Copia de seguridad y restauración de almacenes y claves
Realice una copia de seguridad y restaure el almacén privado virtual y la clave de cifrado maestra en el módulo de seguridad de hardware (HSM).
Puede crear copias de seguridad de estos recursos para almacenarlas en un cubo o fuera de línea, fuera de OCI.
Actualmente, el único tipo de almacén del que puede realizar una copia de seguridad es un almacén privado virtual. Del mismo modo, el único tipo de clave de cifrado del que puede realizar una copia de seguridad es una clave de cifrado maestra protegida por un módulo de seguridad de hardware (HSM). No puede realizar una copia de seguridad de las claves de cifrado maestras protegidas por el software. Tampoco puedes respaldar secretos.
Es posible que desee realizar una copia de seguridad de un almacén o una clave de cifrado antes de suprimirlo si no las necesita ahora, pero cree que puede que necesite utilizar la clave para el descifrado más adelante. Suprimir un almacén y una clave significa perder la capacidad de descifrar recursos o datos en los que se utilizó la clave para cifrar. La restauración de una clave permite reanudar el uso de un recurso cifrado previamente por la clave.
También puede crear una copia de seguridad de un almacén para utilizarlo en un escenario de recuperación ante desastres. Puede restaurar una copia de seguridad en cualquier región del dominio, lo que permite acceder a recursos cifrados incluso en escenarios de recuperación ante desastres en los que la región del recurso de copia de seguridad ya no está disponible.
Por defecto, una copia de seguridad de una clave incluye metadatos sobre el almacén al que está asociado. Una copia de seguridad de un almacén puede incluir, de forma opcional, metadatos de clave, pero no puede realizar una copia de seguridad de secretos, de forma independiente o como parte de una copia de seguridad de un almacén. Solo puede realizar copias de seguridad y restaurar claves de cifrado protegidas por un HSM y almacenes privados virtuales.
A continuación, se muestran las operaciones de copia de seguridad de almacén:
- Copia de seguridad de un almacén
- Copia de seguridad de una clave de almacén
- Restauración del almacén a partir de una copia de seguridad
- Restauración de una clave
- Actualización de un almacén a partir de una copia de seguridad
- Actualización de clave a partir de una copia de seguridad
Para obtener más información sobre la creación y gestión del uso de claves, consulte Gestión de claves. Para obtener más información sobre lo que puede hacer con los almacenes en los que se almacenan las claves y secretos, consulte Gestión de almacenes. Para obtener información sobre la creación y gestión del uso de secretos, consulte Gestión de secretos de almacén.
Funcionamiento
Las claves siempre están asociadas al almacén en el que se crearon. Esta relación persiste incluso cuando se realiza una copia de seguridad de la clave y se restaura. Como resultado, restaurar una clave siempre requiere que ya tenga el almacén asociado a la clave También necesita el almacén porque el almacén aloja los puntos finales de gestión y criptográficos con los que gestiona y utiliza la clave. Esto podría significar que primero debe restaurar el almacén y, a continuación, la clave, si se realizó una copia de seguridad de ambos y posteriormente se suprimieron.
Realice una copia de seguridad de un almacén o clave exportando información de identificación sobre el almacén o la clave y su contenido. (El servicio cifra las copias de seguridad y solo el servicio puede restaurarlas). Opcionalmente, las copias de seguridad del almacén pueden incluir claves, asumiendo que el almacén tenga claves y que las claves estén en un estado de ciclo de vida soportado al realizar la copia de seguridad. Solo puede realizar una copia de seguridad de las claves activas, activadas o desactivadas. Las copias de seguridad excluyen las claves suprimidas o que se encuentran en un estado de transición (por ejemplo, "Creando" o "Supresión pendiente"). Las copias de seguridad de claves siempre incluyen metadatos de almacén, además de metadatos de clave. Tener metadatos de un almacén hace posible restaurar la clave. Solo puede realizar una copia de seguridad de los almacenes activos.
