Documentación de Oracle Cloud Infrastructure

Rotación de una clave

Descubra cómo rotar una clave mediante la creación de una nueva versión de clave.

Al crear una nueva versión de clave de una clave de cifrado maestra, el servicio de KMS rota la versión de clave en uso para la clave. El servicio puede generar el material de claves para la nueva versión de claves, o bien puede importar su propio material de claves. Al importar una clave, debe utilizar una clave de ajuste para encapsular el material de claves. Sin embargo, no puede crear, suprimir ni rotar una clave de ajuste. Para obtener más información sobre la rotación de claves, consulte Versiones de claves y rotaciones en el tema Conceptos de gestión de claves y secretos.

Rotación Automática de Claves

Para las claves creadas en almacenes privados virtuales, puede activar la rotación automática de claves. Consulte la sección Rotación automática de claves del tema Conceptos de gestión de claves y secretos para obtener más información. Esta opción se puede activar durante la creación de claves o después de crear una clave. Consulte Enabling and Updating Auto Key Rotation para obtener instrucciones sobre cómo actualizar la configuración de rotación automática y Creating a Master Encryption Key para obtener instrucciones sobre cómo crear una nueva clave con la rotación automática activada.

Rotación manual de claves

Utilice las instrucciones de las siguientes secciones para rotar manualmente una clave mediante la consola, la CLI o la API.

    1. Abra el menú de navegación , seleccione Identidad y seguridad y, a continuación, seleccione Almacén.
    2. En Ámbito de lista, seleccione un compartimento que contenga el almacén que contenga la clave que desea actualizar.
    3. En la página Valores, seleccione el nombre del almacén para abrir su página de detalles.
    4. En Ámbito de lista, seleccione un compartimento que contenga la clave que desea actualizar.
    5. En Recursos, seleccione Clave de cifrado maestra.
    6. En la tabla de resumen de claves, seleccione el menú Acciones Menú Acciones y, a continuación, seleccione Rotar clave.
    7. En el cuadro de diálogo Confirmar, seleccione la casilla de control Importar versión de clave externa para importar los materiales de clave y las versiones de clave y permitir que el servicio de gestión de claves utilice una copia de ella.
    8. Seleccione Rotar clave.
      Nota

      Las operaciones criptográficas que involucran objetos cifrados con la versión anterior de esta clave siguen utilizando esta. Si lo prefiere, puede volver a cifrar esos objetos con la versión de clave actual

  • Abrir un símbolo del sistema y ejecutar oci kms management key-version create para rotar una clave

    oci kms management key-version create --key-id <target_key_id> --endpoint <vault_specific_management_endpoint_url

    Por ejemplo:

    
oci kms management key-version create --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

    Las operaciones criptográficas que impliquen objetos cifrados con la versión anterior de esta clave seguirán utilizando la versión de clave anterior. Si lo prefiere, puede volver a cifrar esos objetos con la versión de clave actual.

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte Referencia de los comandos de la CLI de KMS.

  • Utilice la API CreateKeyVersion con el punto final de gestión para rotar una clave de cifrado maestra.

    Nota

    El punto final de gestión se utiliza para operaciones de gestión como Crear, Actualizar, Mostrar, Obtener y Suprimir. El punto final de gestión también se denomina URL de plano de control o punto final de KMSMANAGMENT.

    El punto final criptográfico se utiliza para operaciones criptográficas, como cifrado, descifrado, generación de clave de cifrado de datos, firma y verificación. El punto final criptográfico también se denomina URL de plano de datos o punto final KMSCRYPTO.

    Puede encontrar los puntos finales criptográficos y de gestión en los metadatos de detalles de un almacén. Consulte Obtención de detalles de un almacén para obtener instrucciones.

    Para conocer los puntos finales regionales para las API de gestión de claves, gestión de secretos y recuperación de secretos, consulte Referencia de API y puntos finales.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.