselaktualisierung bis zu zwei Minuten dauern kann. Nach der CMEK-Zuweisung gibt der Verschlüsselungsschlüssel Ihren CMEK und die zugehörige OCID wieder.

Abbildung - CMEK-Zuweisung

Beschreibung des Bildes folgt

Beschreibung der Abbildung he_mek1.png

CMEK-Zuweisung mit einem anderen CMEK

Mit der OCI-Konsole können Sie CMEK in Ihrer dedizierten Umgebung ändern. Diese Prozedur wird für die Schlüsselrotation verwendet.

Voraussetzung:

Vorgehensweise:

  1. Melden Sie sich bei der OCI-Konsole an.

  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Datenbanken und dann NoSQL-Datenbank aus.

  3. Wählen Sie die Dropdown-Option im Feld Umgebung aus, und wählen Sie Ihre dedizierte Umgebung aus.

  4. Unter dem Feld Umgebung werden im Verschlüsselungsschlüssel das CMEK und die zugehörige OCID angezeigt. Wählen Sie den Link Bearbeiten unter dem Verschlüsselungsschlüssel aus

  5. Wählen Sie auf der Seite Masterverschlüsselungsschlüssel bearbeiten den Vault in der Dropdown-Liste aus.

  6. Wählen Sie das erforderliche CMEK aus der Dropdown-Liste "Masterverschlüsselungsschlüssel" aus.

  7. Wählen Sie Aktualisieren aus.

Hinweis: Sie können einen anderen CMEK-Code aus demselben Vault oder einen CMEK-Code aus einem anderen Vault zuweisen.

Abbildung - CMEK Rotation

Beschreibung des Bildes folgt

Beschreibung der Abbildung he_rotatekey1.png

Oracle NoSQL Database Cloud Service validiert das neue CMEK und verwendet es dann zum erneuten Verschlüsseln Ihrer Block-Volumes- und Object Storage-Schlüssel in der ausgewählten dedizierten Umgebung. Der Status der dedizierten Umgebung ändert sich in UPDATING, bis alle Daten in Block Volumes und Object Storage neu verschlüsselt werden. In dieser Dauer wird in der Konsole eine Benachrichtigung mit dem Hinweis Schlüsselaktualisierung wird ausgeführt angezeigt. Beachten Sie, dass die Schlüsselaktualisierung bis zu zwei Minuten dauern kann. Nach der CMEK-Rotation gibt der Verschlüsselungsschlüssel den neuen CMEK und die zugehörige OCID wieder.

CMEK deaktivieren

Mit der OCI-Konsole können Sie CMEK deaktivieren, das zuvor Ihrer dedizierten Umgebung zugewiesen wurde.

Voraussetzung:

Vorgehensweise:

  1. Melden Sie sich bei der OCI-Konsole an.

  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Identität und Sicherheit, und wählen Sie Vault aus.

  3. Wählen Sie den Vault aus, in dem Sie CMEK erstellt haben.

  4. Wählen Sie Ihren CMEK aus.

  5. Wählen Sie auf der Seite Schlüsseldetails die Option Deaktivieren aus, und bestätigen Sie den Vorgang.

Abbildung - CMEK deaktivieren

Beschreibung des Bildes folgt

Beschreibung der Abbildung cmek_disable.png

Der CMEK-Status zeigt "Deaktiviert" an. Die dedizierte Umgebung ist für jeden Vorgang innerhalb weniger Minuten nicht verfügbar. Wenn Sie versuchen, über die OCI-Konsole auf die dedizierte Umgebung zuzugreifen, wird eine Fehlermeldung angezeigt, dass CMEK deaktiviert ist.

CMEK löschen

Mit der OCI-Konsole können Sie CMEK löschen, das Sie zuvor Ihrer dedizierten Umgebung zugewiesen haben. Das Löschen von CMEK ist ein zweistufiger Prozess mit einer Wartezeit, um ein versehentliches Löschen zu verhindern.

Voraussetzung:

Vorgehensweise:

  1. Melden Sie sich bei Ihrer OCI-Konsole an.

  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Identität und Sicherheit, und wählen Sie Vault aus.

  3. Wählen Sie den Vault aus, in dem Sie CMEK erstellt haben.

  4. Wählen Sie Ihren CMEK aus.

  5. Wählen Sie auf der Seite Schlüsseldetails die Option Schlüssel löschen aus.

  6. Wählen Sie ein Löschdatum aus, und bestätigen Sie den Vorgang.

Abbildung - CMEK-Löschen

Beschreibung des Bildes folgt

Beschreibung der Abbildung cmek_delete.png

Der CMEK-Status zeigt den Status "Ausstehendes Löschen" an, was dem Status "Deaktiviert" entspricht. Die dedizierte Umgebung ist für jeden Vorgang nicht mehr verfügbar. Wenn Sie versuchen, über die OCI-Konsole auf die dedizierte Umgebung zuzugreifen, wird eine Fehlermeldung angezeigt, dass CMEK deaktiviert ist und das Löschen aussteht.

Nach Ablauf des Löschdatums werden alle Daten in der dedizierten Umgebung dauerhaft unbrauchbar und unwiederbringlich. Wenn Sie versuchen, über die OCI-Konsole auf die dedizierte Umgebung zuzugreifen, wird eine Fehlermeldung angezeigt, dass CMEK endgültig gelöscht wurde.

CMEK-Wiederherstellung

Mit der OCI-Konsole können Sie CMEK, das zuvor deaktiviert wurde, erneut aktivieren.

Voraussetzung:

Vorgehensweise:

  1. Melden Sie sich bei der OCI-Konsole an.

  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Identität und Sicherheit, und wählen Sie Vault aus.

  3. Wählen Sie den Vault aus, in dem Sie CMEK erstellt haben.

  4. Wählen Sie Ihren CMEK aus.

  5. Wählen Sie auf der Seite Schlüsseldetails die Option Aktivieren.

Abbildung - CMEK Restaurierung

Beschreibung des Bildes folgt

Beschreibung der Abbildung enablekey.png

Sie müssen ein CAM-Ticket erstellen, um die dedizierte Umgebung wieder online zu setzen, nachdem das CMEK im Vault wieder aktiviert wurde.

CMEK-Entfernung

Mit der OCI-Konsole können Sie CMEK aus Ihrer dedizierten Umgebung entfernen.

Voraussetzung:

Vorgehensweise:

  1. Melden Sie sich bei Ihrer OCI-Konsole an.

  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Datenbanken und dann NoSQL-Datenbank aus.

  3. Wählen Sie die Dropdown-Option im Feld Umgebung aus, und wählen Sie Ihre dedizierte Umgebung aus.

  4. Unter dem Feld Umgebung werden im Verschlüsselungsschlüssel das CMEK und die zugehörige OCID angezeigt. Wählen Sie unter dem Verschlüsselungsschlüssel den Link Zuweisung aufheben aus.

Abbildung - CMEK-Entfernung

Beschreibung des Bildes folgt

Beschreibung der Abbildung cmek_unassign1.png

Oracle NoSQL Database Cloud Service entfernt CMEK aus der dedizierten Umgebung und weist ihr einen von Oracle verwalteten Schlüssel zu. Alle Daten in Block Volumes und Object Storage der ausgewählten dedizierten Umgebung werden wieder mit einem von Oracle verwalteten Verschlüsselungsschlüssel verschlüsselt. Nach dem Entfernen von CMEK gibt der Verschlüsselungsschlüssel den von Oracle verwalteten Schlüssel wieder.