Flux de travail de gestion des clés CMEK

Découvrez les opérations de gestion prises en charge pour les clés de chiffrement gérées par le client.

Rubriques connexes

Opérations de gestion des clés CMEK

La console OCI vous permet d'effectuer les opérations de gestion CMEK suivantes :

Chaque opération est expliquée en détail dans les sections suivantes.

Affectation CMEK

Vous pouvez utiliser la console OCI pour affecter un CMEK à votre environnement dédié.
Conditions requises : :
  • Créez un CMEK dans le coffre-fort. Pour la procédure, voir Création CMEK.
  • Créez les politiques de contrôle d'accès requises. Pour plus de détails, voir Contrôle d'accès CMEK.
Procédure :
  1. Se connecter à la console OCI.
  2. Ouvrez le menu de navigation situé dans l'angle supérieur gauche, sélectionnez Bases de données, puis NoSQL Base de données.
  3. Sélectionnez l'option de liste déroulante dans le champ Environnement et sélectionnez votre environnement dédié.
  4. Au-dessous du champ Environnement, la clé de chiffrement affiche la clé gérée par Oracle. Sélectionnez le lien Affecter à côté de la clé gérée par Oracle.
  5. Dans la page Affecter une clé de chiffrement principale, sélectionnez votre chambre forte dans la liste déroulante Chambre forte.
  6. Sélectionnez votre CMEK dans la liste déroulante Clé de chiffrement principale.
  7. Sélectionnez Affecter.

Figure - Page Affectation CMEK


Description de la figure - :
Description de "Figure - Page Affectation CMEK"

Oracle NoSQL Database Cloud Service valide le CMEK, puis l'utilise pour chiffrer les volumes par blocs et les clés de stockage d'objets dans l'environnement dédié choisi. L'état de l'environnement dédié passe à MISE À JOUR jusqu'à ce que tous vos volumes par blocs et clés de stockage d'objets soient chiffrés. Pendant cette durée, vous verrez un message d'avis sur la console indiquant Mise à jour de clé en cours. Notez que la mise à jour de la clé peut prendre jusqu'à deux minutes. Après l'affectation CMEK, la clé de chiffrement reflète votre CMEK et son OCID.

Figure - Affectation CMEK


Description de la figure - :
Description de "Figure - Affectation CMEK"

CMEK - Affecter avec un CMEK différent

Vous pouvez utiliser la console OCI pour modifier CMEK dans votre environnement dédié. Vous utilisez cette procédure pour la rotation des clés.
Conditions requises : :
  • Vous avez créé un CMEK et l'avez affecté à votre environnement dédié. Pour la procédure, voir Affectation CMEK.
  • Créez un CMEK différent dans le coffre-fort. Pour la procédure, voir Création CMEK.
Procédure :
  1. Se connecter à la console OCI.
  2. Ouvrez le menu de navigation situé dans l'angle supérieur gauche, sélectionnez Bases de données, puis NoSQL Base de données.
  3. Sélectionnez l'option de liste déroulante dans le champ Environnement et sélectionnez votre environnement dédié.
  4. Au-dessous du champ Environnement, la clé de chiffrement affiche le CMEK et son OCID. Sélectionnez le lien Modifier sous la clé de chiffrement
  5. Dans la page Modifier la clé de chiffrement principale, sélectionnez votre chambre forte dans la liste déroulante Chambre forte.
  6. Sélectionnez le CMEK requis dans la liste déroulante Clé de chiffrement principale.
  7. Sélectionnez Mettre à jour.

    Note :

    Vous pouvez affecter un CMEK différent à partir de la même chambre forte ou un CMEK à partir d'une chambre forte différente.

Figure - Rotation CMEK


Description de la figure - :
Description de "Figure - Rotation CMEK"

Oracle NoSQL Database Cloud Service valide le nouveau CMEK, puis l'utilise pour rechiffrer vos volumes par blocs et vos clés de stockage d'objets dans l'environnement dédié choisi. L'état de l'environnement dédié passe à MISE À JOUR jusqu'à ce que toutes vos données du service de volumes par blocs et du service de stockage d'objets soient chiffrées de nouveau. Pendant cette durée, vous verrez un message d'avis sur la console indiquant Mise à jour de clé en cours. Notez que la mise à jour de la clé peut prendre jusqu'à deux minutes. Après la rotation CMEK, la clé de chiffrement reflète la nouvelle clé CMEK et son OCID.

