Flujo de trabajo de gestión de claves CMEK

Obtenga información sobre las operaciones de gestión soportadas para las claves de cifrado gestionadas por el cliente.

Temas relacionados

Operaciones de gestión de claves CMEK

La consola de OCI permite realizar las siguientes operaciones de gestión de CMEK:

Cada operación se explica con más detalle en las siguientes secciones.

Asignación de CMEK

Puede utilizar la consola de OCI para asignar una CMEK a su entorno dedicado.
Requisito:
  • Cree una CMEK en el almacén. Para conocer el procedimiento, consulte CMEK Creation.
  • Cree las políticas de control de acceso necesarias. Para obtener más información, consulte CMEK Access Control.
Procedimiento:
  1. Conectarse a su consola de OCI.
  2. Abra el menú de navegación ubicado en la esquina superior izquierda, seleccione Bases de datos y, a continuación, seleccione NoSQL Base de datos.
  3. Seleccione la opción desplegable en el campo Entorno y seleccione el entorno dedicado.
  4. Debajo del campo Entorno, la Clave de cifrado muestra la clave gestionada por Oracle. Seleccione el enlace Asignar junto a la clave gestionada por Oracle.
  5. En la página Asignar clave de cifrado maestra, seleccione el almacén en la lista desplegable Almacén.
  6. Seleccione su CMEK en la lista desplegable Master Encryption Key.
  7. Seleccione Asignar.

Figura - Página Asignación de CMEK


A continuación, se muestra la descripción de la figura -
Descripción de "Figura - Página Asignación de CMEK"

Oracle NoSQL Database Cloud Service valida la CMEK y, a continuación, la utiliza para cifrar los volúmenes en bloque y las claves de almacenamiento de objetos en el entorno dedicado seleccionado. El estado del entorno dedicado cambia a ACTUALIZANDO hasta que se cifren todos sus volúmenes en bloque y claves de almacenamiento de objetos. Durante este tiempo, verá un mensaje de notificación en la consola que indica Key update in progress. Tenga en cuenta que la actualización de la clave puede tardar hasta dos minutos. Después de la asignación de CMEK, la clave de cifrado refleja la CMEK y su OCID.

Figura - Asignación de CMEK


A continuación, se muestra la descripción de la figura -
Descripción de "Figura - Asignación CMEK"

Asignación de CMEK con otra CMEK

Puede utilizar la consola de OCI para cambiar CMEK en su entorno dedicado. Este procedimiento se utiliza para la rotación de claves.
Requisito:
  • Ha creado un CMEK y lo ha asignado a su entorno dedicado. Para conocer el procedimiento, consulte CMEK Assign.
  • Cree una CMEK diferente en el almacén. Para conocer el procedimiento, consulte CMEK Creation.
Procedimiento:
  1. Conectarse a su consola de OCI.
  2. Abra el menú de navegación ubicado en la esquina superior izquierda, seleccione Bases de datos y, a continuación, seleccione NoSQL Base de datos.
  3. Seleccione la opción desplegable en el campo Entorno y seleccione el entorno dedicado.
  4. Debajo del campo Entorno, la Clave de cifrado muestra la CMEK y su OCID. Seleccione el enlace Editar debajo de la clave de cifrado
  5. En la página Editar clave de cifrado maestra, seleccione el almacén en la lista desplegable Almacén.
  6. Seleccione la CMEK necesaria en la lista desplegable Master Encryption Key.
  7. Seleccione Actualizar.

    Note:

    Puede asignar un CMEK diferente del mismo almacén o un CMEK de un almacén diferente.

Figura - Rotación CMEK


A continuación, se muestra la descripción de la figura -
Descripción de "Figura - Rotación CMEK"

Oracle NoSQL Database Cloud Service valida la nueva CMEK y, a continuación, la utiliza para volver a cifrar los volúmenes en bloque y las claves de Object Storage en el entorno dedicado seleccionado. El estado del entorno dedicado cambia a ACTUALIZANDO hasta que todos los datos de los volúmenes en bloque y el almacenamiento de objetos se vuelvan a cifrar. Durante este tiempo, verá un mensaje de notificación en la consola que indica Key update in progress. Tenga en cuenta que la actualización de la clave puede tardar hasta dos minutos. Después de la rotación de CMEK, la clave de cifrado refleja la nueva CMEK y su OCID.

