Documentación de Oracle Cloud Infrastructure

Gestión de claves de cifrado de Vault para volumen en bloque

Las claves gestionadas por el cliente son claves que se gestionan y ponen a disposición mediante Oracle Cloud Infrastructure Vault.

Por defecto, los volúmenes en bloque se cifran mediante claves gestionadas por Oracle. Tiene la opción de utilizar sus propias claves, gestionadas por Vault. Puede especificar una clave gestionada por el cliente al crear un volumen. Consulte Creación de un volumen en bloque. Las copias de seguridad del volumen utilizan automáticamente la clave especificada. Puede especificar una clave diferente al crear un nuevo volumen clonando un volumen o restaurando un volumen a partir de una copia de seguridad de volumen.

Especificación de una nueva clave al restaurar una copia de seguridad

  • Si utiliza la CLI, ejecute el siguiente comando:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
        --volume-backup-id=<source_backup_ID>

    Si no incluye el atributo --kms-key-id, el volumen creado a partir de la restauración de una copia de seguridad utilizará la clave gestionada por Oracle.

  • Al restaurar el volumen en bloque a partir de una copia de seguridad en la consola, en la sección Cifrado del formulario Restaurar volumen en bloque, seleccione Cifrar utilizando claves gestionadas por el cliente y, a continuación, seleccione la clave de cifrado de almacén que desea utilizar.

  • Si utiliza la API, especifique el OCID de clave de cifrado en el atributo kmsKeyId de CreateVolumeDetails al llamar a la operación CreateVolume.

Especificación de una nueva clave al clonar un volumen

  • Si utiliza la CLI, ejecute el siguiente comando:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-id=<source_volume_ID>

  • Al clonar un volumen en la consola, en la sección Encriptación del formulario Crear clonación, seleccione Cifrar utilizando claves gestionadas por el cliente y, a continuación, seleccione la clave de cifrado de Vault que desee utilizar.

  • Si utiliza la API, especifique el OCID de clave de cifrado en el atributo kmsKeyId de CreateVolumeDetails al llamar a la operación CreateVolume.

Especificación de una nueva clave al activar una réplica

  • Si utiliza la CLI, ejecute el siguiente comando:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-replica-id=<source_replica_ID>

  • Cuando active la réplica de volumen en la consola, en la sección Cifrado del formulario Activar una réplica de volumen, seleccione Cifrar utilizando claves gestionadas por el cliente y, a continuación, seleccione la clave de cifrado de almacén que desea utilizar.

  • Si utiliza la API, especifique el OCID de clave de cifrado en el atributo kmsKeyId de CreateVolumeDetails al llamar a la operación CreateVolume.

Especificación de una clave al activar la replicación

Opcionalmente, puede especificar su propia clave para cifrar la réplica de volumen en la región de destino. La clave gestionada por el cliente puede ser:
  • una clave replicada que existe en la región de destino.
  • cualquier clave de la región de destino de la que sea propietario y distinta de la de la región de origen.

Puede cifrar la réplica de volumen con una clave de cifrado gestionada por el cliente en la región de destino al activar la replicación en un volumen o grupo de volúmenes. Al activar la replicación, seleccione Cifrar mediante claves gestionadas por el cliente para el cifrado de replicación entre regiones y, a continuación, especifique el OCID para una clave de cifrado válida en la región en la que ha seleccionado replicar el volumen o grupo de volúmenes. Si no especifica una clave gestionada por el cliente, se utiliza en su lugar una clave de cifrado gestionada por Oracle.

Consulte lo siguiente:

Rotación de la clave de cifrado

Actualmente la rotación de la misma clave no está soportada, y no está definido el comportamiento cuando se tienen varias versiones de una clave. Block Volume solo soporta claves con una única versión. Para rotar una clave de cifrado, cambie la clave de cifrado del volumen por una nueva clave. También puede cambiar la clave de cifrado para una copia de seguridad de volumen.

Al rotar la clave para un volumen especificando una nueva clave de cifrado, cualquier recurso secundario creado antes de actualizar la clave seguirá utilizando la clave de cifrado anterior. Esto también se aplica a copias de seguridad y clones.

Cambio de la clave de cifrado de un volumen

Puede cambiar la clave asignada a un volumen por otra clave gestionada por el cliente. El cambio de la clave de cifrado no vuelve a cifrar el contenido del volumen, solo se vuelve a cifrar la clave de datos.

  • Para especificar otra clave gestionada por el cliente para un volumen mediante la CLI, ejecute el siguiente comando:

    oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>

  • Para especificar otra clave gestionada por el cliente para un volumen mediante la consola, consulte Actualización de una clave a un volumen en bloque.

