Versions de clé secrète et états de rotation
Découvrez les versions de clé secrète de coffre, les états de rotation et l'impact de la limitation de version de clé secrète.
Comprendre les versions et les états de rotation des clés secrètes d'archivage sécurisé vous aidera à suivre et à gérer le contenu des clés secrètes afin de rester en conformité avec les limites, la rotation ou d'autres règles ou réglementations.
Pour obtenir une définition de base des concepts de clé secrète, notamment des versions de clé secrète et des états de rotation, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes. Pour plus d'informations sur l'utilisation des versions de clé secrète, reportez-vous à Gestion des clés secrètes Vault.
Etats de rotation
Les versions de clé secrète peuvent avoir plusieurs états de rotation à la fois. S'il existe une seule version de clé secrète, par exemple lorsque vous créez une clé secrète, la version de clé secrète est automatiquement marquée comme celle en cours et comme la dernière. La dernière version d'une clé secrète contient le contenu de clé secrète qui a été téléchargé en dernier vers le coffre (pour faciliter le suivi).
Lorsque vous effectuez une rotation de clé secrète pour télécharger vers le serveur un nouveau contenu de clé secrète, vous pouvez le marquer en attente. Si vous définissez l'état de rotation d'une version de clé secrète sur En attente, vous pouvez télécharger le contenu de clé secrète vers le coffre sans le rendre immédiatement actif. Vous pouvez continuer à utiliser la version de clé secrète en cours jusqu'à ce que vous soyez prêt à promouvoir la version de clé secrète en attente vers le statut En cours. Cela se produit généralement après la rotation des informations d'identification sur le service ou la ressource cible. Vous ne devez pas modifier la version de clé secrète de manière inattendue. La modification de la version en cours de la clé secrète empêche l'application qui en a besoin d'extraire la version attendue à partir du coffre.
Pour annuler et revenir facilement à une version précédente, par exemple lorsque vous avez fait une erreur lors de la mise à jour du contenu de clé secrète ou lorsque vous avez restauré la sauvegarde d'une ancienne ressource et que vous devez reprendre l'ancien contenu de clé secrète, une version de clé secrète peut également être définie comme précédente. Une version de clé secrète précédente a déjà été une version de clé secrète en cours. Pour annuler et revenir à une version précédente, vous devez mettre à jour la clé secrète pour indiquer le numéro de version souhaité.
Tant qu'une version de clé secrète n'a pas été supprimée, vous pouvez mettre à jour la clé secrète pour utiliser cette version antérieure. Lorsque vous mettez à jour la clé secrète, le numéro de version choisi est défini sur En cours. Cela revient à promouvoir une version de clé secrète vers l'état En cours.
Vous pouvez uniquement supprimer les versions de clé secrète qui sont en phase d'abandon. Une version de clé secrète en phase d'abandon n'est pas en cours, ni en attente, ni une version précédente. Cela vous évite de supprimer une version de clé secrète dont vous pourriez avoir besoin ultérieurement (par exemple, lors de la restauration d'une base de données sauvegardée précédemment). Une version de clé secrète dans un état autre que En phase d'abandon peut être définie sur En cours pour la renvoyer vers une utilisation active.
Limitation de version
Les limites s'appliquent aux versions de clé secrète en cours d'utilisation et aux versions en phase d'abandon, y compris celles qui ont été planifiées pour suppression. Pour plus d'informations sur les limites relatives au nombre de versions pour une clé secrète donnée et pour les versions de clé secrète dans une location, reportez-vous à Limites de service.