CMEK-Schlüsselverwaltungsworkflow

Erfahren Sie mehr über die unterstützten Verwaltungsvorgänge für vom Kunden verwaltete Verschlüsselungsschlüssel.

Verwandte Themen

CMEK-Schlüsselverwaltungsvorgänge

Mit der OCI-Konsole können Sie die folgenden CMEK-Verwaltungsvorgänge ausführen:

Jeder Vorgang wird in den folgenden Abschnitten ausführlich erläutert.

CMEK zuweisen

Mit der OCI-Konsole können Sie Ihrer dedizierten Umgebung eine CMEK zuweisen.
Voraussetzung:
  • Erstellen Sie ein CMEK im Vault. Weitere Informationen finden Sie unter CMEK-Erstellung.
  • Erstellen Sie die erforderlichen Zugriffskontroll-Policys. Weitere Informationen finden Sie unter CMEK-Zugriffskontrolle.
Vorgehensweise:
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Datenbanken und dann NoSQL Database aus.
  3. Wählen Sie die Dropdown-Option im Feld Umgebung aus, und wählen Sie Ihre dedizierte Umgebung aus.
  4. Unter dem Feld Umgebung wird im Feld Verschlüsselungsschlüssel der von Oracle verwaltete Schlüssel angezeigt. Wählen Sie den Link Zuweisen neben dem von Oracle verwalteten Schlüssel aus.
  5. Wählen Sie auf der Seite Masterverschlüsselungsschlüssel zuweisen Ihren Vault in der Dropdown-Liste "Vault" aus.
  6. Wählen Sie Ihren CMEK aus der Dropdown-Liste "Masterverschlüsselungsschlüssel" aus.
  7. Wählen Sie Zuweisen aus.

Abbildung: CMEK-Zuordnungsseite


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Assignment Page"

Oracle NoSQL Database Cloud Service validiert das CMEK und verwendet es dann zur Verschlüsselung von Block-Volumes und Object Storage-Schlüsseln in der ausgewählten dedizierten Umgebung. Der Status der dedizierten Umgebung ändert sich in UPDATING, bis alle Block-Volumes und Object Storage-Schlüssel verschlüsselt sind. In dieser Dauer wird in der Konsole eine Benachrichtigung mit dem Hinweis Schlüsselaktualisierung wird ausgeführt angezeigt. Beachten Sie, dass die Schlüsselaktualisierung bis zu zwei Minuten dauern kann. Nach der CMEK-Zuweisung gibt der Verschlüsselungsschlüssel Ihren CMEK und die zugehörige OCID wieder.

Abbildung - CMEK-Zuweisung


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Assignment"

CMEK-Zuweisung mit einem anderen CMEK

Mit der OCI-Konsole können Sie CMEK in Ihrer dedizierten Umgebung ändern. Diese Prozedur wird für die Schlüsselrotation verwendet.
Voraussetzung:
  • Sie haben ein CMEK erstellt und es Ihrer dedizierten Umgebung zugewiesen. Weitere Informationen finden Sie unter CMEK-Zuweisung.
  • Erstellen Sie ein anderes CMEK im Vault. Weitere Informationen finden Sie unter CMEK-Erstellung.
Vorgehensweise:
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Datenbanken und dann NoSQL Database aus.
  3. Wählen Sie die Dropdown-Option im Feld Umgebung aus, und wählen Sie Ihre dedizierte Umgebung aus.
  4. Unter dem Feld Umgebung werden im Verschlüsselungsschlüssel der CMEK und seine OCID angezeigt. Wählen Sie den Link Bearbeiten unter dem Verschlüsselungsschlüssel aus
  5. Wählen Sie auf der Seite Masterverschlüsselungsschlüssel bearbeiten Ihren Vault in der Dropdown-Liste "Vault" aus.
  6. Wählen Sie das erforderliche CMEK aus der Dropdown-Liste "Masterverschlüsselungsschlüssel" aus.
  7. Wählen Sie Aktualisieren.

    Hinweis:

    Sie können einen anderen CMEK aus demselben Vault oder einen CMEK aus einem anderen Vault zuweisen.

Abbildung - CMEK Rotation


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Rotation"

Oracle NoSQL Database Cloud Service validiert das neue CMEK und verwendet es dann zum erneuten Verschlüsseln Ihrer Block-Volumes- und Object Storage-Schlüssel in der ausgewählten dedizierten Umgebung. Der Status der dedizierten Umgebung ändert sich in UPDATING, bis alle Daten in Block Volumes und Object Storage neu verschlüsselt werden. In dieser Dauer wird in der Konsole eine Benachrichtigung mit dem Hinweis Schlüsselaktualisierung wird ausgeführt angezeigt. Beachten Sie, dass die Schlüsselaktualisierung bis zu zwei Minuten dauern kann. Nach der CMEK-Rotation gibt der Verschlüsselungsschlüssel den neuen CMEK und die zugehörige OCID wieder.

