Documentazione di Oracle Cloud Infrastructure

Eliminazione di una chiave

Scopri come pianificare l'eliminazione di una chiave di cifratura master memorizzata in un vault OCI.

Il servizio Key Management di OCI consente di disabilitare o eliminare le chiavi non più utilizzate. Mentre la disabilitazione di una chiave fornisce il percorso più semplice per ripristinare una chiave per il servizio se la chiave è necessaria in un secondo momento, potrebbe essere necessario eliminare le chiavi a causa dei criteri chiave del ciclo di vita dell'organizzazione o per liberare la quota nel limite del servizio Key Management.

Poiché l'eliminazione di una chiave è un'operazione distruttiva che potrebbe comportare la cifratura dei dati con la chiave inaccessibile, OCI richiede che l'eliminazione venga pianificata con un periodo di attesa specificato. È possibile accettare il periodo di attesa predefinito di 30 giorni fino all'eliminazione oppure specificare un periodo più breve, con 7 giorni come periodo di attesa minimo. Si consiglia di eseguire il backup di una chiave prima di pianificarla per l'eliminazione. Con un backup, è possibile ripristinare la chiave nel vault se è necessario utilizzare la chiave in un secondo momento.

Si consiglia di utilizzare i dati del log del servizio per analizzare l'utilizzo delle chiavi e decidere se eliminare o disabilitare una chiave, se appropriato. Si noti che alcune chiavi potrebbero essere ancora importanti dal punto di vista operativo nonostante l'attività limitata, e questo deve essere considerato insieme ai dati di utilizzo quando si prende una decisione sull'eliminazione o la disabilitazione di una chiave. Per informazioni sull'uso dei log dei servizi OCI per tenere traccia dell'uso delle chiavi, vedere Monitoraggio dell'uso delle chiavi.

Importante:

  • Quando una chiave si trova nello stato di eliminazione in sospeso, qualsiasi elemento crittografato da tale chiave diventa immediatamente inaccessibile, inclusi i segreti. Inoltre, la chiave non può essere assegnata o rimossa da alcuna risorsa o aggiornata in altro modo. Quando la chiave viene eliminata, tutto il materiale e i metadati della chiave vengono eliminati in modo irreversibile. Prima di eliminare una chiave, assegnare una nuova chiave alle risorse attualmente cifrate dalla chiave o conservare i dati in un altro modo. Per ripristinare l'uso di una chiave prima che venga eliminata definitivamente, è possibile annullarne l'eliminazione. Per ulteriori informazioni, vedere Annullamento di un'eliminazione di una chiave di cifratura master.
  • Quando la chiave è pianificata per l'eliminazione, la rotazione automatica è stata temporaneamente sospesa, ma non disabilitata per le chiavi con questa funzione abilitata. Se l'eliminazione della chiave viene annullata e la chiave torna allo stato Attivo, l'impostazione di rotazione automatica della chiave prima del ripristino dell'eliminazione pianificata.
    1. Nella pagina di elenco Chiavi di cifratura principali, individuare la chiave da utilizzare. Per assistenza nella ricerca della pagina di elenco, vedere Lista delle chiavi.
    2. Dal menu Azioni (tre punti) alla fine della voce di riga del tasto, selezionare Elimina chiave.
    3. Nella pagina Conferma immettere il nome della chiave nel campo Nome per confermare.
    4. Utilizzare i campi Seleziona data di eliminazione e Ora per pianificare quando si desidera che il servizio Vault elimini la chiave. Per impostazione predefinita, il servizio pianifica le chiavi per l'eliminazione 30 giorni dalla data e dall'ora correnti. È possibile impostare un intervallo compreso tra 7 giorni e 30 giorni. Quando si pianifica l'eliminazione della chiave, si consiglia di eseguire il backup della chiave poiché tutte le operazioni di gestione delle chiavi.
    5. Selezionare Elimina chiave.

  • Utilizzare il comando oci kms management key schedule-deletion e i parametri richiesti per pianificare l'eliminazione di una chiave. Per impostazione predefinita, l'eliminazione viene pianificata per 30 giorni dal momento della richiesta. Utilizzare il parametro facoltativo --time-of-deletion per pianificare l'eliminazione per un numero di giorni compreso tra 7 e 30 dal momento della richiesta. Per ulteriori informazioni, consultare il manuale CLI Command Reference:

    oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <kmsmanagement_control_plane_URL>

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione ScheduleKeyDeletion con l'endpoint di gestione per eliminare la chiave vault.

    Nota

    L'endpoint di gestione viene utilizzato per le operazioni di gestione, tra cui Crea, Aggiorna, Elenca, Recupera ed Elimina. L'endpoint di gestione è anche denominato URL del piano di controllo o endpoint KMSMANAGEMENT.

    L'endpoint crittografico viene utilizzato per operazioni di crittografia tra cui Cifra, Decifra, Genera chiave di cifratura dati, Firma e Verifica. L'endpoint crittografico viene anche definito URL del piano dati o endpoint KMSCRYPTO.

    È possibile trovare gli endpoint di gestione e crittografici nei metadati dei dettagli di un vault. Per istruzioni, vedere Recupero dei dettagli di un vault.

    Per gli endpoint regionali per le API di gestione delle chiavi, gestione dei segreti e recupero dei segreti, vedere Riferimento e endpoint delle API.

    Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.