Copia de seguridad y restauración de almacenes y claves

Realice copias de seguridad y restaure el almacén privado virtual y la clave de cifrado maestra en el módulo de seguridad de hardware (HSM).

Puede crear copias de seguridad de estos recursos para almacenar en un cubo o fuera de línea, fuera de Oracle Cloud Infrastructure.

Actualmente, el único tipo de almacén del que puede realizar una copia de seguridad es un almacén privado virtual. De manera similar, el único tipo de clave de cifrado que puede realizar una copia de seguridad es una clave de cifrado maestra protegida por un módulo de seguridad de hardware (HSM). No puede realizar una copia de seguridad de las claves de cifrado maestras protegidas por el software. Tampoco puede realizar copias de seguridad de secretos.

Es posible que desee hacer una copia de seguridad de un almacén o una clave de cifrado antes de suprimirlos si no los necesita en ese momento, pero cree que podría necesitar usar la clave para descifrar más adelante. Suprimir un almacén y una clave significa perder la capacidad de descifrar recursos o datos en los que se utilizó la clave para cifrar. La restauración de una clave permite reanudar el uso de un recurso cifrado previamente por la clave.

También puede crear una copia de seguridad de un almacén para utilizar en un caso de recuperación de fallos. Puede restaurar una copia de seguridad en cualquier región del dominio, lo que permite acceder a recursos cifrados incluso en escenarios de recuperación ante desastres donde la región del recurso con copia de seguridad ya no está disponible.

Nota

Por defecto, una copia de seguridad de una clave incluye metadatos sobre el almacén al que está asociado. Una copia de seguridad de un almacén puede incluir, de forma opcional, metadatos de clave, pero no puede realizar una copia de seguridad de secretos, de forma independiente o como parte de una copia de seguridad de un almacén. Solo puede realizar copias de seguridad y restaurar claves de cifrado protegidas por un HSM y almacenes privados virtuales.

Para obtener más información sobre la creación y gestión del uso de claves, consulte Gestión de claves. Para obtener más información sobre lo que puede hacer con los almacenes en los que se almacenan las claves y secretos, consulte Gestión de almacenes. Para obtener más información sobre la creación y gestión del uso de secretos, consulte Gestión de secretos.

Funcionamiento

Las claves siempre están asociadas al almacén en el que se crearon. Esta relación persiste incluso cuando se realiza una copia de seguridad de la clave y se restaura. Como resultado, restaurar una clave siempre requiere que ya tenga el almacén asociado a la clave También necesita el almacén porque el almacén aloja los puntos finales de gestión y criptográficos con los que gestiona y utiliza la clave. Esto podría significar que primero debe restaurar el almacén y, a continuación, la clave, si se realizó una copia de seguridad de ambos y posteriormente se suprimieron.

Realice una copia de seguridad de un almacén o clave exportando información de identificación sobre el almacén o la clave y su contenido. (El servicio cifra las copias de seguridad y solo el servicio puede restaurarlas). Opcionalmente, las copias de seguridad del almacén pueden incluir claves, asumiendo que el almacén tenga claves y que las claves estén en un estado de ciclo de vida soportado al realizar la copia de seguridad. Solo puede realizar una copia de seguridad de las claves activas, activadas o desactivadas. Las copias de seguridad excluyen las claves suprimidas o que se encuentran en un estado de transición (por ejemplo, "Creando" o "Supresión pendiente"). Las copias de seguridad de claves siempre incluyen metadatos de almacén, además de metadatos de clave. Tener metadatos de un almacén hace posible restaurar la clave. Solo puede realizar una copia de seguridad de los almacenes activos.

Solo puede realizar una copia de seguridad de un almacén o una clave a la vez. (La excepción es cuando realiza una copia de seguridad de las claves como parte de una copia de seguridad de un almacén). Al realizar una copia de seguridad de una clave, el archivo incluye todas las versiones de la clave asociadas en un estado activado. Las copias de seguridad excluyen las versiones de clave suprimidas o con estado pendiente de supresión.

