Documentation sur Oracle Cloud Infrastructure

Nouveau chiffrement d'un objet de stockage d'objets

Rechiffrez les clés de chiffrement de données d'un objet avec une clé de chiffrement principale différente dans un seau de stockage d'objets.

Vous pouvez chiffrer de nouveau les clés de chiffrement de données qui chiffrent un objet en chiffrant de nouveau les clés de chiffrement de données de l'objet avec la dernière version de la clé de chiffrement principale affectée au compartiment. Ce rechiffrement est possible, qu'il s'agisse d'une clé gérée par Oracle ou d'une clé dans une chambre forte que vous gérez. Vous pouvez également rechiffrer les clés de chiffrement des données de l'objet avec une clé différente de chambre forte ou une clé SSE-C différente. Si vous utilisez des clés SSE-C, vous devez fournir la clé SSE-C pendant le déchiffrement de l'objet et le processus de rechiffrement ultérieur, selon le cas.

Pour recharger un objet, vous avez besoin des autorisations OBJECT_READ et OBJECT_OVERWRITE. Pour rechiffrer un objet que vous avez chiffré avec une clé SSE-C, vous devez utiliser l'interface de ligne de commande pour fournir la clé SSE-C au service de stockage d'objets à utiliser lors du décryptage et du recryptage, selon le cas.

Si vous recevez un message d'erreur, vérifiez que vous disposez des autorisations appropriées. Si vous avez accès à l'objet, vérifiez que l'objet existe et n'a pas été supprimé récemment. Si vous avez des autorisations et que l'objet existe, confirmez également si l'objet est chiffré avec une clé SSE-C.

Pour plus d'informations, voir Chiffrement des données de stockage d'objets.

    1. Dans la page de liste Seaux, sélectionnez le seau de stockage d'objets avec lequel vous voulez travailler. Si vous avez besoin d'aide pour trouver la page de liste ou le seau de stockage d'objets, voir Liste des seaux.
    2. Dans la page des détails, sélectionnez Objets.
    3. Dans le menu Actions de l'objet souhaité, sélectionnez Rechiffrer.
    4. Effectuez l'une des tâches suivantes, selon qu'il s'agit ou non d'une clé gérée par Oracle ou d'une clé dans une chambre forte que vous gérez :

      • Pour les seaux chiffrés avec une clé gérée par Oracle, vous pouvez rechiffrer l'objet avec la dernière version de cette clé en sélectionnant Utiliser la clé affectée au seau. Ou, vous pouvez chiffrer de nouveau l'objet avec une clé dans une chambre forte en sélectionnant Utiliser une clé gérée par le client, puis en choisissant une clé dans un compartiment et une chambre forte auxquels vous avez accès.

      • Pour les seaux chiffrés avec une clé gérée par le client, vous pouvez rechiffrer l'objet avec la dernière version de cette clé en sélectionnant Utiliser la clé affectée au seau. Ou, vous pouvez recharger l'objet avec une clé de chambre forte différente en sélectionnant Utiliser une clé gérée par le client différente, puis en choisissant une autre clé dans un compartiment et une chambre forte auxquels vous avez accès.

    5. Sélectionnez Rechiffrer.

  • Utilisez la commande oci os object reencrypt et les paramètres requis pour rechiffrer les clés de chiffrement de données d'un objet avec la dernière version de clé de la clé affectée au seau :

    oci os object reencrypt --bucket-name bucket_name --name object_name

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt

    Les clés de chiffrement des données de l'objet sont rechiffrées sans autre information retournée.

    Chiffrement à l'aide d'une clé SSE-C

    Vous pouvez rechiffrer les clés de chiffrement de données d'un objet avec une clé SSE-C.

    oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey

    Si les clés de chiffrement des données de l'objet sont actuellement chiffrées avec une clé SSE-C, incluez le paramètre source-encryption-key-file pour fournir également le nom du fichier qui contient la chaîne encodée en base64 de la clé de chiffrement source AES-256 pour déchiffrer d'abord l'objet.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey

    Si l'objet est actuellement chiffré avec une clé SSE-C, et que vous voulez chiffrer les clés de chiffrement de données de l'objet avec une clé SSE-C différente, indiquez le nom du fichier de chaque clé.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey

    Chiffrement à l'aide d'une clé de chambre forte

    Pour rechiffrer les clés de chiffrement des données d'un objet avec une clé de chambre forte spécifique, incluez le paramètre kms-key-id.

    oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Chiffrement à l'aide de clés SSE-C et Vault

    Si la clé est chiffrée avec une clé SSE-C et que vous rechiffrez les clés de chiffrement des données d'un objet avec une clé de chambre forte spécifique, vous devez inclure le paramètre source-encryption-key-file qui fournit le nom du fichier contenant la chaîne encodée en base64 de la clé de chiffrement source AES-256 pour déchiffrer d'abord l'objet.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Pour la liste complète des paramètres et valeurs des commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface.

  • Exécutez l'opération ReencryptObject pour chiffrer de nouveau les clés de chiffrement de données d'un objet avec la dernière version de la clé affectée au seau.

    Le stockage d'objets ajoute un préfixe à la chaîne d'espace de noms du stockage d'objets et du nom du seau pour le nom de l'objet lors de la création d'une URL à utiliser avec l'API :

    /n/object_storage_namespace/b/bucket/o/object_name

    Le nom d'objet correspond à tout élément après /o/, ce qui peut inclure des niveaux de hiérarchie et des chaînes de préfixe.