Documentazione di Oracle Cloud Infrastructure

Gestione delle chiavi di cifratura del vault per il volume a blocchi

Le chiavi gestite dal cliente sono chiavi gestite e rese disponibili utilizzando Oracle Cloud Infrastructure Vault.

Per impostazione predefinita, i volumi a blocchi vengono cifrati utilizzando chiavi gestite da Oracle. Hai la possibilità di utilizzare le tue chiavi, gestite da Vault. È possibile specificare una chiave gestita dal cliente quando si crea un volume. Vedere Creazione di un volume a blocchi. I backup del volume utilizzano automaticamente la chiave specificata. Puoi specificare una chiave diversa quando crei un nuovo volume duplicando un volume o ripristinandolo da un backup del volume.

Come specificare una nuova chiave per il ripristino di un backup

  • Quando si utilizza l'interfaccia CLI, eseguire il comando indicato di seguito.

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
        --volume-backup-id=<source_backup_ID>

    Se non si include l'attributo --kms-key-id, il volume creato dal ripristino di un backup utilizza la chiave gestita da Oracle.

  • Quando si ripristina il volume a blocchi da un backup nella console, nella sezione Cifratura del form Ripristina volume a blocchi selezionare Cifra mediante chiavi gestite dal cliente, quindi selezionare la chiave di cifratura del vault che si desidera utilizzare.

  • Quando si utilizza l'API, specificare l'OCID della chiave di cifratura nell'attributo kmsKeyId di CreateVolumeDetails durante il richiamo dell'operazione CreateVolume.

Specifica di una nuova chiave durante la copia di un volume

  • Quando si utilizza l'interfaccia CLI, eseguire il comando indicato di seguito.

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-id=<source_volume_ID>

  • Quando si clona un volume nella console, nella sezione Cifratura del form Crea copia, selezionare Cifra utilizzando chiavi gestite dal cliente, quindi selezionare la chiave di cifratura del vault che si desidera utilizzare.

  • Quando si utilizza l'API, specificare l'OCID della chiave di cifratura nell'attributo kmsKeyId di CreateVolumeDetails durante il richiamo dell'operazione CreateVolume.

Specifica di una nuova chiave durante l'attivazione di una replica

  • Quando si utilizza l'interfaccia CLI, eseguire il comando indicato di seguito.

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-replica-id=<source_replica_ID>

  • Quando si attiva la replica del volume nella console, nella sezione Cifratura del form Attiva una replica del volume selezionare Cifra mediante chiavi gestite dal cliente, quindi selezionare la chiave di cifratura del vault che si desidera utilizzare.

  • Quando si utilizza l'API, specificare l'OCID della chiave di cifratura nell'attributo kmsKeyId di CreateVolumeDetails durante il richiamo dell'operazione CreateVolume.

Specifica di una chiave durante l'abilitazione della replica

Se si desidera, è possibile specificare una propria chiave per cifrare la replica del volume nell'area di destinazione. La chiave gestita dal cliente può essere:
  • una chiave replicata esistente nell'area di destinazione.
  • qualsiasi chiave nell'area di destinazione di cui si è proprietari ed è diversa da quella nell'area di origine.

È possibile cifrare la replica del volume con una chiave di cifratura gestita dal cliente nell'area di destinazione quando si abilita la replica per un volume o un gruppo di volumi. Quando si abilita la replica, selezionare Cifra mediante chiavi gestite dal cliente per Cifratura della replica tra più aree, quindi specificare l'OCID per una chiave di cifratura valida nell'area in cui si è scelto di replicare il volume o il gruppo di volumi. Se non si specifica una chiave gestita dal cliente, viene utilizzata una chiave di cifratura gestita da Oracle.

Vedere:

Rotazione della chiave di cifratura

La rotazione della stessa chiave non è supportata oggi e il funzionamento non è definito quando si dispone di più versioni di una chiave. Il volume a blocchi supporta solo le chiavi con una singola versione. Per ruotare una chiave di cifratura, modificare la chiave di cifratura del volume in una nuova chiave. Puoi anche modificare la chiave di cifratura per il backup di un volume.

Quando si ruota la chiave per un volume specificando una nuova chiave di cifratura, tutte le risorse figlio create prima dell'aggiornamento della chiave continuano a utilizzare la vecchia chiave di cifratura. Sono inclusi backup e cloni.

Modifica della chiave di cifratura per un volume

È possibile modificare la chiave assegnata a un volume in un'altra chiave gestita dal cliente. La modifica della chiave di cifratura non riesegue la cifratura del contenuto del volume, ma solo la chiave dati viene cifrata di nuovo.

  • Per specificare una chiave diversa gestita dal cliente per un volume che utilizza l'interfaccia CLI, eseguire il comando riportato di seguito.

    oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>

  • Per specificare una chiave diversa gestita dal cliente per un volume mediante la console, vedere Aggiornare una chiave per un volume a blocchi.

