Workflow de gestion des clés CMEK

Découvrez les opérations de gestion prises en charge pour les clés de cryptage gérées par le client.

Rubriques connexes

Opérations de gestion des clés CMEK

La console OCI vous permet d'effectuer les opérations de gestion CMEK suivantes :

Chaque opération est expliquée en détail dans les sections suivantes.

Affectation CMEK

Vous pouvez utiliser la console OCI pour affecter un CMEK à votre environnement dédié.
Prérequis:
  • Créez un fichier CMEK dans le coffre. Pour plus d'informations sur la procédure, reportez-vous à Création de CMEK.
  • Créez les stratégies de contrôle d'accès requises. Pour plus d'informations, reportez-vous à CMEK Access Control.
Procédure:
  1. Connectez-vous à la console OCI.
  2. Ouvrez le menu de navigation situé dans l'angle supérieur gauche, sélectionnez Bases de données, puis NoSQL Database.
  3. Sélectionnez l'option de liste déroulante dans le champ Environnement et sélectionnez votre environnement dédié.
  4. Sous le champ Environnement, la clé de cryptage affiche la clé gérée par Oracle. Sélectionnez le lien Affecter en regard de la clé gérée par Oracle.
  5. Sur la page Affecter une clé de cryptage maître, sélectionnez votre coffre dans la liste déroulante Vault.
  6. Sélectionnez votre CMEK dans la liste déroulante Clé de cryptage maître.
  7. Sélectionnez Affecter.

Figure - Page Affectation CMEK


Description de la figure -
Description de "Figure - Page d'affectation CMEK"

Oracle NoSQL Database Cloud Service valide le code CMEK, puis l'utilise pour crypter les clés Block Volumes et Object Storage dans l'environnement dédié choisi. L'état de l'environnement dédié passe à UPDATING jusqu'à ce que toutes vos clés Block Volumes et Object Storage soient cryptées. Pendant cette durée, un message de notification apparaît sur la console indiquant que la mise à jour de clé est en cours. La mise à jour de la clé peut prendre jusqu'à deux minutes. Après l'affectation CMEK, la clé de cryptage reflète votre CMEK et son OCID.

Figure - Affectation CMEK


Description de la figure -
Description de "Figure - Affectation CMEK"

CMEK - Affecter avec un autre CMEK

Vous pouvez utiliser la console OCI pour modifier CMEK dans votre environnement dédié. Utilisez cette procédure pour la rotation des clés.
Prérequis:
  • Vous avez créé un CMEK et l'avez affecté à votre environnement dédié. Pour connaître la procédure, reportez-vous à la section CMEK Assign.
  • Créez un autre CMEK dans le coffre. Pour plus d'informations sur la procédure, reportez-vous à Création de CMEK.
Procédure:
  1. Connectez-vous à la console OCI.
  2. Ouvrez le menu de navigation situé dans l'angle supérieur gauche, sélectionnez Bases de données, puis NoSQL Database.
  3. Sélectionnez l'option de liste déroulante dans le champ Environnement et sélectionnez votre environnement dédié.
  4. Sous le champ Environnement, la clé de cryptage affiche le CMEK et son OCID. Sélectionnez le lien Modifier sous la clé de cryptage
  5. Sur la page Modifier la clé de cryptage maître, sélectionnez votre coffre dans la liste déroulante Vault.
  6. Sélectionnez le CMEK requis dans la liste déroulante Clé de cryptage maître.
  7. Sélectionnez Mettre à jour.

    Remarques :

    Vous pouvez affecter un autre CMEK à partir du même coffre ou un CMEK à partir d'un autre coffre.

Figure - Rotation CMEK


Description de la figure -
Description de "Figure - Rotation CMEK"

Oracle NoSQL Database Cloud Service valide le nouveau fichier CMEK, puis l'utilise pour recrypter vos clés Block Volumes et Object Storage dans l'environnement dédié choisi. L'état de l'environnement dédié passe à UPDATING jusqu'à ce que toutes les données des volumes de blocs et d'Object Storage soient recryptées. Pendant cette durée, un message de notification apparaît sur la console indiquant que la mise à jour de clé est en cours. La mise à jour de la clé peut prendre jusqu'à deux minutes. Après la rotation du CMEK, la clé de cryptage reflète le nouveau CMEK et son OCID.

