Rotation de clé
Voyez comment effectuer la rotation d'une clé en créant une nouvelle version de clé.
Lorsque vous créez une nouvelle version de clé d'une clé de chiffrement principale, le service KMS fait pivoter la version de clé utilisée pour la clé. Le service peut générer le matériel de clé pour la nouvelle version de clé, ou vous pouvez importer votre propre matériel de clé. Lors de l'importation d'une clé, vous devez utiliser une clé d'encapsulation pour encapsuler le matériau de clé. Toutefois, vous ne pouvez pas créer, supprimer ou faire pivoter une clé d'encapsulation. Pour plus d'informations sur la rotation des clés, voir Versions et rotations de clés dans la rubrique Concepts relatifs à la gestion des clés et des clés secrètes.
Rotation automatique des clés
Pour les clés créées dans des chambres fortes privées virtuelles, vous pouvez activer la rotation automatique des clés. Pour plus de détails, voir la section Rotation automatique des clés de la rubrique Concepts relatifs à la gestion des clés et des clés secrètes. Cette option peut être activée lors de la création de la clé ou après la création d'une clé. Voir Activation et mise à jour de la rotation automatique des clés pour obtenir des instructions sur la mise à jour des paramètres de rotation automatique et Création d'une clé de chiffrement principale pour obtenir des instructions sur la création d'une nouvelle clé avec la rotation automatique activée.
Rotation manuelle des clés
Utilisez les instructions des sections suivantes pour effectuer une rotation manuelle d'une clé à l'aide de la console, de l'interface de ligne de commande ou de l'API.
Utilisez la commande oci kms management key-version create et les paramètres requis pour effectuer la rotation d'une clé.
oci kms management key-version create --key-id <target_key_id> --endpoint <kmsmanagement_endpoint> [OPTIONS]Les opérations cryptographiques impliquant des objets chiffrés avec la version précédente de cette clé continueront d'utiliser l'ancienne version de clé. Vous pouvez rechiffrer ces objets avec la version de clé courante si vous préférez.
Pour la liste complète des paramètres et des valeurs pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.
Utilisez l'API CreateKeyVersion avec le point d'extrémité de gestion pour effectuer la rotation d'une clé de chiffrement principale.
Note
Le point d'extrémité de gestion est utilisé pour les opérations de gestion, notamment Créer, Mettre à jour, Lister, Obtenir et Supprimer. Le point d'extrémité de gestion est également appelé URL du plan de contrôle ou point d'extrémité KMSMANAGEMENT.
Le point d'extrémité cryptographique est utilisé pour des opérations cryptographiques telles que le chiffrement, le déchiffrement, la génération de clé de chiffrement des données, la signature et la vérification. Le point d'extrémité cryptographique est également appelé URL du plan de données ou point d'extrémité KMSCRYPTO.
Vous pouvez trouver les points d'extrémité de gestion et cryptographiques dans les métadonnées des détails d'une chambre forte. Pour obtenir des instructions, voir Obtention des détails d'une chambre forte.
Pour les points d'extrémité régionaux pour les API de gestion des clés, de gestion des clés secrètes et d'extraction des clés secrètes, voir Informations de référence sur les API et points d'extrémité d'API.
Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.