  • Per specificare una chiave gestita dal cliente diversa con l'API, utilizzare l'operazione UpdateVolumeKmsKey.

Modifica della chiave di cifratura per un backup del volume

È possibile modificare la chiave assegnata a un backup del volume in un'altra chiave gestita dal cliente o in una chiave gestita da Oracle. La modifica della chiave di cifratura non riesegue la cifratura del backup del volume, ma solo la chiave dati viene cifrata di nuovo. Per informazioni su come modificare la chiave di cifratura per un backup utilizzando l'interfaccia CLI, la console o l'API, vedere Volume Backup Encryption Keys.

Accesso chiave compartimento sicurezza incrociata

Come best practice, il benchmark CIS Oracle Cloud Infrastructure Foundations consiglia di creare un vault per le chiavi gestite dal cliente in un compartimento separato e limitare l'accesso a questo compartimento. Il seguente diagramma mostra come organizzare questa operazione.

Diagramma dell'architettura che mostra le chiavi gestite dal cliente memorizzate in un compartimento separato ad accesso limitato

I criteri riportati di seguito sono necessari per utilizzare le chiavi in un compartimento di sicurezza separato con accesso limitato per cifrare i volumi di avvio, i volumi a blocchi e le risorse correlate.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>

Chiavi di cifratura per il backup dei volumi

Il servizio Oracle Cloud Infrastructure Vault ti consente di trasferire e gestire le tue chiavi da utilizzare per cifrare i volumi e i relativi backup. Quando si crea un backup del volume, per il backup del volume viene utilizzata anche la chiave di cifratura utilizzata per il volume.

È possibile modificare la chiave assegnata a un backup del volume in un'altra chiave gestita dal cliente o in una chiave gestita da Oracle. La modifica della chiave di cifratura non riesegue la cifratura del contenuto del volume, ma riesegue la cifratura della chiave dati.

Uso dell'interfaccia CLI

Per specificare una chiave diversa per il backup di un volume utilizzando l'interfaccia CLI, eseguire il comando seguente:

oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>

Per specificare che il backup del volume utilizzi una chiave gestita da Oracle, specificare una stringa vuota per l'ID chiave, come mostrato nell'esempio riportato di seguito. 

oci bv backup update --backup-id=<backup_ID> --kms-key-id=''

Uso della console

  1. Aprire il menu di navigazione e selezionare Memorizzazione. In Storage a blocchi selezionare Backup dei volumi a blocchi.
  2. In Ambito lista, nella lista Compartimento selezionare il compartimento contenente il backup del volume per il quale si desidera aggiornare la chiave.
  3. Nella lista dei backup dei volumi, fai clic sul backup a cui sei interessato.

  4. Eseguire una delle seguenti operazioni.

    • Se al backup del volume è già stata assegnata una chiave, accanto a Chiave di cifratura fare clic su Modifica per assegnare una chiave diversa.
    • Se al backup del volume non è già stata assegnata una chiave, fare clic su Assegna accanto a Chiave di cifratura.

  5. Selezionare il compartimento, il vault, il compartimento chiave e la chiave del vault.

  6. Al termine, fare clic su Assegna o Aggiorna, a seconda dei casi.

Uso dell'API

Per specificare una chiave gestita dal cliente diversa con l'API, utilizzare l'operazione UpdateVolumeBackup e specificare l'OCID della chiave di cifratura nell'attributo kmsKeyId.

Specifica di una chiave per le copie di backup tra più aree

Quando si copia manualmente un backup del volume tra aree, è possibile utilizzare la chiave gestita da Oracle o la propria chiave di cifratura. Quando si assegna un criterio di backup con copie di backup tra più aree abilitate a un volume o a un gruppo di volumi oppure esegui una copia tra più aree di backup manuale, è possibile selezionare facoltativamente Cifra mediante chiavi gestite dal cliente per Cifratura della copia di backup tra più aree per cifrare il backup del volume nell'area di destinazione. Se si seleziona questa opzione, è necessario specificare l'OCID per una chiave di cifratura valida nell'area di destinazione. Vedere anche Requisiti per le chiavi di cifratura gestite dal cliente per le operazioni tra più aree.

Altre risorse

Requisiti per le chiavi di cifratura gestite dal cliente per le operazioni tra più aree

Quando si specifica una chiave di cifratura gestita dal cliente per le operazioni tra più aree, assicurarsi che:

Se non si specifica una chiave di cifratura gestita dal cliente per le operazioni tra più aree, viene utilizzata per impostazione predefinita una cifratura gestita da Oracle. Questi requisiti non si applicano alle chiavi di cifratura gestite da Oracle.