Documentation Oracle Cloud Infrastructure

Suppression d'une clé

Découvrez comment programmer la suppression d'une clé de cryptage maître stockée dans un coffre OCI.

Le service Key Management d'OCI vous offre la possibilité de désactiver ou de supprimer des clés que vous n'utilisez plus. Bien que la désactivation d'une clé fournisse le chemin le plus simple pour restaurer une clé vers le service si la clé est nécessaire ultérieurement, vous devrez peut-être supprimer des clés en raison de la stratégie de cycle de vie des clés de votre organisation ou libérer un quota dans votre limite de service Key Management.

Etant donné que la suppression d'une clé est une opération destructive qui peut aboutir à des données cryptées avec la clé inaccessible, OCI vous demande de programmer la suppression avec une période d'attente que vous indiquez. Vous pouvez soit accepter la période d'attente par défaut de 30 jours jusqu'à la suppression, soit spécifier une période plus courte, 7 jours étant la période d'attente minimale. Il est vivement recommandé de sauvegarder une clé avant de la programmer pour sa suppression. Avec une sauvegarde, vous pouvez restaurer la clé dans le coffre si vous devez l'utiliser ultérieurement.

Nous vous recommandons d'utiliser les données du journal de service pour analyser l'utilisation des clés et décider si une clé doit être supprimée ou désactivée, le cas échéant. Notez que certaines clés peuvent encore être opérationnelles malgré une activité limitée, et cela doit être pris en compte avec les données d'utilisation lors de la prise de décision concernant la suppression ou la désactivation d'une clé. Pour plus d'informations sur l'utilisation des journaux de service OCI afin de suivre l'utilisation des clés, reportez-vous à Surveillance de l'utilisation des clés.

Important :

  • Lorsqu'une clé est à l'état Suppression en attente, tout élément crypté par cette clé devient immédiatement inaccessible, y compris les clés secrètes. La clé ne peut pas non plus être affectée à une ressource ou d'en annuler l'attribution, ni même la mettre à jour. Lorsque la clé est supprimée, toutes les informations et les métadonnées associées sont détruites de façon irréversible. Avant de supprimer une clé, affectez une nouvelle clé aux ressources actuellement cryptées par cette clé ou conservez les données d'une autre façon. Pour restaurer l'utilisation d'une clé avant sa suppression définitive, vous pouvez annuler sa suppression. Pour plus d'informations, reportez-vous à Annulation de la suppression d'une clé de cryptage maître.
  • Lorsque la suppression de votre clé est programmée, la rotation automatique est temporairement suspendue mais n'est pas désactivée pour les clés pour lesquelles cette fonctionnalité est activée. Si la suppression de la clé est annulée et que la clé revient à l'état Actif, le paramètre de rotation automatique que la clé avait avant la suppression programmée est restauré.
    1. Sur la page de liste Clés de cryptage maître, recherchez la clé à utiliser. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des clés.
    2. Dans le menu Actions (trois points) à la fin de l'entrée de ligne de la clé, sélectionnez Supprimer la clé.
    3. Sur la page Confirmer, entrez le nom de la clé dans le champ Nom pour confirmer.
    4. Utilisez les champs Sélectionner la date de suppression et Heure pour planifier le moment où vous souhaitez que le service Vault supprime la clé. Par défaut, le service programme la suppression des clés à 30 jours à partir de la date et de l'heure en cours. Vous pouvez définir une plage comprise entre 7 et 30 jours. Lorsque vous planifiez la suppression de la clé, nous vous recommandons de la sauvegarder car toutes les opérations de gestion des clés sont effectuées.
    5. Sélectionnez Supprimer la clé.

  • Utilisez la commande oci kms management key schedule-deletion et les paramètres requis pour planifier la suppression d'une clé. Par défaut, la suppression est planifiée pendant 30 jours à compter de l'heure de la demande. Utilisez le paramètre facultatif --time-of-deletion pour programmer la suppression pendant un nombre de jours compris entre 7 et 30 à partir de l'heure de la demande. Pour plus d'informations, reportez-vous à la référence des commandes de la CLI :

    oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <kmsmanagement_control_plane_URL>

    Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.

  • Exécutez l'opération ScheduleKeyDeletion avec l'adresse de gestion pour supprimer la clé de coffre.

    Remarque

    L'adresse de gestion est utilisée pour les opérations de gestion telles que la création, la mise à jour, la liste, l'obtention et la suppression. L'adresse de gestion est également appelée URL du plan de contrôle ou adresse KMSMANAGEMENT.

    L'adresse cryptographique est utilisée pour les opérations cryptographiques, notamment le cryptage, le décryptage, la génération de clé de cryptage de données, la signature et la vérification. L'adresse cryptographique est également appelée URL de plan de données ou adresse KMSCRYPTO.

    Vous pouvez trouver les adresses de gestion et cryptographiques dans les métadonnées de détails d'un coffre. Pour obtenir des instructions, reportez-vous à Obtention des détails d'un coffre.

    Pour connaître les adresses régionales des API de gestion des clés, de gestion des clés secrètes et d'extraction de clés secrètes, reportez-vous à Adresses et référence d'API.

    Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.