Documentación de Oracle Cloud Infrastructure

Rotación de una clave

Descubra cómo rotar una clave mediante la creación de una nueva versión de clave.

Al crear una nueva versión de clave de una clave de cifrado maestra, el servicio de KMS rota la versión de clave en uso para la clave. El servicio puede generar el material de claves para la nueva versión de claves, o bien puede importar su propio material de claves. Al importar una clave, debe utilizar una clave de ajuste para encapsular el material de claves. Sin embargo, no puede crear, suprimir ni rotar una clave de ajuste. Para obtener más información sobre la rotación de claves, consulte Versiones de claves y rotaciones en el tema Conceptos de gestión de claves y secretos.

Rotación Automática de Claves

Para las claves creadas en almacenes privados virtuales, puede activar la rotación automática de claves. Consulte la sección Rotación automática de claves del tema Conceptos de gestión de claves y secretos para obtener más información. Esta opción se puede activar durante la creación de la clave o después de crear una clave. Consulte Enabling and Updating Auto Key Rotation para obtener instrucciones sobre la actualización de la configuración de rotación automática y Creating a Master Encryption Key para obtener instrucciones sobre la creación de una nueva clave con la rotación automática activada.

Rotación manual de claves

Utilice las instrucciones de las siguientes secciones para rotar manualmente una clave mediante la consola, la CLI o la API.

    1. En la página de lista Claves de cifrado maestras, busque la clave con la que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Listado de claves.
    2. En la lista de claves, seleccione el menú Acciones (tres puntos) y, a continuación, seleccione Clave de rotación.
    3. En el cuadro de diálogo Confirmar, active la versión de clave externa de importación para importar los materiales de claves y las versiones de claves y permitir que el servicio de gestión de claves utilice una copia de la misma.
    4. Seleccione Rotar clave.
      Nota

      Las operaciones criptográficas que involucran objetos cifrados con la versión anterior de esta clave siguen utilizando esta. Si lo prefiere, puede volver a cifrar esos objetos con la versión de clave actual

  • Utilice el comando oci kms management key-version create y los parámetros necesarios para rotar una clave.

    oci kms management key-version create --key-id <target_key_id> --endpoint <kmsmanagement_endpoint> [OPTIONS]

    Las operaciones criptográficas que impliquen objetos cifrados con la versión anterior de esta clave seguirán utilizando la versión de clave anterior. Si lo prefiere, puede volver a cifrar esos objetos con la versión de clave actual.

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

  • Utilice la API CreateKeyVersion con el punto final de gestión para rotar una clave de cifrado maestra.

    Nota

    El punto final de gestión se utiliza para operaciones de gestión, como Crear, Actualizar, Mostrar, Obtener y Suprimir. El punto final de gestión también se denomina URL de plano de control o punto final de KMSMANAGEMENT.

    El punto final criptográfico se utiliza para operaciones criptográficas, como cifrado, descifrado, generación de clave de cifrado de datos, firma y verificación. El punto final criptográfico también se denomina URL de plano de datos o punto final KMSCRYPTO.

    Puede encontrar los puntos finales criptográficos y de gestión en los metadatos de detalles de un almacén. Consulte Obtención de detalles de un almacén para obtener instrucciones.

    Para conocer los puntos finales regionales para las API de gestión de claves, gestión de secretos y recuperación de secretos, consulte Referencia de API y puntos finales.

    Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.