Désactivation de CMEK

Vous pouvez utiliser la console OCI pour désactiver le CMEK qui a été précédemment affecté à votre environnement dédié.
Prérequis:
  • Vous avez créé CMEK et l'avez affecté à votre environnement dédié. Pour connaître la procédure, reportez-vous à la section CMEK Assign.
Procédure:
  1. Connectez-vous à la console OCI.
  2. Ouvrez le menu de navigation situé dans le coin supérieur gauche, sélectionnez Identité et sécurité, puis Coffre.
  3. Sélectionnez le coffre dans lequel vous avez créé CMEK.
  4. Sélectionnez votre CMEK.
  5. Sur la page Détails de la clé, sélectionnez Désactiver et confirmez l'opération.

Figure - Désactivation de CMEK


Description de la figure -
Description de "Figure - Désactivation CMEK"

Le statut de CMEK est désactivé. L'environnement dédié devient indisponible pour toute opération en quelques minutes. Lorsque vous tentez d'accéder à l'environnement dédié à partir de la console OCI, un message d'erreur indiquant que CMEK est désactivé s'affiche.

Suppression CMEK

Vous pouvez utiliser la console OCI pour supprimer CMEK, que vous avez précédemment affecté à votre environnement dédié. La suppression CMEK est un processus en deux étapes avec une période d'attente pour empêcher la suppression accidentelle.
Prérequis:
  • Vous avez créé CMEK et l'avez affecté à votre environnement dédié. Pour connaître la procédure, reportez-vous à la section CMEK Assign.
Procédure:
  1. Connectez-vous à la console OCI.
  2. Ouvrez le menu de navigation situé dans le coin supérieur gauche, sélectionnez Identité et sécurité, puis Coffre.
  3. Sélectionnez le coffre dans lequel vous avez créé CMEK.
  4. Sélectionnez votre CMEK.
  5. Sur la page Détails de la clé, sélectionnez Supprimer la clé.
  6. Sélectionnez une date de suppression et confirmez l'opération.

Figure - Suppression CMEK


Description de la figure -
Description de "Figure - Suppression CMEK"

Le statut de CMEK affiche la suppression en attente, ce qui équivaut à l'état désactivé. L'environnement dédié devient indisponible pour toute opération. Lorsque vous tentez d'accéder à l'environnement dédié à partir de la console OCI, un message d'erreur indiquant que CMEK est désactivé et en attente de suppression apparaît.

Une fois la date de suppression dépassée, toutes les données de l'environnement dédié deviennent définitivement inutilisables et irrécupérables. Lorsque vous tentez d'accéder à l'environnement dédié à partir de la console OCI, un message d'erreur indiquant que CMEK est supprimé définitivement s'affiche.

Restauration CMEK

Vous pouvez utiliser la console OCI pour réactiver le CMEK précédemment désactivé.
Prérequis:
  • Le CMEK est à l'état désactivé.
Procédure:
  1. Connectez-vous à la console OCI.
  2. Ouvrez le menu de navigation situé dans le coin supérieur gauche, sélectionnez Identité et sécurité, puis Coffre.
  3. Sélectionnez le coffre dans lequel vous avez créé CMEK.
  4. Sélectionnez votre CMEK.
  5. Sur la page Détails de clé, sélectionnez Activer.

Figure - Restauration CMEK


Description de la figure -
Description de "Figure - Restauration CMEK"

Vous devez générer un ticket CAM pour remettre l'environnement dédié en ligne une fois que son CMEK a été réactivé dans le coffre.

Suppression CMEK

Vous pouvez utiliser la console OCI pour enlever CMEK de votre environnement dédié.
Prérequis:
  • Vous avez créé CMEK et l'avez affecté à votre environnement dédié. Pour connaître la procédure, reportez-vous à la section CMEK Assign.
Procédure:
  1. Connectez-vous à la console OCI.
  2. Ouvrez le menu de navigation situé dans l'angle supérieur gauche, sélectionnez Bases de données, puis NoSQL Database.
  3. Sélectionnez l'option de liste déroulante dans le champ Environnement et sélectionnez votre environnement dédié.
  4. Sous le champ Environnement, la clé de cryptage affiche le CMEK et son OCID. Sélectionnez le lien Annuler l'affectation sous la clé de cryptage.

Figure - Suppression de CMEK


Description de la figure -
Description de "Figure - Suppression de CMEK"

Oracle NoSQL Database Cloud Service enlève CMEK de l'environnement dédié et lui affecte la clé gérée par Oracle. Toutes les données des volumes de blocs et du stockage d'objets de l'environnement dédié choisi sont cryptées à l'aide d'une clé de cryptage gérée par Oracle. Après la suppression du CMEK, la clé de cryptage reflète la clé gérée par Oracle.