Las operaciones de copia de seguridad requieren especificar dónde descargar la copia de seguridad. Las descargas se pueden almacenar en un cubo de almacenamiento de objetos existente o en una URL temporal creada específicamente para solicitudes autenticadas previamente. Para obtener más información sobre las solicitudes autenticadas previamente, consulte Uso de solicitudes autenticadas previamente. Las copias de seguridad se deben almacenar en cubos en la misma región, pero puede copiar la copia de seguridad en una región diferente mediante el almacenamiento de objetos.

Las operaciones de copia de seguridad y restauración generan solicitudes de trabajo para ayudarle a realizar un seguimiento de su progreso.

Puede restaurar un almacén o una clave importando la copia de seguridad desde el almacenamiento hasta donde lo desee, siempre y cuando restaure el almacén al mismo nivel de arrendamiento y compartimento donde creó la copia de seguridad originalmente. Además, la clave solo se puede restaurar en su arrendamiento y compartimento original, que podría ser un compartimento diferente del almacén. Sin embargo, puede restaurar almacenes y claves en una región diferente si su arrendamiento abarca varias regiones.

Puede restaurar un almacén o una clave individualmente. Si incluyó claves en la copia de seguridad de un almacén, la restauración del almacén restaura todas las claves incluidas en la copia de seguridad. La restauración de una clave restaura todas las versiones de clave incluidas en la copia de seguridad.

Puede restaurar un almacén o una clave incluso cuando el almacén o la clave ya exista en la región. Además, en cualquier momento, puede realizar una copia de seguridad más reciente de un almacén o clave si desea capturar cambios en el almacén, como nombres o etiquetas nuevos, o las claves, por ejemplo, versiones de claves nuevas. La actualización de un almacén o clave ya restaurados refleja esos cambios. Las actualizaciones de una copia de seguridad siempre son aditivas. Esto significa que las actualizaciones solo pueden agregar nueva información. Por ejemplo, las versiones de clave nuevas creadas en un almacén de referencia se agregan a su clave restaurada al actualizar la clave restaurada. Pero, si suprime una clave de un almacén de referencia y, a continuación, actualiza un almacén restaurado a partir de una copia de seguridad del almacén de referencia, la actualización no da como resultado la supresión de la clave correspondiente en el almacén restaurado. Del mismo modo, las claves que cree para un almacén restaurado son independientes de las claves asociadas al almacén de referencia a partir del que haya creado la copia de seguridad. Las gestionas de forma independiente, también.

La mayoría de las operaciones no están permitidas mientras hay una operación de copia de seguridad o restauración en curso. Esto impide suprimir una clave mientras se realiza una copia de seguridad, por ejemplo. Las operaciones prohibidas incluyen intentos de realizar operaciones de copia de seguridad o restauración simultáneas en el mismo recurso.

Para facilitar la reutilización de las políticas que creó para permitir la gestión y el uso de almacenes y claves, al restaurar un almacén y una clave, estos mantienen el mismo identificador de Oracle Cloud Identifier (OCID) único si se restauran en la región en la que se realizaron las copias de seguridad originales. Al restaurar un almacén o una clave en una región diferente, debe revisar y actualizar las políticas para que correspondan a los nuevos OCID.

Al restaurar un almacén o clave, especialmente una clave con muchas versiones de clave, se aplican límites de servicio de arrendamiento.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con su administrador qué tipo de acceso tiene y en qué compartimento  debe trabajar.

Para administradores: para las políticas habituales que proporcionan acceso a almacenes, claves y secretos, consulte Permitir a los administradores de seguridad gestionar almacenes, claves y secretos. Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas, consulte Detalles sobre el servicio Vault.

Dependiendo de dónde desee almacenar las copias de seguridad y de dónde desee recuperarlas, es posible que también necesite acceso a un cubo de almacenamiento de objetos. Para administradores: para las políticas típicas que otorgan acceso a cubos, consulte Permitir que los usuarios escriban objetos en cubos de almacenamiento de objetos y Permitir a los usuarios descargar objetos de cubos de almacenamiento de objetos.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Uso de la consola

Utilice la consola para realizar una copia de seguridad de las claves y los almacenes privados virtuales activos y restaurarlos.

