Modification de la clé de cryptage maître affectée
Modifiez la clé affectée à une ressource de volume de blocs, telle qu'une sauvegarde de volume ou de volume. Vous pouvez affecter une clé gérée par le client ou par Oracle. Lorsque vous modifiez la clé, la clé de données est recryptée. (Le contenu de la ressource n'est pas recrypté pour une modification de clé.)
Reportez-vous également à Mise à jour d'une clé vers un volume de blocs.
Exigences
Clés de cryptage gérées par le client pour les opérations inter-région
Les clés de cryptage Vault pour les volumes n'ont pas été copiées dans la région de destination pour les sauvegardes des volumes et de groupe de volume programmées activées pour la copie inter-région. A la place, vous pouvez indiquer une clé de cryptage Vault pour la sauvegarde copiée dans la région de destination lorsque vous affectez la stratégie de sauvegarde. Lorsque vous affectez la stratégie de sauvegarde, si elle est activée pour les copies de sauvegarde inter-région, sélectionnez Crypter à l'aide des clés gérées par le client pour Cryptage de copie de sauvegarde inter-région afin de crypter la sauvegarde de volume ou de groupe de volumes dans la région de destination. Si vous sélectionnez cette option, vous devez indiquer l'OCID d'une clé de cryptage valide dans la région de destination. Pour plus d'informations, reportez-vous à
Lorsque vous spécifiez une clé de cryptage gérée par le client pour les opérations inter-région, assurez-vous des points suivants :
- L'OCID est un OCID valide pour la clé de cryptage, au format suivant :
ocid1.key.oc1.iad-ad-1.<unique_ID> - L'OCID concerne une clé de cryptage qui existe dans la région de destination pour l'opération inter-région.
- Vous disposez des droits d'accès requis configurés dans la région de destination pour utiliser des clés de cryptage avec Block Volume. Pour plus d'informations, reportez-vous aux rubriques suivantes :
Si vous n'indiquez pas de clé de cryptage gérée par le client pour les opérations inter-région, un cryptage géré par Oracle est utilisé par défaut. Ces exigences ne s'appliquent pas aux clés de cryptage gérées par Oracle.
Copies de sauvegarde inter-région
Lorsque vous copiez manuellement une sauvegarde de volume entre les régions, vous pouvez utiliser la clé gérée par Oracle ou votre propre clé de cryptage. Lorsque vous affectez une stratégie de sauvegarde avec copies de sauvegarde inter-région activées à un volume ou à un groupe de volumes, ou que vous effectuez une copie de sauvegarde manuelle inter-région, vous pouvez éventuellement sélectionner Crypter à l'aide de clés gérées par le client pour cryptage de copie de sauvegarde inter-région afin de crypter la sauvegarde de volume dans la région de destination. Si vous sélectionnez cette option, vous devez indiquer l'OCID d'une clé de cryptage valide dans la région de destination.
Reportez-vous également à Clés de cryptage gérées par le client pour les opérations inter-région.
Utilisez la commande spécifique à la ressource appropriée et les paramètres requis pour affecter une clé de cryptage maître.
Par exemple, pour une sauvegarde de volume de blocs, utilisez oci bv backup update.
- Exemple 1 : clé gérée par le clients :
oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID> - Exemple 2 : clé gérée par Oracle (chaîne vide pour l'ID de clé) :
oci bv backup update --backup-id=<backup_ID> --kms-key-id=''
Pour un volume, utilisez oci bv volume-kms-key update.
oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.
- Exemple 1 : clé gérée par le clients :
Exécutez l'opération appropriée propre à la ressource pour affecter une clé de cryptage maître.
Par exemple, pour une sauvegarde de volume de blocs, exécutez l'opération UpdateVolumeBackup et indiquez l'OCID de clé de cryptage dans l'attribut
kmsKeyId.Pour un volume, exécutez l'opération UpdateVolumeKmsKey et indiquez l'OCID de clé de cryptage dans l'attribut
kmsKeyId.