CMEK - Désactiver

Vous pouvez utiliser la console OCI pour désactiver CMEK qui a été précédemment affecté à votre environnement dédié.
Conditions requises : :
  • Vous avez créé CMEK et l'avez affecté à votre environnement dédié. Pour la procédure, voir Affectation CMEK.
Procédure :
  1. Se connecter à la console OCI.
  2. Ouvrez le menu de navigation situé dans le coin supérieur gauche, sélectionnez Identité et sécurité, puis sélectionnez Chambre forte.
  3. Sélectionnez la chambre forte dans laquelle vous avez créé CMEK.
  4. Sélectionnez votre CMEK.
  5. Dans la page Détails de la clé, sélectionnez Désactiver et confirmez l'opération.

Figure - Désactiver CMEK


Description de la figure - :
Description de "Figure - CMEK Disable"

Le statut de CMEK est désactivé. L'environnement dédié devient indisponible pour toute opération en quelques minutes. Lorsque vous essayez d'accéder à l'environnement dédié à partir de la console OCI, un message d'erreur s'affiche indiquant que CMEK est désactivé.

CMEK - Supprimer

Vous pouvez utiliser la console OCI pour supprimer CMEK, que vous avez précédemment affectée à votre environnement dédié. La suppression de CMEK est un processus en deux étapes avec un délai d'attente pour empêcher la suppression accidentelle.
Conditions requises : :
  • Vous avez créé CMEK et l'avez affecté à votre environnement dédié. Pour la procédure, voir Affectation CMEK.
Procédure :
  1. Se connecter à la console OCI.
  2. Ouvrez le menu de navigation situé dans le coin supérieur gauche, sélectionnez Identité et sécurité, puis sélectionnez Chambre forte.
  3. Sélectionnez la chambre forte dans laquelle vous avez créé CMEK.
  4. Sélectionnez votre CMEK.
  5. Dans la page Détails de la clé, sélectionnez Supprimer la clé.
  6. Sélectionnez une date de suppression et confirmez l'opération.

Figure - Suppression CMEK


Description de la figure - :
Description de "Figure - CMEK Deletion"

Le statut de CMEK indique la suppression en attente, ce qui équivaut à l'état désactivé. L'environnement dédié devient indisponible pour toute opération. Lorsque vous essayez d'accéder à l'environnement dédié à partir de la console OCI, un message d'erreur s'affiche indiquant que CMEK est désactivé et en attente de suppression.

Une fois la date de suppression passée, toutes vos données dans l'environnement dédié deviennent inutilisables en permanence et irrécupérables. Lorsque vous essayez d'accéder à l'environnement dédié à partir de la console OCI, un message d'erreur s'affiche indiquant que CMEK est supprimé définitivement.

Restauration CMEK

Vous pouvez utiliser la console OCI pour réactiver CMEK qui a été précédemment désactivé.
Conditions requises : :
  • CMEK est à l'état Désactivé.
Procédure :
  1. Se connecter à la console OCI.
  2. Ouvrez le menu de navigation situé dans le coin supérieur gauche, sélectionnez Identité et sécurité, puis sélectionnez Chambre forte.
  3. Sélectionnez la chambre forte dans laquelle vous avez créé CMEK.
  4. Sélectionnez votre CMEK.
  5. Dans la page Détails de la clé, sélectionnez Activer.

Figure - Restauration CMEK


Description de la figure - :
Description de "Figure - CMEK Restoration"

Vous devez lever un ticket CAM pour remettre l'environnement dédié en ligne après que son CMEK a été réactivé dans le coffre-fort.

Suppression CMEK

Vous pouvez utiliser la console OCI pour supprimer CMEK de votre environnement dédié.
Conditions requises : :
  • Vous avez créé CMEK et l'avez affecté à votre environnement dédié. Pour la procédure, voir Affectation CMEK.
Procédure :
  1. Se connecter à la console OCI.
  2. Ouvrez le menu de navigation situé dans l'angle supérieur gauche, sélectionnez Bases de données, puis NoSQL Base de données.
  3. Sélectionnez l'option de liste déroulante dans le champ Environnement et sélectionnez votre environnement dédié.
  4. Au-dessous du champ Environnement, la clé de chiffrement affiche le CMEK et son OCID. Sélectionnez le lien Annuler l'affectation sous la clé de chiffrement.

Figure - Enlèvement de CMEK


Description de la figure - :
Description de "Figure - CMEK Removal"

Oracle NoSQL Database Cloud Service supprime CMEK de l'environnement dédié et lui affecte une clé gérée par Oracle. Toutes les données du service de volumes par blocs et du service de stockage d'objets de l'environnement dédié choisi sont rétablies lors de l'obtention d'un chiffrement à l'aide d'une clé de chiffrement gérée par Oracle. Après la suppression de CMEK, la clé de chiffrement reflète la clé gérée par Oracle.