Documentazione di Oracle Cloud Infrastructure

Rotazione di una chiave

Scopri come ruotare una chiave creando una nuova versione della chiave.

Quando si crea una nuova versione della chiave di cifratura primaria, il servizio KMS ruota la versione della chiave in uso per la chiave. Il servizio può generare il materiale chiave per la nuova versione della chiave, oppure è possibile importare il proprio materiale chiave. Quando si importa una chiave, è necessario utilizzare una chiave di wrapping per avvolgere il materiale della chiave. Tuttavia, non è possibile creare, eliminare o ruotare una chiave di wrapping. Per ulteriori informazioni sulla rotazione delle chiavi, vedere Versioni e rotazioni delle chiavi nell'argomento Concetti di gestione dei vault e delle chiavi.

Rotazione automatica delle chiavi

Per le chiavi create nei vault privati virtuali, è possibile abilitare la rotazione automatica delle chiavi. Per informazioni dettagliate, vedere la sezione Automatic Key Rotation dell'argomento Vault and Key Management Concepts. Questa opzione può essere abilitata durante la creazione della chiave o abilitata dopo la creazione di una chiave. Per istruzioni sull'aggiornamento delle impostazioni di rotazione automatica, vedere Abilitazione e aggiornamento della rotazione automatica delle chiavi e Creazione di una chiave di cifratura master per istruzioni sulla creazione di una nuova chiave con la rotazione automatica abilitata.

Rotazione manuale delle chiavi

Seguire le istruzioni riportate nelle seguenti sezioni per ruotare manualmente una chiave utilizzando la console, l'interfaccia CLI o l'API.

    1. Nella pagina di elenco Chiavi di cifratura principali, individuare la chiave da utilizzare. Per assistenza nella ricerca della pagina di elenco, vedere Lista delle chiavi.
    2. Nell'elenco dei tasti selezionare il menu Azioni (tre puntini), quindi selezionare Tasto Ruota.
    3. Nella finestra di dialogo Conferma, abilitare Importa versione chiave esterna per importare i materiali chiave e le versioni chiave e consentire al servizio di gestione delle chiavi di utilizzarne una copia.
    4. Selezionare Rotate Key.
      Nota

      Le operazioni di crittografia che coinvolgono oggetti cifrati con la versione precedente di questa chiave continuano a utilizzare la versione precedente della chiave. Se si preferisce, è possibile cifrare di nuovo tali oggetti con la versione della chiave corrente

  • utilizzare il comando oci kms management key-version create e i parametri richiesti per ruotare una chiave.

    oci kms management key-version create --key-id <target_key_id> --endpoint <kmsmanagement_endpoint> [OPTIONS]

    Le operazioni di crittografia che coinvolgono oggetti cifrati con la versione precedente di questa chiave continueranno a utilizzare la versione precedente della chiave. Se si preferisce, è possibile cifrare di nuovo tali oggetti con la versione della chiave corrente.

    Per un elenco completo dei parametri e dei valori per i comandi CLI, consultare il manuale CLI Command Reference.

  • Utilizzare l'interfaccia API CreateKeyVersion con l'endpoint di gestione per ruotare una chiave di cifratura master.

    Nota

    L'endpoint di gestione viene utilizzato per le operazioni di gestione, tra cui Crea, Aggiorna, Elenca, Recupera ed Elimina. L'endpoint di gestione è anche denominato URL del piano di controllo o endpoint KMSMANAGEMENT.

    L'endpoint crittografico viene utilizzato per operazioni di crittografia tra cui Cifra, Decifra, Genera chiave di cifratura dati, Firma e Verifica. L'endpoint crittografico viene anche definito URL del piano dati o endpoint KMSCRYPTO.

    Puoi trovare gli endpoint di gestione e crittografici nei metadati dei dettagli di un vault. Per istruzioni, vedere Ottenere i dettagli di un vault.

    Per gli endpoint regionali per le API di gestione delle chiavi, gestione dei segreti e recupero dei segreti, vedere Riferimento e endpoint delle API.

    Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.