Documentazione di Oracle Cloud Infrastructure

Nuova cifratura di un oggetto di storage degli oggetti

Riesegue la cifratura delle chiavi di cifratura dati di un oggetto con una chiave di cifratura master diversa in un bucket di storage degli oggetti.

È possibile cifrare di nuovo le chiavi di cifratura dei dati che cifrano un oggetto eseguendo di nuovo la cifratura delle chiavi di cifratura dei dati dell'oggetto con la versione più recente della chiave di cifratura master assegnata al bucket. Questa nuova cifratura è possibile, sia che si tratti di una chiave gestita da Oracle o di una chiave in un vault gestito dall'utente. È inoltre possibile cifrare di nuovo le chiavi di cifratura dei dati dell'oggetto con una chiave diversa in un vault o con una chiave SSE-C diversa. Se si utilizzano chiavi SSE-C, è necessario fornire la chiave SSE-C durante la decifrazione dell'oggetto e il successivo processo di nuova cifratura, a seconda dei casi.

Per cifrare di nuovo un oggetto, è necessario disporre delle autorizzazioni OBJECT_READ e OBJECT_OVERWRITE. Per cifrare di nuovo un oggetto cifrato con una chiave SSE-C, è necessario utilizzare l'interfaccia CLI per fornire la chiave SSE-C allo storage degli oggetti da utilizzare durante la decifrazione e la nuova cifratura, a seconda dei casi.

Se viene visualizzato un messaggio di errore, verificare di disporre delle autorizzazioni corrette. Se si dispone dell'accesso all'oggetto, verificare che l'oggetto esista e che non sia stato eliminato di recente. Se si dispone delle autorizzazioni e l'oggetto esiste, verificare anche se l'oggetto è cifrato con una chiave SSE-C.

Per ulteriori informazioni, vedere Cifratura dei dati di storage degli oggetti.

    1. Nella pagina della lista Bucket, selezionare il bucket di storage degli oggetti con cui si desidera lavorare. Se hai bisogno di assistenza per trovare la pagina della lista o il bucket di storage degli oggetti, consulta la sezione relativa all'elenco dei bucket.
    2. Nella pagina dei dettagli selezionare Oggetti.
    3. Nel menu Azioni per l'oggetto desiderato, selezionare Riesegui cifratura.
    4. Eseguire uno dei task riportati di seguito, a seconda che la chiave assegnata al bucket sia una chiave gestita da Oracle o una chiave in un vault gestito dall'utente.

      • Per i bucket cifrati con una chiave gestita da Oracle, è possibile cifrare di nuovo l'oggetto con la versione più recente di tale chiave selezionando Usa la chiave assegnata al bucket. In alternativa, è possibile cifrare di nuovo l'oggetto con una chiave in un vault selezionando Usa una chiave gestita dal cliente, quindi scegliendo una chiave da un compartimento e un vault a cui si ha accesso.

      • Per i bucket cifrati con una chiave gestita dal cliente, è possibile cifrare di nuovo l'oggetto con la versione più recente di tale chiave selezionando Usa la chiave assegnata al bucket. In alternativa, è possibile cifrare di nuovo l'oggetto con una chiave vault diversa selezionando Usa una chiave diversa gestita dal cliente e quindi scegliendo un'altra chiave da un compartimento e un vault a cui si ha accesso.

    5. Selezionare Riesegui cifratura.

  • Utilizzare il comando oci os object reencrypt e i parametri necessari per eseguire di nuovo la cifratura delle chiavi di cifratura dei dati di un oggetto con la versione della chiave più recente assegnata al bucket:

    oci os object reencrypt --bucket-name bucket_name --name object_name

    Ad esempio:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt

    Le chiavi di cifratura dei dati dell'oggetto vengono cifrate di nuovo senza che vengano restituite ulteriori informazioni.

    Cifratura mediante una chiave SSE-C

    È possibile cifrare di nuovo le chiavi di cifratura dati di un oggetto con una chiave SSE-C.

    oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key

    Ad esempio:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey

    Se le chiavi di cifratura dei dati dell'oggetto sono attualmente cifrate con una chiave SSE-C, includere il parametro source-encryption-key-file per fornire anche il nome del file che contiene la stringa con codifica base64 della chiave di cifratura di origine AES-256 per decifrare prima l'oggetto.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key

    Ad esempio:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey

    Se l'oggetto è attualmente cifrato con una chiave SSE-C e si desidera cifrare le chiavi di cifratura dei dati dell'oggetto con una chiave SSE-C diversa, fornire il nome file di ciascuna chiave.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired

    Ad esempio:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey

    Cifratura mediante una chiave vault

    Per cifrare di nuovo le chiavi di cifratura dei dati di un oggetto con una chiave vault specifica, includere il parametro kms-key-id.

    oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID

    Ad esempio:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Cifratura mediante chiavi SSE-C e vault

    Se la chiave viene cifrata con una chiave SSE-C e si esegue di nuovo la cifratura delle chiavi di cifratura dati di un oggetto con una chiave Vault specifica, è necessario includere il parametro source-encryption-key-file che fornisce il nome del file contenente la stringa con codifica base64 della chiave di cifratura di origine AES-256 per decifrare prima l'oggetto.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID

    Ad esempio:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Per un elenco completo dei parametri e dei valori per i comandi della CLI, vedere il manuale CLI Command Reference.

  • Eseguire l'operazione ReencryptObject per cifrare di nuovo le chiavi di cifratura dati di un oggetto con l'ultima versione della chiave assegnata al bucket.

    Lo storage degli oggetti antepone la stringa dello spazio di nomi e il nome del bucket dello storage degli oggetti al nome dell'oggetto quando si crea un URL da utilizzare con l'API:

    /n/object_storage_namespace/b/bucket/o/object_name

    Il nome dell'oggetto è tutto dopo /o/, che può includere livelli gerarchici e stringhe di prefisso.