Gestión de claves

Cree y gestione claves de almacén y versiones de clave.

 Para obtener información específica sobre la creación de claves con su propio material de claves, consulte Importación de claves y versiones de claves. Para obtener información sobre la asignación de claves para proteger los recursos compatibles, consulte Asignación de claves. Para obtener información sobre cómo utilizar claves en operaciones criptográficas, consulte Uso de claves. Para obtener información sobre la copia de seguridad y restauración de claves, consulte Copia de seguridad y restauración de almacenes y claves. Para obtener más información sobre lo que puede hacer con los almacenes en los que se almacenan las claves, consulte Gestión de almacenes. Para obtener más información sobre las claves de forma más general, consulte Key and Secret Management Concepts.

En el contexto de este tema, la gestión de claves incluye la capacidad de hacer lo siguiente:

  • Crear llaves
  • Ver detalles de clave
  • Ver una lista de claves
  • Ver una lista de versiones de clave para una clave concreta
  • Actualizar un nombre de clave
  • Gestionar las etiquetas de una clave
  • Activar claves para su uso en operaciones criptográficas
  • Rotar las claves para generar un nuevo material criptográfico
  • Desactivar las claves para evitar su uso en operaciones criptográficas
  • Suprimir las claves para impedir permanentemente su uso en operaciones criptográficas o asignación a recursos
  • Mover una clave a un nuevo compartimento
Nota

Para mejorar el control y la visibilidad de las claves de cifrado, la función Gestión de claves externas (EKM) del almacén permite gestionar las claves en un sistema de gestión de claves de terceros fuera de la nube de Oracle. EKM solo está disponible en la región Oeste de Estados Unidos (San José). Para activar esta función en su arrendamiento, póngase en contacto con el departamento de ventas de Oracle.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con su administrador qué tipo de acceso tiene y en qué compartimento  debe trabajar.

Para administradores: para las políticas habituales que proporcionan acceso a almacenes, claves y secretos, consulte Permitir a los administradores de seguridad gestionar almacenes, claves y secretos. Para obtener más información sobre los permisos o si necesita escribir políticas más restrictivas, consulte Detalles sobre el servicio Vault.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Etiquetado de recursos

En esta sección se describe cómo asignar claves de almacén y eliminar asignaciones de claves mediante la consola y la API

Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Puede aplicar etiquetas al crear un recurso o puede actualizar el recurso más tarde con las etiquetas que desee. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.

Supervisión de recursos

En esta sección se describe cómo supervisar los recursos de almacén.

Puede supervisar el estado, la capacidad y el rendimiento de los recursos de Oracle Cloud Infrastructure mediante métricas, alarmas y notificaciones. Para obtener más información, consulte Supervisión y Notificaciones.

Para obtener información sobre la supervisión del tráfico asociado con las claves de cifrado maestras, consulte Monitoring Vault Resources.

Movimiento de recursos a otro compartimento

En esta sección se describe cómo puede mover recursos de almacén, como claves, a un compartimento diferente

Puede mover claves de un compartimento a otro. Después de mover una clave a un nuevo compartimento, las políticas inherentes se aplican inmediatamente y afectan al acceso a la clave y a las versiones de clave. El movimiento de una clave no afecta al acceso al almacén al que está asociada. De forma similar, puede mover un almacén de un compartimento a otro sin que sus claves se muevan. Para obtener más información, consulte Gestión de compartimentos.

Uso de la consola

Utilizar la consola para ver, crear y gestionar claves de cifrado maestras y versiones de claves

Crear una nueva clave de cifrado maestra

En esta sección, se describe cómo crear una nueva clave de cifrado maestra.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimiento, haga clic en el nombre del compartimento en el que desea crear la clave.
  3. En la lista de almacenes del compartimento, realice una de las siguientes acciones:

    • Haga clic en el nombre del almacén en el que desea crear la clave.

    • Cree un nuevo almacén para la clave siguiendo las instrucciones de Para crear un nuevo almacén y, a continuación, haga clic en el nombre del almacén.