Nota

Solo los almacenes privados virtuales activos y las claves activas, activadas o desactivadas se pueden exportar a una copia de seguridad.
Para realizar una copia de seguridad de un almacén
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén del que desea realizar una copia de seguridad.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. En la página Detalles del almacén, haga clic en Almacén de copia de seguridad.
  5. Seleccione un origen: exporte una copia de seguridad a un cubo de almacenamiento de objetos existente (recomendado) o una URL de almacenamiento de objetos autenticada previamente de un objeto en el que pueda escribir.
  6. Realice una de las siguientes acciones, según su selección en el paso anterior:
    • Seleccione un cubo en el menú desplegable. Si es necesario, puede cambiar el compartimento para encontrar un cubo en un compartimento diferente. A continuación, especifique el nombre de copia de seguridad. Evite introducir información confidencial.
    • Haga clic en la URL de almacenamiento de objetos y, a continuación, proporcione una URL autenticada previamente para un objeto.
  7. Opcionalmente, para realizar una copia de seguridad solo del almacén sin claves, active la casilla de control Crear copia de seguridad solo de los metadatos del almacén.
  8. Cuando haya terminado, haga clic en Almacén de copia de seguridad. (Anote el compartimento para que pueda restaurar este recurso en el compartimento correcto más adelante).
Para realizar una copia de seguridad de una clave
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene la clave de la que desea realizar una copia de seguridad.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén que contiene la clave.

  4. Haga clic en Claves de cifrado maestra y, a continuación, haga clic en el nombre de la clave de la que desea realizar la copia de seguridad. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave y, a continuación, haga clic en el nombre de la clave).
  5. En la página Detalles de clave, haga clic en Clave de copia de seguridad.
  6. Seleccione un origen: exporte una copia de seguridad a un cubo dealmacenamiento de objetos existente (recomendado) o una URL de almacenamiento de datos autenticada previamente en la que pueda escribir.
  7. Realice una de las siguientes acciones, según su selección en el paso anterior:
    • Seleccione un cubo en el menú desplegable. Si es necesario, puede cambiar el compartimento para encontrar un cubo en un compartimento diferente. A continuación, especifique el nombre de copia de seguridad. Evite introducir información confidencial.
    • Haga clic en URL de almacenamiento de objetosy, a continuación, proporcione una URL autenticada previamente a un objeto.
  8. Cuando haya terminado, haga clic en Clave de copia de seguridad. (Anote el compartimento para que pueda restaurar este recurso en el compartimento correcto más adelante).
Para restaurar un almacén
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento en el que desea restaurar un almacén. El compartimento debe coincidir con el compartimento del almacén de referencia en el momento de la copia de seguridad.
  3. Haga clic en Restaurar almacén.

  4. Seleccione un origen. Puede importar una copia de seguridad de un cubo de almacenamiento de objetos existente al que tenga acceso o una URL de almacenamiento de objetos autenticada previamente. También puede cargar un archivo desde su computadora o una ubicación de red asignada.
  5. Realice una de las siguientes acciones, según su selección en el paso anterior:
    • Seleccione un cubo en el menú desplegable. Si es necesario, puede cambiar el compartimento para encontrar un cubo en un compartimento diferente. A continuación, especifique el nombre de copia de seguridad. Evite introducir información confidencial.
    • Haga clic en la URL de objeto de almacenamiento y, a continuación, proporcione una URL autenticada previamente. Incluya el nombre de la copia de seguridad.
    • En Seleccione un archivo, arrastre y suelte un archivo o busque un archivo, haga clic en seleccionar uno.
  6. Cuando haya terminado, haga clic en Restaurar almacén.
Para actualizar un almacén a partir de una copia de seguridad
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento , haga clic en el nombre del compartimento que contiene el almacén que desea actualizar a partir de una copia de seguridad
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. En la página Detalles del almacén, haga clic en Actualizar almacén a partir de copia de seguridad.
  5. Seleccione un origen. Puede importar una copia de seguridad de un cubo de almacenamiento de objetos existente al que tenga acceso o una URL de almacenamiento de objetos autenticada previamente. También puede cargar un archivo desde su computadora o una ubicación de red asignada.
  6. Realice una de las siguientes acciones, según su selección en el paso anterior:
    • Seleccione un cubo en el menú desplegable. Si es necesario, puede cambiar el compartimento para encontrar un cubo en un compartimento diferente. A continuación, especifique el nombre de copia de seguridad. Evite introducir información confidencial.
    • Haga clic en la URL de objeto de almacenamiento y, a continuación, proporcione una URL autenticada previamente. Incluya el nombre de la copia de seguridad.
    • En Seleccione un archivo, arrastre y suelte un archivo o busque un archivo, haga clic en seleccionar uno.
  7. Cuando haya terminado, haga clic en Actualizar almacén.
Para restaurar una clave
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento del almacén que contiene la clave que desea restaurar.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén. Debe elegir el mismo almacén en el que se realizó la copia de seguridad original de la clave. (Si es necesario, cambie también el ámbito de la lista al compartimento donde estaba la clave en el momento de la copia de seguridad).

