Rotation d'une clé
Découvrez comment effectuer la rotation d'une clé en créant une nouvelle version de clé.
Lorsque vous créez une nouvelle version de clé d'une clé de cryptage maître, le service KMS effectue la rotation de la version de clé utilisée pour la clé. Le service peut générer le matériel de clé pour la nouvelle version de clé, ou vous pouvez importer votre propre matériel de clé. Lors de l'importation d'une clé, vous devez utiliser une clé d'encapsulation pour encapsuler le matériel de la clé. Toutefois, vous ne pouvez pas créer, supprimer ou faire pivoter une clé d'encapsulation. Pour plus d'informations sur la rotation des clés, reportez-vous à Versions et rotations de clés dans la rubrique Concepts relatifs à la gestion des clés et des clés secrètes.
Rotation automatique des clés
Pour les clés créées dans des coffres privés virtuels, vous pouvez activer la rotation automatique des clés. Pour plus d'informations, reportez-vous à la section Rotation automatique des clés de la rubrique Concepts de gestion des clés et des clés secrètes. Cette option peut être activée lors de la création de la clé ou après la création d'une clé. Pour obtenir des instructions sur la mise à jour des paramètres de rotation automatique, reportez-vous à Activation et mise à jour de la rotation automatique des clés et à Création d'une clé de cryptage maître pour obtenir des instructions sur la création d'une clé avec la rotation automatique activée.
Rotation manuelle des clés
Suivez les instructions des sections suivantes pour effectuer manuellement la rotation d'une clé à l'aide de la console, de l'interface de ligne de commande ou de l'API.
Utilisez la commande oci kms management key-version create et les paramètres requis pour effectuer la rotation d'une clé.
oci kms management key-version create --key-id <target_key_id> --endpoint <kmsmanagement_endpoint> [OPTIONS]Les opérations cryptographiques impliquant des objets cryptés avec la version précédente de cette clé continueront d'utiliser l'ancienne version de clé. Si vous préférez, vous pouvez recrypter ces objets avec la version de clé en cours.
Pour obtenir la liste complète des paramètres et des valeurs des commandes de la CLI, reportez-vous à Référence des commandes de la CLI.
Utilisez l'API CreateKeyVersion avec l'adresse de gestion pour effectuer la rotation d'une clé de cryptage maître.
Remarque
L'adresse de gestion est utilisée pour les opérations de gestion telles que la création, la mise à jour, la liste, l'obtention et la suppression. L'adresse de gestion est également appelée URL du plan de contrôle ou adresse KMSMANAGEMENT.
L'adresse cryptographique est utilisée pour les opérations cryptographiques, notamment le cryptage, le décryptage, la génération de clé de cryptage de données, la signature et la vérification. L'adresse cryptographique est également appelée URL de plan de données ou adresse KMSCRYPTO.
Vous pouvez trouver les adresses de gestion et cryptographiques dans les métadonnées de détails d'un coffre. Pour obtenir des instructions, reportez-vous à Obtention des détails d'un coffre.
Pour connaître les adresses régionales des API de gestion des clés, de gestion des clés secrètes et d'extraction de clés secrètes, reportez-vous à Adresses et référence d'API.
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.