Solo puede realizar una copia de seguridad de un almacén o una clave a la vez. (La excepción es cuando realiza una copia de seguridad de las claves como parte de una copia de seguridad de un almacén). Al realizar una copia de seguridad de una clave, el archivo incluye todas las versiones de la clave asociadas en un estado activado. Las copias de seguridad excluyen las versiones de clave suprimidas o con estado pendiente de supresión.
Las operaciones de copia de seguridad requieren especificar dónde descargar la copia de seguridad. Las descargas se pueden almacenar en un cubo de almacenamiento de objetos existente o en una URL temporal creada específicamente para solicitudes autenticadas previamente. Para obtener más información sobre las solicitudes autenticadas previamente, consulte Uso de solicitudes autenticadas previamente. Las copias de seguridad se deben almacenar en cubos en la misma región, pero puede copiar la copia de seguridad en una región diferente mediante el almacenamiento de objetos.
Las operaciones de copia de seguridad y restauración generan solicitudes de trabajo para ayudarle a realizar un seguimiento de su progreso.
Puede restaurar un almacén o una clave importando la copia de seguridad desde el almacenamiento hasta donde lo desee, siempre y cuando restaure el almacén al mismo nivel de arrendamiento y compartimento donde creó la copia de seguridad originalmente. Además, la clave solo se puede restaurar en su arrendamiento y compartimento original, que podría ser un compartimento diferente del almacén. Sin embargo, puede restaurar almacenes y claves en una región diferente si su arrendamiento abarca varias regiones.
Puede restaurar un almacén o una clave individualmente. Si incluyó claves en la copia de seguridad de un almacén, la restauración del almacén restaura todas las claves incluidas en la copia de seguridad. La restauración de una clave restaura todas las versiones de clave incluidas en la copia de seguridad.
Puede restaurar un almacén o una clave incluso cuando el almacén o la clave ya exista en la región. Además, en cualquier momento, puede realizar una copia de seguridad más reciente de un almacén o clave si desea capturar cambios en el almacén, como nombres o etiquetas nuevos, o las claves, por ejemplo, versiones de claves nuevas. La actualización de un almacén o clave ya restaurados refleja esos cambios. Las actualizaciones de una copia de seguridad siempre son aditivas. Esto significa que las actualizaciones solo pueden agregar nueva información. Por ejemplo, las versiones de clave nuevas creadas en un almacén de referencia se agregan a su clave restaurada al actualizar la clave restaurada. Pero, si suprime una clave de un almacén de referencia y, a continuación, actualiza un almacén restaurado a partir de una copia de seguridad del almacén de referencia, la actualización no da como resultado la supresión de la clave correspondiente en el almacén restaurado. Del mismo modo, las claves que cree para un almacén restaurado son independientes de las claves asociadas al almacén de referencia a partir del que haya creado la copia de seguridad. Las gestionas de forma independiente, también.
La mayoría de las operaciones no están permitidas mientras hay una operación de copia de seguridad o restauración en curso. Esto impide suprimir una clave mientras se realiza una copia de seguridad, por ejemplo. Las operaciones prohibidas incluyen intentos de realizar operaciones de copia de seguridad o restauración simultáneas en el mismo recurso.
Para facilitar la reutilización de las políticas que creó para permitir la gestión y el uso de almacenes y claves, al restaurar un almacén y una clave, estos mantienen el mismo identificador de Oracle Cloud Identifier (OCID) único si se restauran en la región en la que se realizaron las copias de seguridad originales. Al restaurar un almacén o una clave en una región diferente, debe revisar y actualizar las políticas para que correspondan a los nuevos OCID.
Al restaurar un almacén o clave, especialmente una clave con muchas versiones de clave, se aplican límites de servicio de arrendamiento.
Política de IAM necesaria
Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que tiene y en qué compartimento debe trabajar.
Dependiendo de dónde desee almacenar las copias de seguridad y de dónde desee recuperarlas, es posible que también necesite acceso a un cubo de almacenamiento de objetos. Para administradores: para las políticas típicas que otorgan acceso a cubos, consulte Permitir que los usuarios escriban objetos en cubos de almacenamiento de objetos y Permitir a los usuarios descargar objetos de cubos de almacenamiento de objetos.
Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.