Chiavi gestite dal cliente per Oracle Break Glass
Proteggi gli ambienti Fusion Applications con Oracle Break Glass e chiavi gestite dal cliente.
Per impostazione predefinita, gli ambienti Fusion Applications sono protetti da chiavi di cifratura gestite da Oracle. Con la sottoscrizione al servizio Oracle Break Glass, ti viene offerta la funzione di chiavi gestite dal cliente che ti consente di fornire e gestire le chiavi di cifratura che proteggono gli ambienti. Puoi anche acquistare questa opzione come abbonamento aggiuntivo.
Con le chiavi gestite dal cliente, puoi utilizzare le chiavi, memorizzate in un vault OCI, per proteggere i dati archiviati negli ambienti di produzione e non di produzione. È possibile abilitare l'opzione delle chiavi gestite dal cliente nell'ambiente in uso durante la creazione dell'ambiente o dopo aver creato l'ambiente.
Procedure consigliate per l'impostazione e la gestione di vault e chiavi
La procedura ottimale prevede la creazione di vault separati per ambienti di produzione e non di produzione. All'interno del vault non di produzione, creare chiavi separate per gli ambienti di test e sviluppo. Ad esempio, è possibile creare quanto segue:
| Ambiente | Vault | Chiave di cifratura primaria |
|---|---|---|
| Produzione | mia-produzione-vault | chiave-produzione personale |
| Esegui test | mia-non-produzione-vault | chiave-ambiente-test personale |
| Sviluppo | my-development-environment-key |
Vantaggi di vault separati per la produzione e la non produzione:
- La manutenzione di vault separati consente la rotazione indipendente delle chiavi per gli ambienti di produzione e non di produzione.
- È previsto un limite al numero di chiavi per vault. La presenza di vault separati fornisce un conteggio separato per la produzione e non per la produzione.
La produzione-test viene aggiornata quando l'ambiente di test utilizza chiavi gestite dal cliente e utilizza anche versioni delle chiavi. Pertanto, l'uso frequente di P2Ts riduce il numero di versioni chiave rimanenti più rapidamente in un vault.
È possibile verificare i limiti e l'uso delle chiavi visualizzando la pagina Limiti, quote e uso, in cui vengono visualizzati i limiti delle risorse, le quote e l'uso per l'area specifica, elencati per servizio:
- Aprire il menu di navigazione e selezionare Governance e amministrazione. In Gestione tenancy selezionare Limiti, quote e uso.
- Accanto a Servizio, selezionare Modifica filtri.
- Nell'elenco Servizio selezionare Gestione chiavi, quindi selezionare Aggiorna.
Verificare i limiti delle chiavi per Conteggio versioni chiave per vault virtuali o Conteggio versioni chiave software per vault virtuali, a seconda del tipo di chiave scelto.
Impostazione delle chiavi gestite dal cliente
Fusion Applications utilizza il servizio OCI Vault per consentire di creare e gestire chiavi di cifratura per proteggere gli ambienti di produzione e non di produzione. È possibile impostare le chiavi nell'ambiente durante la creazione dell'ambiente oppure aggiungere la chiave a un ambiente esistente.
Panoramica dei task e dei ruoli di impostazione
La gestione delle chiavi gestite dal cliente implica task che devono essere eseguiti da ruoli diversi nell'organizzazione. Di seguito è riportato un riepilogo dei ruoli e dei task eseguiti da ciascuno di essi.
| Ruolo | Impostazione dei task | Task di gestione |
|---|---|---|
| Amministratore tenancy |
|
|
| Amministratore sicurezza |
|
|
| Amministratore Fusion Applications |
|
|
Task di impostazione per l'amministratore della tenancy
L'amministratore della tenancy esegue i task per impostare la tenancy in modo che l'amministratore della sicurezza e Fusion Applications possano abilitare e gestire le chiavi gestite dal cliente.
Si consiglia di creare un gruppo di amministratori della sicurezza distinto per limitare l'accesso alle funzioni di sicurezza degli ambienti Fusion Applications.
