Documentación de Oracle Cloud Infrastructure

Nuevo cifrado de un objeto de Object Storage

Vuelva a cifrar las claves de cifrado de los datos de un objeto con una clave de cifrado maestra diferente en un cubo de Object Storage.

Puede volver a cifrar las claves de cifrado de datos que cifran un objeto volviendo a cifrar las claves de cifrado de datos del objeto con la versión más reciente de la clave de cifrado maestra asignada al cubo. Este nuevo cifrado es posible tanto si se trata de una clave gestionada por Oracle como de una clave de un almacén que gestione. También puede volver a cifrar las claves de cifrado de datos del objeto con una clave diferente en un almacén de claves o una clave SSE-C diferente. Si utiliza claves SSE-C, debe proporcionar la clave SSE-C durante el descifrado de objetos y el posterior proceso de cifrado nuevo, según corresponda.

Para volver a cifrar un objeto, necesita los permisos OBJECT_READ y OBJECT_OVERWRITE. Para volver a cifrar un objeto que cifró con una clave SSE-C, debe utilizar la CLI para proporcionar la clave SSE-C a Object Storage para su uso durante el descifrado y el nuevo cifrado, según corresponda.

Si recibe un error, verifique que tiene los permisos correctos. Si tiene acceso al objeto, confírmelo y no se ha suprimido recientemente. Si tiene permisos y el objeto existe, confirme también si el objeto está cifrado con una clave SSE-C.

Para obtener más información, consulte Cifrado de datos de Object Storage.

    1. En la página de lista Cubos, seleccione el cubo de Object Storage con el que desea trabajar. Si necesita ayuda para buscar la página de lista o el cubo de Object Storage, consulte Enumeración de cubos.
    2. En la página de detalles, seleccione Objetos.
    3. En el menú Acciones del objeto que desea, seleccione Volver a cifrar.
    4. Realice una de las siguientes tareas en función de si la clave asignada al cubo es una clave gestionada por Oracle o una clave de un almacén que gestione:

      • Para los cubos cifrados con una clave gestionada por Oracle, puede volver a cifrar el objeto con la versión más reciente de esa clave seleccionando Utilizar la clave asignada al cubo. O bien, puede volver a cifrar el objeto con una clave de un almacén de claves seleccionando Utilizar una clave gestionada por el cliente y, a continuación, seleccionando una clave de un compartimento y un almacén de claves a los que tenga acceso.

      • Para los cubos cifrados con una clave gestionada por el cliente, puede volver a cifrar el objeto con la versión más reciente de esa clave seleccionando Utilizar la clave asignada al cubo. O puede volver a cifrar el objeto con una clave de almacén diferente seleccionando Utilizar una clave gestionada por el cliente diferente y, a continuación, seleccionando otra clave de un compartimento y un almacén de claves de acceso.

    5. Seleccione Volver a cifrar.

  • Utilice el comando oci os object reencrypt y los parámetros necesarios para volver a cifrar las claves de cifrado de datos de un objeto con la última versión de clave de la clave asignada al cubo:

    oci os object reencrypt --bucket-name bucket_name --name object_name

    Por ejemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt

    Las claves de cifrado de datos del objeto se vuelven a cifrar sin que se devuelva más información.

    Cifrado mediante una clave SSE-C

    Puede volver a cifrar las claves de cifrado de datos de un objeto con una clave SSE-C.

    oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key

    Por ejemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey

    Si las claves de cifrado de datos del objeto están actualmente cifradas con una clave SSE-C, incluya el parámetro source-encryption-key-file para proporcionar también el nombre del archivo que contiene la cadena codificada en base64 de la clave de cifrado de origen AES-256 para descifrar primero el objeto.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key

    Por ejemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey

    Si el objeto está actualmente cifrado con una clave SSE-C y desea cifrar las claves de cifrado de datos del objeto con una clave SSE-C diferente, proporcione el nombre de archivo de cada clave.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired

    Por ejemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey

    Cifrado con una clave de almacén

    Para volver a cifrar las claves de cifrado de datos de un objeto con una clave de almacén específica, incluya el parámetro kms-key-id.

    oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID

    Por ejemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Cifrado con claves SSE-C y Vault

    Si la clave se cifra con una clave SSE-C y está volviendo a cifrar las claves de cifrado de datos de un objeto con una clave de almacén específica, debe incluir el parámetro source-encryption-key-file que proporciona el nombre del archivo que contiene la cadena codificada base64 de la clave de cifrado de origen AES-256 para descifrar primero el objeto.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID

    Por ejemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Para obtener una lista completa de parámetros y valores para los comandos de la CLI, consulte la Referencia de comandos de CLI.

  • Ejecute la operación ReencryptObject para volver a cifrar las claves de cifrado de datos de un objeto con la versión más reciente de la clave asignada al cubo.

    Object Storage antepone la cadena de espacio de nombres de Object Storage y el nombre del cubo al nombre del objeto a la hora de crear una URL para su uso con la API:

    /n/object_storage_namespace/b/bucket/o/object_name

    El nombre del objeto es todo lo que aparece después de /o/, que puede incluir niveles de jerarquía y cadenas de prefijo.