Desactivar CMEK

Puede utilizar la consola de OCI para desactivar CMEK que se asignó anteriormente a su entorno dedicado.
Requisito:
  • Ha creado CMEK y lo ha asignado a su entorno dedicado. Para conocer el procedimiento, consulte CMEK Assign.
Procedimiento:
  1. Conéctese a la consola de OCI.
  2. Abra el menú de navegación ubicado en la esquina superior izquierda, seleccione Identidad y seguridad y, a continuación, seleccione Almacén.
  3. Seleccione el almacén en el que creó CMEK.
  4. Seleccione su CMEK.
  5. En la página Detalles de clave, seleccione Desactivar y confirme la operación.

Figura - Deshabilitar CMEK


A continuación, se muestra la descripción de la figura -
Descripción de "Figure - CMEK Disable"

El estado de CMEK se muestra desactivado. El entorno dedicado deja de estar disponible para cualquier operación en cuestión de minutos. Al intentar acceder al entorno dedicado desde la consola de OCI, se muestra un mensaje de error que indica que CMEK está desactivado.

Supresión de CMEK

Puede utilizar la consola de OCI para suprimir CMEK, que anteriormente asignó a su entorno dedicado. La eliminación de CMEK es un proceso de dos pasos con un período de espera para evitar la eliminación accidental.
Requisito:
  • Ha creado CMEK y lo ha asignado a su entorno dedicado. Para conocer el procedimiento, consulte CMEK Assign.
Procedimiento:
  1. Conéctese a la consola de OCI.
  2. Abra el menú de navegación ubicado en la esquina superior izquierda, seleccione Identidad y seguridad y, a continuación, seleccione Almacén.
  3. Seleccione el almacén en el que creó CMEK.
  4. Seleccione su CMEK.
  5. En la página Detalles de clave, seleccione Suprimir clave.
  6. Seleccione una fecha de supresión y confirme la operación.

Figura - Supresión de CMEK


A continuación, se muestra la descripción de la figura -
Descripción de "Figura - Supresión CMEK"

El estado de CMEK muestra la supresión pendiente, que es equivalente al estado desactivado. El entorno dedicado deja de estar disponible para cualquier operación. Al intentar acceder al entorno dedicado desde la consola de OCI, se muestra un mensaje de error que indica que CMEK está desactivado y pendiente de supresión.

Después de que haya pasado la fecha de supresión, todos los datos del entorno dedicado se vuelven inutilizables e irrecuperables de forma permanente. Al intentar acceder al entorno dedicado desde la consola de OCI, se muestra un mensaje de error que indica que CMEK se ha suprimido de forma permanente.

Restauración de CMEK

Puede utilizar la consola de OCI para volver a activar CMEK que se desactivó anteriormente.
Requisito:
  • CMEK está en estado desactivado.
Procedimiento:
  1. Conéctese a la consola de OCI.
  2. Abra el menú de navegación ubicado en la esquina superior izquierda, seleccione Identidad y seguridad y, a continuación, seleccione Almacén.
  3. Seleccione el almacén en el que creó CMEK.
  4. Seleccione su CMEK.
  5. En la página Detalles de clave, seleccione Activar.

Figura - Restauración CMEK


A continuación, se muestra la descripción de la figura -
Descripción de "Figura - Restauración CMEK"

Debe emitir un ticket CAM para volver a poner en línea el entorno dedicado después de que su CMEK se haya vuelto a activar en el almacén.

Eliminación de CMEK

Puede utilizar la consola de OCI para eliminar CMEK de su entorno dedicado.
Requisito:
  • Ha creado CMEK y lo ha asignado a su entorno dedicado. Para conocer el procedimiento, consulte CMEK Assign.
Procedimiento:
  1. Conéctese a la consola de OCI.
  2. Abra el menú de navegación ubicado en la esquina superior izquierda, seleccione Bases de datos y, a continuación, seleccione NoSQL Base de datos.
  3. Seleccione la opción desplegable en el campo Entorno y seleccione el entorno dedicado.
  4. Debajo del campo Entorno, la Clave de cifrado muestra la CMEK y su OCID. Seleccione el enlace Anular asignación debajo de la Clave de cifrado.

Figura - Eliminación de CMEK


A continuación, se muestra la descripción de la figura -
Descripción de "Figura - Eliminación de CMEK"

Oracle NoSQL Database Cloud Service elimina la CMEK del entorno dedicado y le asigna una clave gestionada por Oracle. Todos los datos de los volúmenes en bloque y el almacenamiento de objetos del entorno dedicado seleccionado vuelven a cifrarse con una clave de cifrado gestionada por Oracle. Después de la eliminación de CMEK, la clave de cifrado refleja la clave gestionada por Oracle.