Il criterio per il gruppo di amministratori della sicurezza consente al gruppo di gestire vault e chiavi, ma non consente l'eliminazione. Il criterio è:
allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')
Vedere Gestione degli utenti di Oracle Cloud con funzioni mansione specifiche per le procedure di creazione di gruppi e criteri per la definizione dei ruoli, incluse le autorizzazioni specifiche necessarie per il ruolo di amministratore della sicurezza.
read per i vault e le chiavi. L'autorizzazione read consente all'amministratore FA di:- Selezionare il vault e la chiave durante la configurazione.
- Verificare la rotazione della chiave.
- Visualizzare il vault e le chiavi nel servizio Vault OCI per la risoluzione dei problemi.
Per aggiungere le autorizzazioni per l'amministratore di Fusion Applications:
- Vedere Gestione degli utenti Oracle Cloud con funzioni mansione specifiche, che descrive la creazione del ruolo di amministratore di Fusion Applications.
- Aggiungere le seguenti istruzioni al ruolo Amministratore dell'ambiente Fusion Applications, se non è già presente:
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>
Assicurarsi di sostituire tutte le variabili <location> con il nome del compartimento in cui sono stati creati il vault e le chiavi.
Il criterio per abilitare le chiavi gestite dal cliente deve essere aggiunto prima di aggiungere il vault e la chiave all'ambiente. Se questo criterio non viene aggiunto:
- L'ambiente non completa il provisioning.
- La manutenzione per l'ambiente esistente non è stata completata.
- L'abilitazione della chiave gestita dal cliente non è stata completata.
Questo criterio si riferisce solo alle tenancy nel cloud commerciale (realm OC1). Se l'ambiente Fusion Applications si trova in un altro realm (ad esempio, Oracle US Government Cloud o United Kingdom Government Cloud), è necessario aprire una richiesta di supporto per ottenere il criterio corretto.
Creare un criterio nel realm OC1 con le istruzioni riportate di seguito.
define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}Come procedura ottimale, si consiglia di copiare il criterio precedente nel realm OC1 utilizzando queste istruzioni esatte. Prima di eseguire questa operazione, esaminare queste istruzioni con il team di sicurezza dell'organizzazione per garantire l'allineamento ai requisiti di sicurezza interni e alle procedure ottimali.
Task di impostazione per l'amministratore della sicurezza
L'amministratore della sicurezza imposta i vault e le chiavi e fornisce all'amministratore di Fusion Applications le informazioni necessarie per aggiungerli all'ambiente.
Seguire la procedura per la creazione di un v Vault nella documentazione del vault. Per creare un vault esterno, vedere Servizio di gestione delle chiavi esterne.
Il tipo di vault di base è incluso nella sottoscrizione al servizio Break Glass. Quando si crea un vault, se si seleziona l'opzione Rendi vault privato virtuale o si seleziona di creare un vault esterno, verranno addebitati costi aggiuntivi. Per ulteriori informazioni sui tipi di vault, vedere Concetti di gestione di chiavi e segreti.
Si consiglia di creare 2 vault: uno per le chiavi dell'ambiente di produzione e uno per le chiavi dell'ambiente non di produzione.
Dopo aver creato i vault, replicare quello creato per l'ambiente di produzione. Il vault replicato viene utilizzato per il disaster recovery.
- Verificare l'associazione dell'area di disaster recovery per l'area in cui si trova l'ambiente di produzione Fusion Applications. Consulta il Supporto per il disaster recovery per l'elenco delle coppie di aree.
- Eseguire la sottoscrizione all'area elencata come associazione per la propria area. Per effettuare la sottoscrizione a un'area, vedere Sottoscrizione a un'area dell'infrastruttura.
- Replicare il vault creato per l'ambiente di produzione seguendo la procedura descritta in Replica di vault e chiavi. Quando si seleziona l'area di destinazione per la replica, assicurarsi di selezionare l'area di disaster recovery a cui è stata eseguita la sottoscrizione nel passo precedente.
Seguire la procedura Creating a Master Encryption Key nella documentazione del vault oppure, per importare le proprie chiavi, seguire le procedure descritte in Importing Keys and Key Versions.