  • Para especificar otra clave gestionada por el cliente mediante la API, utilice la operación UpdateVolumeKmsKey.

Cambio de clave de cifrado para una copia de seguridad de volumen

Puede cambiar la clave asignada a una copia de seguridad de volumen por otra clave gestionada por el cliente o por una clave gestionada por Oracle. El cambio de la clave de cifrado no vuelve a cifrar la copia de seguridad del volumen, solo se vuelve a cifrar la clave de datos. Para obtener información sobre cómo cambiar la clave de cifrado de una copia de seguridad mediante la CLI, la consola o la API, consulte Claves de cifrado de copia de seguridad de volumen.

Acceso a claves en un compartimento de seguridad cruzada

En los criterios de referencia del CIS para Oracle Cloud Infrastructure se recomienda crear un almacén para las claves gestionadas por el cliente en un compartimento independiente y restringir el acceso a este compartimento. En el siguiente diagrama se muestra cómo organizarlo.

Diagrama de arquitectura que muestra las claves gestionadas por el cliente almacenadas en un compartimento de acceso restringido independiente

Las siguientes políticas son necesarias para utilizar las claves en un compartimento de seguridad independiente con acceso restringido para cifrar volúmenes de inicio, volúmenes en bloque y recursos relacionados.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>

Claves de cifrado de copia de seguridad de volumen

El servicio Oracle Cloud Infrastructure Vault permite poner y gestionar sus propias claves para cifrar los volúmenes y sus copias de seguridad. Al crear una copia de seguridad de un volumen, la clave de cifrado utilizada para el volumen también se utiliza para la copia de seguridad de este.

Puede cambiar la clave asignada a una copia de seguridad de volumen por otra clave gestionada por el cliente o por una clave gestionada por Oracle. El cambio de la clave de cifrado no vuelve a cifrar el contenido del volumen, sino que solo vuelve a cifrar la clave de datos.

Uso de la CLI

Para especificar una clave diferente para una copia de seguridad de volumen mediante la CLI, ejecute el siguiente comando:

oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>

Para especificar que la copia de seguridad de volumen utilice una clave gestionada por Oracle, especifique una cadena vacía para el ID de clave, como se muestra en el siguiente ejemplo: 

oci bv backup update --backup-id=<backup_ID> --kms-key-id=''

Uso de la consola

  1. Abra el menú de navegación y seleccione Almacenamiento. En Almacenamiento de bloques, seleccione Copias de seguridad de volumen en bloque.
  2. En Ámbito de lista, en la lista Compartimento, seleccione el compartimento que contiene la copia de seguridad de volumen para la que desea actualizar la clave.
  3. En la lista de copias de seguridad de volumen, haga clic en la copia de seguridad que le interese.

  4. A continuación, realice una de las siguientes acciones:

    • Si la copia de seguridad de volumen ya tiene una clave asignada, junto a Clave de cifrado, haga clic en Editar para asignar otra.
    • Si la copia de seguridad de volumen no tiene ya una clave asignada, junto a Clave de cifrado, haga clic en Asignar.

  5. Seleccione el compartimento de almacén, el almacén, el compartimento de claves y la clave.

  6. Cuando termine, haga clic en Asignar o Actualizar, según corresponda.

Uso de la API

Para especificar una clave gestionada por el cliente diferente con la API, utilice la operación UpdateVolumeBackup y especifique el OCID de la clave de cifrado en el atributo kmsKeyId.

Especificación de una clave para copias de seguridad entre regiones

Al copiar manualmente una copia de seguridad de volumen entre regiones, puede utilizar la clave gestionada por Oracle o su propia clave de cifrado. Al asignar una política de copia de seguridad con copias de seguridad entre regiones activadas a un volumen o grupo de volúmenes, o realizar una copia de seguridad manual entre regiones, puede seleccionar Cifrar mediante claves gestionadas por el cliente para el cifrado de copia de seguridad entre regiones para cifrar la copia de seguridad de volumen en la región de destino. Si selecciona esta opción, debe especificar el OCID para una clave de cifrado válida en la región de destino. Consulte también Requirements for Customer-Managed Encryption Keys for Cross-Region Operations.

Más recursos

Requisitos para claves de cifrado gestionadas por el cliente para operaciones entre regiones

Al especificar una clave de cifrado gestionada por el cliente para operaciones entre regiones, asegúrese de lo siguiente:

Si no especifica una clave de cifrado gestionada por el cliente para operaciones entre regiones, se utiliza por defecto un cifrado gestionado por Oracle. Estos requisitos no se aplican a las claves de cifrado gestionadas por Oracle.