Documentación de Oracle Cloud Infrastructure

Supresión de una clave

Descubra cómo programar la supresión de una clave de cifrado maestra almacenada en un almacén de OCI.

El servicio Key Management de OCI le ofrece la opción de desactivar o suprimir claves que ya no utilice. Si bien la desactivación de una clave proporciona la ruta más sencilla para restaurar una clave al servicio si la clave se necesita más adelante, es posible que deba suprimir claves debido a la política de ciclo de vida de claves de su organización o liberar cuota en el límite de servicio de gestión de claves.

Debido a que la supresión de una clave es una operación destructiva que podría provocar que los datos cifrados con la clave no sean accesibles, OCI requiere que programe la supresión con un período de espera que especifique. Puede aceptar el período de espera por defecto de 30 días hasta la supresión o especificar un período más corto, siendo 7 días el período de espera mínimo. Le recomendamos que haga una copia de seguridad de una clave antes del programa para su supresión. Con una copia de seguridad, puede restaurar la clave en el almacén si necesita utilizarla más adelante.

Recomendamos utilizar los datos del log de servicio para analizar el uso de claves y decidir si se suprime o desactiva una clave, cuando corresponda. Tenga en cuenta que algunas claves pueden seguir siendo de importancia operativa a pesar de la actividad limitada, y esto se debe tener en cuenta junto con los datos de uso al tomar decisiones sobre la supresión o desactivación de una clave. Consulte Supervisión del uso de claves para obtener información sobre el uso de logs de servicio de OCI para realizar un seguimiento del uso de claves.

Importante:

  • Cuando una clave está en el estado Supresión pendiente, todo el contenido cifrado por esa clave deja de estar accesible inmediatamente, incluidos los secretos. La clave tampoco se podrá asignar a ningún recurso ni anular dicha asignación, o actualizar de ningún otro modo. Cuando se suprime la clave, todo el material y los metadatos de esta se destruyen de manera irreversible. Antes de suprimir una clave, asigne una nueva a los recursos cifrados actualmente por ella o mantenga los datos de otra forma. Para restaurar el uso de una clave antes de que se suprima permanentemente, puede cancelar su supresión. Consulte Canceling a Master Encryption Key Deletion para obtener más información.
  • Cuando se programa la supresión de la clave, la rotación automática se suspende temporalmente, pero no se desactiva para las claves con esta función activada. Si se cancela la supresión de claves y la clave vuelve al estado Activo, la configuración de rotación automática que tenía la clave antes de restaurar la supresión programada.
    1. En la página de lista Claves de cifrado maestras, busque la clave con la que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Listado de claves.
    2. En el menú Acciones (tres puntos) al final de la entrada de fila de la clave, seleccione Suprimir clave.
    3. En la página Confirmar, introduzca el nombre de clave en el campo Nombre para confirmar.
    4. Utilice los campos Seleccionar fecha de supresión y Hora para programar cuándo desea que el servicio Vault suprima la clave. Por defecto, el servicio programa las claves para que se supriman en 30 días a partir de la fecha y la hora actuales. Puede definir un rango de valores entre 7 y 30 días. Cuando programe la clave para su supresión, le recomendamos que realice una copia de seguridad de la clave porque todas las operaciones de gestión de claves.
    5. Seleccione Delete Key.

  • Utilice el comando oci kms management key schedule-deletion y los parámetros necesarios para programar la supresión de una clave. Por defecto, la supresión se programa durante 30 días a partir de la hora de la solicitud. Utilice el parámetro opcional --time-of-deletion para programar la supresión durante un número de días entre 7 y 30 desde el momento de la solicitud. Consulte la referencia de comandos de la CLI para obtener más información:

    oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <kmsmanagement_control_plane_URL>

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Ejecute la operación ScheduleKeyDeletion con el punto final de gestión para suprimir la clave de almacén.

    Nota

    El punto final de gestión se utiliza para operaciones de gestión, como Crear, Actualizar, Mostrar, Obtener y Suprimir. El punto final de gestión también se denomina URL de plano de control o punto final de KMSMANAGEMENT.

    El punto final criptográfico se utiliza para operaciones criptográficas, como cifrado, descifrado, generación de clave de cifrado de datos, firma y verificación. El punto final criptográfico también se denomina URL de plano de datos o punto final KMSCRYPTO.

    Puede encontrar los puntos finales criptográficos y de gestión en los metadatos de detalles de un almacén. Consulte Obtención de detalles de un almacén para obtener instrucciones.

    Para conocer los puntos finales regionales para las API de gestión de claves, gestión de secretos y recuperación de secretos, consulte Referencia de API y puntos finales.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.