CMEK deaktivieren

Mit der OCI-Konsole können Sie CMEK deaktivieren, das zuvor Ihrer dedizierten Umgebung zugewiesen wurde.
Voraussetzung:
  • Sie haben CMEK erstellt und Ihrer dedizierten Umgebung zugewiesen. Weitere Informationen finden Sie unter CMEK-Zuweisung.
Vorgehensweise:
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Identität und Sicherheit aus, und wählen Sie Vault aus.
  3. Wählen Sie den Vault aus, in dem Sie CMEK erstellt haben.
  4. Wählen Sie Ihre CMEK aus.
  5. Wählen Sie auf der Seite Schlüsseldetails die Option Deaktivieren aus, und bestätigen Sie den Vorgang.

Abbildung - CMEK deaktivieren


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Disable"

Der CMEK-Status zeigt "Deaktiviert" an. Die dedizierte Umgebung ist für jeden Vorgang innerhalb weniger Minuten nicht verfügbar. Wenn Sie versuchen, über die OCI-Konsole auf die dedizierte Umgebung zuzugreifen, wird eine Fehlermeldung angezeigt, dass CMEK deaktiviert ist.

CMEK löschen

Mit der OCI-Konsole können Sie CMEK löschen, das Sie zuvor Ihrer dedizierten Umgebung zugewiesen haben. Das Löschen von CMEK ist ein zweistufiger Prozess mit einer Wartezeit, um ein versehentliches Löschen zu verhindern.
Voraussetzung:
  • Sie haben CMEK erstellt und Ihrer dedizierten Umgebung zugewiesen. Weitere Informationen finden Sie unter CMEK-Zuweisung.
Vorgehensweise:
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Identität und Sicherheit aus, und wählen Sie Vault aus.
  3. Wählen Sie den Vault aus, in dem Sie CMEK erstellt haben.
  4. Wählen Sie Ihre CMEK aus.
  5. Wählen Sie auf der Seite Schlüsseldetails die Option Schlüssel löschen aus.
  6. Wählen Sie ein Löschdatum aus, und bestätigen Sie den Vorgang.

Abbildung - CMEK-Löschen


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Deletion"

Der CMEK-Status zeigt den Status "Ausstehendes Löschen" an, was dem Status "Deaktiviert" entspricht. Die dedizierte Umgebung ist für jeden Vorgang nicht mehr verfügbar. Wenn Sie versuchen, über die OCI-Konsole auf die dedizierte Umgebung zuzugreifen, wird eine Fehlermeldung angezeigt, dass CMEK deaktiviert ist und das Löschen aussteht.

Nach Ablauf des Löschdatums werden alle Daten in der dedizierten Umgebung dauerhaft unbrauchbar und unwiederbringlich. Wenn Sie versuchen, über die OCI-Konsole auf die dedizierte Umgebung zuzugreifen, wird eine Fehlermeldung angezeigt, dass CMEK endgültig gelöscht wurde.

CMEK-Wiederherstellung

Mit der OCI-Konsole können Sie CMEK, das zuvor deaktiviert wurde, erneut aktivieren.
Voraussetzung:
  • CMEK ist deaktiviert.
Vorgehensweise:
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Identität und Sicherheit aus, und wählen Sie Vault aus.
  3. Wählen Sie den Vault aus, in dem Sie CMEK erstellt haben.
  4. Wählen Sie Ihre CMEK aus.
  5. Wählen Sie auf der Seite Wichtige Details die Option Aktivieren aus.

Abbildung - CMEK Restaurierung


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Restoration"

Sie müssen ein CAM-Ticket erstellen, um die dedizierte Umgebung wieder online zu setzen, nachdem das CMEK im Vault wieder aktiviert wurde.

CMEK-Entfernung

Mit der OCI-Konsole können Sie CMEK aus Ihrer dedizierten Umgebung entfernen.
Voraussetzung:
  • Sie haben CMEK erstellt und Ihrer dedizierten Umgebung zugewiesen. Weitere Informationen finden Sie unter CMEK-Zuweisung.
Vorgehensweise:
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Datenbanken und dann NoSQL Database aus.
  3. Wählen Sie die Dropdown-Option im Feld Umgebung aus, und wählen Sie Ihre dedizierte Umgebung aus.
  4. Unter dem Feld Umgebung werden im Verschlüsselungsschlüssel der CMEK und seine OCID angezeigt. Wählen Sie unter dem Verschlüsselungsschlüssel den Link Zuweisung aufheben aus.

Abbildung - CMEK-Entfernung


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Removal"

Oracle NoSQL Database Cloud Service entfernt CMEK aus der dedizierten Umgebung und weist ihr einen von Oracle verwalteten Schlüssel zu. Alle Daten in Block Volumes und Object Storage der ausgewählten dedizierten Umgebung werden mit einem von Oracle verwalteten Verschlüsselungsschlüssel wieder verschlüsselt. Nach dem Entfernen von CMEK gibt der Verschlüsselungsschlüssel den von Oracle verwalteten Schlüssel wieder.