Con la modalità di protezione delle chiavi HSM (Hardware Security Module), le chiavi di cifratura vengono memorizzate e protette all'interno di moduli di sicurezza hardware certificati FIPS 140-2 Level 3.
Quando si creano le chiavi per Fusion Applications, è necessario effettuare le selezioni riportate di seguito.
- Per Forma chiave: algoritmo, selezionare AES (Chiave simmetrica utilizzata per la cifratura e la decifrazione. È necessario selezionare questa opzione per le chiavi gestite dal cliente di Fusion Applications.
- Per Forma chiave: lunghezza, selezionare 256 bit.
Si consiglia di creare una chiave nel vault di produzione per l'ambiente di produzione e una chiave per ogni ambiente non di produzione nel vault non di produzione.
Dopo aver creato il vault e le chiavi, indicare all'amministratore di Fusion Applications il nome del compartimento del vault, il nome del vault e il nome della chiave (e, se diverso, il nome del compartimento della chiave).
Aggiunta di chiavi gestite dal cliente ad ambienti nuovi ed esistenti
L'amministratore di Fusion Applications aggiunge le chiavi gestite dal cliente agli ambienti. Questa operazione può essere eseguita durante la creazione dell'ambiente o dopo che l'ambiente è già stato creato. Per gli ambienti esistenti, Oracle offre all'amministratore una scelta di finestre temporali per pianificare l'aggiornamento. Per i nuovi ambienti, le chiavi vengono aggiunte al momento del provisioning dell'ambiente e non è richiesta alcuna pianificazione.
Dopo che le chiavi gestite dal cliente sono state abilitate, l'amministratore può modificare una chiave anche in un ambiente. Vedere Modifica e rotazione dei tasti.
Non aggiungere o modificare una chiave gestita dal cliente più di due volte entro un periodo di 24 ore.
Prerequisiti:
- La sottoscrizione è stata aggiunta alla famiglia di ambienti. Se la sottoscrizione non è stata aggiunta, non verrà visualizzata l'opzione per selezionare una chiave gestita dal cliente.
- L'amministratore della sicurezza ha creato il vault e la chiave. Nota
Il tipo di vault di base è incluso nella sottoscrizione al servizio Break Glass. Quando si crea un vault, se si seleziona l'opzione Rendi vault privato virtuale o si seleziona di creare un vault esterno, verranno addebitati costi aggiuntivi. Per ulteriori informazioni sui tipi di vault, vedere Concetti di gestione di chiavi e segreti. - L'amministratore della tenancy ha impostato il criterio di sistema per abilitare le chiavi gestite dal cliente nella tenancy.
- L'amministratore della tenancy ha creato un criterio per l'amministratore di Fusion Applications per leggere i vault e le chiavi e associarli agli ambienti Fusion Applications.
Questa procedura include solo i passi per abilitare la chiave gestita dal cliente. Per la procedura completa per la creazione di un ambiente, vedere Task di gestione dell'ambiente.
Nella pagina di creazione dell'ambiente:
- In Opzioni avanzate espandere la sezione Cifratura.
- Selezionare Chiave gestita dal cliente (scelta consigliata).
Se non viene visualizzata questa opzione, la sottoscrizione non è stata aggiunta alla famiglia di ambienti.
- Confermare la creazione dei criteri.
- Selezionare il vault.
Se il vault non si trova nello stesso compartimento in cui si sta creando l'ambiente, selezionare il compartimento appropriato.
- Selezionare la chiave.
Se la chiave non si trova nello stesso compartimento in cui si sta creando l'ambiente, selezionare il compartimento appropriato. Vengono visualizzate solo le chiavi AES a 256 bit.
Dopo aver completato tutti i passi per impostare l'ambiente, viene avviato il processo di provisioning. L'aggiunta della chiave gestita dal cliente consente di aggiungere tempo al processo di provisioning. Durante l'abilitazione della chiave, viene visualizzato un messaggio che informa l'utente che l'ambiente non è disponibile.
- Quando si abilita una chiave gestita dal cliente in un ambiente esistente, la cifratura non viene eseguita immediatamente. Oracle offre invece la possibilità di scegliere le finestre temporali per pianificare l'aggiornamento. Queste opzioni vengono visualizzate in OCI Console quando si apre la finestra di dialogo Modifica cifratura per richiedere l'aggiornamento. Per informazioni dettagliate, vedere Per abilitare una chiave gestita dal cliente per un ambiente esistente in questo argomento.
-
È possibile ripianificare o annullare questo aggiornamento nella console OCI senza contattare il Supporto Oracle, a condizione che lo stato dell'aggiornamento sia Pianificato. Se l'aggiornamento è in corso o completato, non è possibile annullarlo o annullarlo.
- Assicurarsi che l'ora selezionata per l'aggiornamento non sia in conflitto con altre importanti attività dell'ambiente, ad esempio un'operazione di aggiornamento. Per le operazioni di aggiornamento, ciò significa che né l'ambiente di origine né l'ambiente di destinazione possono essere aggiornati per le chiavi gestite dal cliente durante l'aggiornamento.
- Fino a quando non viene eseguito l'aggiornamento per abilitare le chiavi gestite dal cliente, l'ambiente continua a essere cifrato dalla chiave gestita da Oracle.
Per abilitare una chiave gestita dal cliente per un ambiente esistente, effettuare le operazioni riportate di seguito.
Nella pagina di elenco Ambienti, selezionare l'ambiente da utilizzare. Se è necessaria assistenza per trovare la pagina di elenco, vedere Per elencare gli ambienti.
- Nella pagina dei dettagli dell'ambiente selezionare Sicurezza.
- In Cifratura, il tipo è gestito da Oracle per impostazione predefinita. Selezionare Modifica cifratura per aggiungere il vault e la chiave.
Se l'opzione di modifica non viene visualizzata, non sono state aggiunte le opzioni appropriate oppure l'ambiente è in fase di aggiornamento.
- Selezionare Chiave gestita dal cliente (scelta consigliata).
- Confermare la creazione dei criteri.
- Selezionare il vault.
Se il vault non si trova nello stesso compartimento in cui si sta creando l'ambiente, selezionare il compartimento appropriato.
Se si utilizza il disaster recovery (DR), è necessario selezionare un vault che supporti la replica. Tutti i vault privati supportano la replica. Per i vault virtuali, vedere Replica di vault e chiavi per informazioni su come determinare se un vault virtuale supporta la replica.
- Selezionare la chiave.
Se la chiave non si trova nello stesso compartimento in cui si sta creando l'ambiente, selezionare il compartimento appropriato. Vengono visualizzate solo le chiavi AES a 256 bit.
- In Pianificazione aggiornamento cifratura, selezionare la finestra temporale in cui si desidera che inizi l'aggiornamento della gestione della cifratura. Vengono visualizzate fino a tre date.
- Selezionare Sottometti per richiedere l'aggiornamento che abilita le chiavi gestite dal cliente nell'ambiente.
Quando è pianificata l'esecuzione della cifratura, viene visualizzato un messaggio nella parte inferiore della finestra. La cifratura viene eseguita durante la finestra temporale specificata. Fino a quando non si verifica l'aggiornamento, l'ambiente rimane cifrato dalla chiave gestita da Oracle.
Se è necessario ripianificare o annullare l'aggiornamento per le chiavi gestite dal cliente, vedere Per ripianificare o annullare un aggiornamento per abilitare le chiavi gestite dal cliente.
Riprogrammazione o annullamento di un aggiornamento per abilitare le chiavi gestite dal cliente
È possibile ripianificare o annullare un aggiornamento per passare alle chiavi gestite dal cliente, purché lo stato dell'aggiornamento sia Pianificato. Se l'aggiornamento è in corso o completato, non è possibile annullarlo o annullarlo.
È possibile annullare o ripianificare l'aggiornamento personalmente nella console OCI, utilizzando le istruzioni riportate in questo argomento.
Per utilizzare queste istruzioni, lo stato dell'aggiornamento deve essere Pianificato.
Nella pagina di elenco Ambienti, selezionare l'ambiente da utilizzare. Se è necessaria assistenza per trovare la pagina di elenco, vedere Per elencare gli ambienti.
- Nella pagina dei dettagli dell'ambiente selezionare Sicurezza.
- In Cifratura, trovare la riga Gestione clienti. Selezionare il menu , quindi selezionare Riprogramma o Annulla.
- Solo riprogrammazione: se si sta riprogrammando l'aggiornamento per le chiavi gestite dal cliente, selezionare una nuova data, quindi selezionare Sottometti. Nota
Assicurarsi che l'ora selezionata per l'aggiornamento non sia in conflitto con altre importanti attività dell'ambiente, ad esempio un'operazione di aggiornamento. Per le operazioni di aggiornamento, ciò significa che né l'ambiente di origine né l'ambiente di destinazione possono essere aggiornati per le chiavi gestite dal cliente durante l'aggiornamento.Solo annullamento: se si sta annullando l'aggiornamento, digitare il nome dell'ambiente per confermare che si desidera annullare l'aggiornamento, quindi selezionare Annulla chiave pianificata.
Visualizzazione dello stato e dei dettagli della chiave
Per visualizzare lo stato e i dettagli delle chiavi:
Nella pagina di elenco Ambienti, selezionare l'ambiente da utilizzare. Se è necessaria assistenza per trovare la pagina di elenco, vedere Per elencare gli ambienti.
- Nella pagina dei dettagli dell'ambiente selezionare Sicurezza.
In Cifratura, selezionare i nomi Vault e Chiave per andare a queste risorse per ulteriori informazioni.
Utilizzo delle chiavi gestite dal cliente
Dopo aver aggiunto le chiavi gestite dal cliente agli ambienti Fusion Applications, è possibile:
- Modificare la chiave di cifratura master gestita dal cliente
- Ruota una chiave
- Disabilitare una chiave
- Abilita una chiave
- Elimina una chiave
Non aggiungere o modificare una chiave gestita dal cliente o ruotare una chiave più di due volte in un periodo di 24 ore.
Modifica e rotazione delle chiavi
È possibile modificare la chiave di cifratura master e ruotare le versioni delle chiavi in base alle esigenze.
Non ruotare i tasti più di una volta ogni 15 minuti. In caso contrario, il completamento della rotazione della chiave richiederà più tempo.
Nella pagina di elenco Ambienti, selezionare l'ambiente da utilizzare. Se è necessaria assistenza per trovare la pagina di elenco, vedere Per elencare gli ambienti.
- Nella pagina dei dettagli dell'ambiente selezionare Sicurezza.
- In Cifratura, selezionare Modifica chiave di cifratura.
- Nel pannello Modifica chiave di cifratura, selezionare un Vault.
Se si utilizza il disaster recovery (DR), è necessario selezionare un vault che supporti la replica. Tutti i vault privati supportano la replica. Per i vault virtuali, vedere Replica di vault e chiavi per informazioni su come determinare se un vault virtuale supporta la replica.
Se il vault selezionato si trova in un compartimento diverso, potrebbe essere necessario creare criteri IAM per l'accesso al vault. Vedere 3. Aggiungere il criterio di sistema per abilitare le chiavi gestite dal cliente nella tenancy per i dettagli.
- Selezionare una chiave di cifratura primaria.
- Selezionare Sottometti, quindi confermare la modifica della chiave.
Per ruotare una chiave
Le chiavi vengono ruotate in base alle procedure di sicurezza dell'organizzazione. È possibile impostare un job CLI per ruotare automaticamente le chiavi oppure l'amministratore della sicurezza designato può ruotarle manualmente tramite l'interfaccia utente della console del servizio Vault. Per ulteriori dettagli sulle versioni delle chiavi, vedere Concetti relativi alla gestione di chiavi e segreti.
Prima di poter ruotare una chiave, devono essere soddisfatte le seguenti condizioni:
- Lo stato del ciclo di vita dell'ambiente deve essere Attivo e lo stato di integrità deve essere Disponibile.
- Non devi aver raggiunto il limite di versioni delle chiavi disponibili per il vault. La produzione-test si aggiorna quando l'ambiente di test utilizza chiavi gestite dal cliente e utilizza anche le versioni delle chiavi, pertanto la frequenza con cui P2Ts riduce anche il numero di versioni delle chiavi rimanenti in un vault.
Cosa aspettarsi durante la rotazione delle chiavi:
- Non sono previsti tempi di inattività e lo stato di integrità dell'ambiente rimane impostato su Disponibile.
- Un messaggio banner nella pagina dei dettagli dell'ambiente avvisa l'utente che la rotazione è in corso.
- Lo stato chiave viene visualizzato come Rottazione in corso.
Seguire la procedura Rotating a Vault Key nella documentazione del Vault.
Per verificare la rotazione delle chiavi
Dopo aver ruotato una chiave, è possibile verificare la rotazione nella pagina dei dettagli dell'ambiente:
Nella pagina di elenco Ambienti, selezionare l'ambiente da utilizzare. Se è necessaria assistenza per trovare la pagina di elenco, vedere Per elencare gli ambienti.
- Nella pagina dei dettagli dell'ambiente selezionare Sicurezza.
- In Cifratura, selezionare la versione della chiave per verificare che corrisponda alla versione nel servizio Vault.
Disabilitazione e abilitazione delle chiavi
Se si verifica una situazione in cui si desidera arrestare Fusion Applications e accedere al database Fusion, l'amministratore della sicurezza può disabilitare la chiave per forzare immediatamente tutti gli utenti al di fuori del sistema.
La disabilitazione di una chiave potrebbe comportare la perdita di dati. Se la chiave è disabilitata, il servizio cloud Fusion Applications tenta in modo proattivo di arrestare l'ambiente per ridurre al minimo la possibilità di errori durante l'uso dell'ambiente. Una volta disabilitata, tuttavia, l'ambiente non può essere riavviato finché non viene nuovamente abilitato. Sebbene la chiave rimanga in stato disabilitato, nessun servizio cloud Fusion Applications può accedere ai dati dei clienti salvati in precedenza.
- Lo stato di integrità dell'ambiente viene aggiornato su Non disponibile. Lo stato del ciclo di vita viene aggiornato a Disabilitato. Tutti gli utenti vengono esclusi dall'applicazione.
- Un messaggio di avvio nella pagina dei dettagli dell'ambiente avvisa che la cifratura è stata disabilitata.
- Lo stato chiave viene visualizzato come Disabilitato.
Quando si avvia la disabilitazione di una chiave, viene eseguita una serie di processi per arrestare i componenti dell'ambiente (ad esempio, i servizi di database, il livello intermedio, i load balancer), il cui completamento può richiedere fino a un'ora. Non tentare di riabilitare una chiave fino al completamento di questi processi.
Analogamente, quando si avvia l'abilitazione di una chiave, il completamento del set di processi per il ripristino del sistema può richiedere fino a un'ora.
Per disabilitare una chiave
Seguire la procedura Disabilitazione di una chiave del vault nella documentazione del vault.
Per abilitare una chiave
Seguire la procedura Abilitazione di una chiave del vault nella documentazione del vault.
Eliminazione delle chiavi
Le autorizzazioni concesse al ruolo di amministratore della sicurezza non includono delete per chiavi e vault. L'eliminazione delle chiavi e dei vault è un'operazione altamente distruttiva e deve essere eseguita solo dall'amministratore della tenancy in rare circostanze.
Quando un amministratore della tenancy elimina una chiave, qualsiasi dato o risorsa OCI (incluso il database Fusion Applications) cifrato con questa chiave diventa immediatamente inutilizzabile o irrecuperabile.
Si consiglia di eseguire il backup di una chiave prima di pianificarne l'eliminazione. Con un backup, è possibile ripristinare la chiave e il vault se si desidera continuare a usare di nuovo la chiave in un secondo momento.
Per ulteriori informazioni, vedere Eliminazione di una chiave vault.