  4. Haga clic en Claves de cifrado maestra y, a continuación, en Crear clave.
  5. En el cuadro de diálogo Crear clave, seleccione un compartimento de la lista Crear en compartimento. (Las claves pueden existir fuera del compartimento en el que está el almacén.)
  6. Haga clic en Modo de protección y, a continuación, realice una de las siguientes acciones:
    • Para crear una clave de cifrado maestra almacenada y procesada en un módulo de seguridad de hardware (HSM), seleccione HSM.
    • Para crear una clave de cifrado maestra almacenada y procesada en un servidor, seleccione Software.

    No puede cambiar el modo de protección de una clave después de crearla. Para obtener más información sobre las claves, incluida la información sobre los modos de protección de claves, consulte Key and Secret Management Concepts.

  7. Haga clic en Nombre y, a continuación, introduzca un nombre para identificar la clave. Evite introducir información confidencial.
  8. Haga clic en Unidad de clave: algoritmo y, a continuación, seleccione uno de los siguientes algoritmos:
    • AES. Las claves de Advanced Encryption Standard (AES) son claves simétricas que puede utilizar para cifrar datos estáticos.
    • RSA. Las claves Rivest-Shamir-Adleman (RSA) son claves asimétricas, también conocidas como pares de claves formadas por una clave pública y una clave privada, que se pueden utilizar para cifrar datos en tránsito, firmar datos y verificar la integridad de los datos firmados.
    • ECDSA. Las claves del algoritmo de firma digital de criptografía de curva elíptica (ECDSA) son claves asimétricas que puede utilizar para firmar datos y verificar la integridad de los datos firmados.
  9. En función de lo que haya elegido en el paso anterior, haga clic en Forma de clave: longitud o Forma de clave: ID de curva y, a continuación, seleccione la longitud de clave, en bits, para las claves AES y RSA, o especifique el ID de curva para las claves ECDSA. Para las claves AES, el servicio Vault admite claves que tienen exactamente 128 bits, 192 bits o 256 bits de longitud. Para las claves RSA, el servicio admite claves que son de 2048 bits, 3072 bits o 4096 bits. Con las claves ECDSA, puede crear claves con un ID de curva elíptica de NIST_P256, NIST_P384 o NIST_P521.
  10. Opcionalmente, para aplicar etiquetas, haga clic en Mostrar opciones avanzadas.
    Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
  11. Cuando haya terminado, haga clic en Crear clave.
Para ver detalles de clave

En esta sección, se describe cómo ver detalles clave mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con la clave en la que está interesado.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Claves de cifrado maestra y, a continuación, en el nombre de la clave para la que desea ver los detalles de configuración. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave y, a continuación, haga clic en el nombre de la clave).
  5. La consola muestra la siguiente información:

    • OCID: ID único asignado por Oracle de la clave.
    • Fecha de creación: fecha y hora en que creó inicialmente la clave.
    • Compartimento: ID único asignado por Oracle del compartimento que contiene la clave.
    • Modo de protección: ubicación donde la clave se almacena y procesa, ya sea en un módulo de seguridad de hardware (HSM) o en un servidor (software).
    • Almacén: ID único asignado por Oracle del almacén que contiene la clave.
    • Versión de clave: ID único asignado por Oracle de la versión de clave.
    • Algoritmo: algoritmo de cifrado utilizado por la clave.
    • longitud: número de bits en la longitud de la clave (para claves AES y claves RSA).
    • ID de curva: el ID de curva de la clave (para claves ECDSA).
Para ver una lista de claves

En esta sección, se describe cómo ver una lista de claves mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con las claves en las que está interesado.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Para ver una lista de las claves de este almacén, haga clic en Claves de cifrado maestra. Puede ver claves en otros compartimentos cambiando el ámbito de lista.
Para ver una lista de versiones de clave

En esta sección, se describe cómo ver una lista de versiones de clave mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con la clave en la que está interesado.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Claves de cifrado maestra, haga clic en el nombre de la clave para la que desea ver una lista de versiones de clave y, a continuación, haga clic en Versiones. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave y, a continuación, haga clic en el nombre de la clave).
Para cambiar el nombre de una clave