  4. Haga clic en Claves de cifrado maestra y, a continuación, en Restaurar clave.
  5. Seleccione un origen. Puede importar una copia de seguridad de un cubo de almacenamiento de objetosexistente o una URL de almacenamiento de objetos autenticada previamente donde puede escribir. También puede cargar un archivo desde su computadora o una ubicación de red asignada.
  6. Realice una de las siguientes acciones, según su selección en el paso anterior:
    • Seleccione un cubo en el menú desplegable. Si es necesario, puede cambiar el compartimento para encontrar un cubo en un compartimento diferente. A continuación, especifique el nombre de copia de seguridad. Evite introducir información confidencial.
    • Haga clic en URL de almacenamiento de objetosy, a continuación, proporcione una URL autenticada previamente a un objeto.
  7. Cuando haya terminado, haga clic en Restaurar clave.
Para actualizar una clave a partir de una copia de seguridad
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento , haga clic en el nombre del compartimento del almacén que contiene la clave que desea actualizar a partir de una copia de seguridad.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén que contiene la clave.

  4. Haga clic en Claves de cifrado maestra, en el nombre de la clave y, a continuación, en Actualizar clave desde copia de seguridad. (Si es necesario, cambie el ámbito de lista al compartimento de la clave, si la clave está en un compartimento diferente del almacén).
  5. Seleccione un origen. Puede importar una copia de seguridad de un cubo de almacenamiento de objetos existente al que tenga acceso o una URL de almacenamiento de objetos autenticada previamente. También puede cargar un archivo desde su computadora o una ubicación de red asignada.
  6. Realice una de las siguientes acciones, según su selección en el paso anterior:
    • Seleccione un cubo en el menú desplegable. Si es necesario, puede cambiar el compartimento para encontrar un cubo en un compartimento diferente. A continuación, especifique el nombre de copia de seguridad. Evite introducir información confidencial.
    • Haga clic en la URL de objeto de almacenamiento y, a continuación, proporcione una URL autenticada previamente. Incluya el nombre de la copia de seguridad.
  7. Cuando haya terminado, haga clic en Actualizar clave.
Para ver una solicitud de trabajo de una operación de copia de seguridad o restauración
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento del almacén (o el almacén de la clave) en el que está interesado.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén y, a continuación, haga clic en Solicitudes de trabajo.

  4. Opcionalmente, haga clic en Claves de cifrado maestra y, a continuación, en el nombre de clave y en Solicitudes de trabajo. (Si es necesario, cambie el ámbito de lista al compartimento de la clave, si la clave está en un compartimento diferente del almacén).
  5. Para obtener más información sobre la solicitud de trabajo, haga clic en el nombre de la solicitud de trabajo.

Uso de la API

Utilice las operaciones de API para realizar copias de seguridad y restaurar claves y almacenes privados virtuales.

Para obtener más información sobre el uso de la API y las solicitudes de firma, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Las siguientes operaciones permiten realizar copias de seguridad y restaurar claves y almacenes privados virtuales: