Documentation sur Oracle Cloud Infrastructure

Suppression d'une clé

Voyez comment programmer la suppression d'une clé de chiffrement principale stockée dans une chambre forte OCI.

Le service de gestion des clés d'OCI vous permet de désactiver ou de supprimer des clés que vous n'utilisez plus. Si la désactivation d'une clé fournit le chemin le plus simple pour restaurer une clé de service si elle est nécessaire ultérieurement, vous devrez peut-être supprimer des clés en raison de la politique de cycle de vie des clés de votre organisation ou libérer un quota dans votre limite du service de gestion des clés.

Comme la suppression d'une clé est une opération destructrice qui peut entraîner l'indisponibilité des données chiffrées avec la clé, OCI nécessite que vous programmiez la suppression avec une période d'attente que vous spécifiez. Vous pouvez soit accepter la période d'attente par défaut de 30 jours avant la suppression, soit spécifier une période plus courte, 7 jours étant la période d'attente minimale. Nous vous recommandons de sauvegarder une clé avant de la programmer pour suppression. Avec une sauvegarde, vous pouvez restaurer la clé dans la chambre forte si vous devez utiliser la clé plus tard.

Nous recommandons d'utiliser les données du journal de service pour analyser l'utilisation des clés et décider si une clé est supprimée ou désactivée, le cas échéant. Notez que certaines clés peuvent toujours être importantes sur le plan opérationnel malgré une activité limitée, et cela doit être pris en compte avec les données d'utilisation lors de la décision de supprimer ou de désactiver une clé. Voir Surveillance de l'utilisation des clés pour plus d'informations sur l'utilisation des journaux du service OCI pour suivre l'utilisation des clés.

Important :

  • Lorsqu'une clé est à l'état Suppression en attente, tout élément crypté par cette clé devient immédiatement inaccessible, y compris les secrets. En outre, la clé ne peut pas être affectée ou non affectée à des ressources ou autrement mise à jour. Lorsque la clé est supprimée, tout matériel et métadonnées de clé sont détruits de façon irréversible. Avant de supprimer une clé, affectez une nouvelle clé aux ressources actuellement chiffrées par la clé ou préservez vos données d'une autre manière. Pour restaurer l'utilisation d'une clé avant sa suppression définitive, vous pouvez annuler sa suppression. Pour plus d'informations, voir Annulation de la suppression d'une clé de chiffrement principale.
  • Lorsque la suppression de votre clé est programmée, la rotation automatique est temporairement suspendue mais n'est pas désactivée pour les clés pour lesquelles cette fonction est activée. Si la suppression de la clé est annulée et que la clé retourne à l'état Actif, le paramètre de rotation automatique que la clé avait avant la suppression programmée est restauré.
    1. Dans la page de liste Clés de chiffrement principales, recherchez la clé avec laquelle vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste, voir Liste des clés.
    2. Dans le menu Actions (trois points) à la fin de l'entrée de rangée de la clé, sélectionnez Supprimer la clé.
    3. Dans la page Confirmer, entrez le nom de la clé dans le champ Nom pour confirmer.
    4. Utilisez les champs Sélectionner la date de suppression et Heure pour programmer le moment où le service de chambre forte doit supprimer la clé. Par défaut, le service programme la suppression des clés 30 jours après la date et l'heure courantes. Vous pouvez définir un intervalle compris entre 7 et 30 jours. Lorsque vous programmez la clé pour suppression, nous vous recommandons de la sauvegarder car toutes les opérations de gestion des clés sont effectuées.
    5. Sélectionnez Supprimer la clé.

  • Utilisez la commande oci kms management key schedule-deletion et les paramètres requis pour programmer la suppression d'une clé. Par défaut, la suppression est programmée pendant 30 jours à compter de l'heure de la demande. Utilisez le paramètre facultatif --time-of-deletion pour programmer la suppression pendant un nombre de jours compris entre 7 et 30 à partir de l'heure de la demande. Pour plus d'informations, voir Informations de référence sur les commandes de l'interface de ligne de commande :

    oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <kmsmanagement_control_plane_URL>

    Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

  • Exécutez l'opération ScheduleKeyDeletion avec le point d'extrémité de gestion pour supprimer la clé de chambre forte.

    Note

    Le point d'extrémité de gestion est utilisé pour les opérations de gestion, notamment Créer, Mettre à jour, Lister, Obtenir et Supprimer. Le point d'extrémité de gestion est également appelé URL du plan de contrôle ou point d'extrémité KMSMANAGEMENT.

    Le point d'extrémité cryptographique est utilisé pour des opérations cryptographiques telles que le chiffrement, le déchiffrement, la génération de clé de chiffrement des données, la signature et la vérification. Le point d'extrémité cryptographique est également appelé URL du plan de données ou point d'extrémité KMSCRYPTO.

    Vous pouvez trouver les points d'extrémité de gestion et cryptographiques dans les métadonnées des détails d'une chambre forte. Pour obtenir des instructions, voir Obtention des détails d'une chambre forte.

    Pour les points d'extrémité régionaux pour les API de gestion des clés, de gestion des clés secrètes et d'extraction des clés secrètes, voir Informations de référence sur les API et points d'extrémité d'API.

    Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.