En esta sección, se describe cómo cambiar el nombre de una clave mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con la clave que desea cambiar de nombre.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Master Encryption Keys (Claves de cifrado maestra), busque la clave cuyo nombre desea cambiar y, a continuación, haga clic en el icono Acciones (tres puntos) de esa clave. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave).
  5. En el menú Acciones, haga clic en Editar nombre.
  6. En el cuadro de diálogo Editar nombre de clave, haga clic en Nombre y, a continuación, introduzca un nombre nuevo. Evite introducir información confidencial.
  7. Cuando termine, haga clic en Actualizar.
Para gestionar etiquetas de una clave

En esta sección, se describe cómo gestionar etiquetas de clave mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con la clave cuyas etiquetas desea gestionar.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Claves de cifrado maestra, busque la clave que desea gestionar y, a continuación, haga clic en el nombre de la clave. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave y, a continuación, haga clic en el nombre de la clave).
  5. En la página Detalles de clave, haga clic en el separador Etiquetas para ver o editar las etiquetas existentes. O bien, haga clic en Agregar etiquetas para agregar etiquetas nuevas.
Para activar una clave

En esta sección, se describe cómo activar una clave mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con la clave que desea activar.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Claves de cifrado maestra, busque la clave que desea activar y, a continuación, active la casilla situada junto al nombre de la clave. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave).
  5. En el menú Acciones, haga clic en Activar.
Para rotar una clave de cifrado maestra

En esta sección se describe cómo rotar una clave de cifrado maestra mediante la consola

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimiento, haga clic en el nombre del compartimento que contiene el almacén con la clave que desea rotar.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.
  4. Haga clic en Claves de cifrado maestra, busque la clave que desea rotar y, a continuación, active la casilla situada junto al nombre de la clave. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave).
  5. En el menú Acciones, haga clic en Rotar clave. (Solo se pueden rotar las claves en estado activado.)
  6. En el cuadro de diálogo Confirmar, haga clic en Rotar clave.

Las operaciones criptográficas que impliquen objetos cifrados con la versión anterior de esta clave seguirán utilizando la versión de clave anterior. Si lo prefiere, puede volver a cifrar esos objetos con la versión de clave actual.

Para desactivar una clave

En esta sección, se describe cómo desactivar una clave mediante la consola

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con la clave que desea desactivar.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Master Encryption Keys (Claves de cifrado maestra), busque la clave que desea desactivar y, a continuación, haga clic en el icono Acciones (tres puntos) de esa clave. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave).
  5. En el menú Acciones , haga clic en Desactivar.
Para suprimir una clave

En esta sección se describe cómo suprimir la clave maestra mediante la consola

Atención

Al definir una clave en el estado Supresión pendiente, todo el contenido que se haya cifrado con esa clave dejará de ser accesible inmediatamente. Esto incluye secretos. La clave tampoco se podrá asignar a ningún recurso ni anular dicha asignación, o actualizar de ningún otro modo. Cuando se suprime la clave, todo el material y los metadatos de esta se destruyen de manera irreversible. Antes de suprimir una clave, asigne una nueva a los recursos cifrados actualmente por ella o mantenga los datos de otra forma. Si desea restaurar el uso de una clave antes de que se suprima permanentemente, puede cancelar su supresión.
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con la clave que desea suprimir.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Claves de cifrado maestra, busque la clave que desea suprimir y, a continuación, haga clic en el icono Acciones (tres puntos) de esa clave. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave).
  5. En el menú Acciones, haga clic en Suprimir clave.
  6. Confirme que desea suprimir la clave. Para ello, haga clic en el cuadro y escriba el nombre de la clave.
  7. Programe cuando desea que el servicio Vault suprima la clave. Por defecto, el servicio programa las claves para que se supriman en 30 días a partir de la fecha y la hora actuales. Puede definir un rango de valores entre 7 y 30 días.
  8. Cuando esté listo, haga clic en Suprimir clave. Si es necesario, puede restaurar el uso de la clave y el acceso a los recursos y datos cifrados si cancela la supresión programada.
Para cancelar la supresión de una clave

En esta sección, se describe cómo cancelar la supresión de una clave mediante la consola.

Consejo

Solo puede cancelar la supresión de una clave que tenga el estado Supresión Pendiente.
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito de lista, en la lista Compartimento, haga clic en el nombre del compartimento que contiene el almacén con la clave que desea suprimir.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Claves de cifrado maestra, busque la clave que desea suprimir y, a continuación, haga clic en el icono Acciones (tres puntos) de esa clave. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave).
  5. En el menú Acciones, haga clic en Cancelar supresión.
  6. Confirme si desea cancelar la supresión de la clave haciendo clic en Cancelar supresión. El acceso a la clave y a los recursos o datos cifrados por la clave se restaura cuando la clave vuelve al estado activado.
Para mover una clave a un compartimento diferente

En esta sección se describe cómo mover una clave a un compartimento diferente mediante la consola.

  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, haga clic en Almacén.
  2. En Ámbito, en la lista Compartimento, seleccione el compartimento que contiene el almacén con la clave de cifrado maestra que desea mover.
  3. En la lista de almacenes del compartimento, haga clic en el nombre de almacén.

  4. Haga clic en Claves de cifrado maestra. Busque la clave en la lista, haga clic en el menú Acciones y, a continuación, haga clic en Mover recurso. (Si es necesario, cambie primero el ámbito de lista al compartimento que contiene la clave).
  5. Seleccione el compartimento de destino en la lista.
  6. Haga clic en Mover recurso.
  7. Si hay alarmas que supervisan la clave, actualice las alarmas para que hagan referencia al nuevo compartimento. Consulte Actualización de una alarma después de mover un recurso para obtener más información.

Uso de la Interfaz de Línea de Comandos (CLI)

Utilice la interfaz de línea de comandos para crear y gestionar claves de cifrado maestras y versiones de claves.

Para obtener más información sobre la CLI, consulte Interfaz de línea de comandos (CLI). Para obtener una lista completa de los indicadores y las opciones disponibles para los comandos de la CLI, consulte Referencia de la línea de comandos.

Consejo

Cada almacén tiene un punto final único para las operaciones de creación, actualización y lista de operaciones para las claves. Este punto final se denomina URL de plano de control o punto final de gestión. Cada almacén tiene además un punto final único para las operaciones criptográficas. Este punto final se denomina URL de plano de datos o punto final criptográfico. Al usar la CLI para operaciones de claves, debe proporcionar el punto final adecuado para el tipo de operación. Para recuperar los puntos finales de un almacén, consulte las instrucciones de Para ver los detalles de la configuración del almacén.
Para crear una nueva clave

En esta sección, se describe cómo crear una nueva clave mediante la interfaz de línea de comandos (CLI)

Abra un símbolo del sistema y ejecute oci kms management key create para crear una clave nueva:

oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <control_plane_url>

Por ejemplo, en una máquina con MacOS o Linux:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

O bien, por ejemplo, en una máquina con Windows:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

Evite introducir información confidencial.

De manera predeterminada, el servicio crea una clave de cifrado maestra protegida por un HSM. Si prefiere crear una clave de cifrado maestra protegida por software, especifique el modo de protección con --protection-mode. Por ejemplo, en una máquina con Windows:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --protection-mode SOFTWARE --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
Para crear una clave nueva con etiquetas de recurso

En esta sección, se describe cómo crear una nueva clave mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key create con una de estas opciones: --defined-tags y --freeform-tags, o ambas, para crear una nueva clave con etiquetas de recurso:

oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <JSON_formatted_key_encryption_information> --defined-tags <JSON_formatted_defined_tag> --freeform-tags <JSON_formatted_freeform_tag> --endpoint <control_plane_url>

Por ejemplo, en una máquina con MacOS o Linux:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --defined-tags '{"Operations": {"CostCenter":"42"}}' --freeform-tags '{"Department":"Finance"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

O bien, por ejemplo, en una máquina con Windows:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --defined-tags '{\"Operations\": {\"CostCenter\":\"42\"}}' --freeform-tags '{\"Department\":\"Finance\"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

Evite introducir información confidencial.

Para ver detalles de una clave

En esta sección, se describe cómo ver la lista de detalles clave mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key get para ver los detalles de una clave concreta:

oci kms management key get --key-id <key_OCID> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key get --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
Para ver una lista de claves

En esta sección, se describe cómo ver la lista de claves mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key list para mostrar las claves de un almacén:

oci kms management key list --compartment-id <target_compartment_id> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key list --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
Para ver una lista de versiones de clave

En esta sección, se describe cómo ver la lista de versiones de clave mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key-version list para ver una lista de versiones de clave para una clave concreta:

oci kms management key-version list --key-id <key_OCID> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key-version list --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
Para cambiar el nombre de una clave

En esta sección, se describe cómo cambiar el nombre de la clave mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key update para editar el nombre de una clave.

oci kms management key update --key-id <key_OCID> --display-name <new_key_name> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key update --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --display-name key-A --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

Evite introducir información confidencial.

Para activar una clave

En esta sección, se describe cómo activar una clave mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key enable para activar una clave:

oci kms management key enable --key-id <target_key_id> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key enable --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
Para rotar una clave

En esta sección, se describe cómo rotar una clave mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key rotate para rotar una clave:

oci kms management key rotate --key-id <target_key_id> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key rotate --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com	

Las operaciones criptográficas que impliquen objetos cifrados con la versión anterior de esta clave seguirán utilizando la versión de clave anterior. Si lo prefiere, puede volver a cifrar esos objetos con la versión de clave actual.

Para desactivar una clave

En esta sección, se describe cómo desactivar una clave mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key disable para desactivar una clave:

oci kms management key disable --key-id <target_key_id> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key disable --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
Para suprimir una clave

En esta sección, se describe cómo suprimir una clave mediante la interfaz de línea de comandos (CLI).

Atención

Al definir una clave en el estado Supresión pendiente, todo el contenido que se haya cifrado con esa clave dejará de ser accesible inmediatamente. Esto incluye secretos. La clave tampoco se podrá asignar a ningún recurso ni anular dicha asignación, o actualizar de ningún otro modo. Cuando se suprime la clave, todo el material y los metadatos de esta se destruyen de manera irreversible. Antes de suprimir una clave, asigne una nueva a los recursos cifrados actualmente por ella o mantenga los datos de otra forma. Si desea restaurar el uso de una clave antes de que se suprima permanentemente, puede cancelar su supresión.

Abra un símbolo del sistema y ejecute oci kms management key schedule-deletion para programar la supresión de una clave:

oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key schedule-deletion --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

Por defecto, el servicio programa las claves para que se supriman en 30 días a partir de la fecha y la hora actuales. Puede definir un rango de valores entre 7 y 30 días. Por ejemplo:


oci kms management key schedule-deletion --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --time-of-deletion 2019-06-30T10:00:00Z --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
Para cancelar la supresión de una clave

En esta sección, se describe cómo cancelar la supresión de una clave mediante la interfaz de línea de comandos (CLI).

Consejo

Solo puede cancelar la supresión de una clave que tenga el estado Supresión Pendiente.

Abra un símbolo del sistema y ejecute oci kms management key cancel-deletion para cancelar la supresión programada de una clave:

oci kms management key cancel-deletion --key-id <target_key_id> --endpoint <control_plane_url>

Por ejemplo:


oci kms management key cancel-deletion --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
Para mover una clave a un compartimento diferente

En esta sección, se describe cómo mover la clave a un compartimento diferente mediante la interfaz de línea de comandos (CLI).

Abra un símbolo del sistema y ejecute oci kms management key change-compartment para mover una clave de cifrado maestra de un compartimento a otro dentro del mismo arrendamiento:

oci kms management key change-compartment --key-id <target_key_id> --compartment-id <new_compartment_id>

Por ejemplo:


oci kms management key change-compartment --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz	

Uso de la API

Utilice las operaciones de API para crear, gestionar claves de cifrado maestras y la versión de clave.

Para obtener más información sobre el uso de la API y las solicitudes de firma, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Use las siguientes operaciones para gestionar claves: