Flusso di lavoro gestione chiavi CMEK

Acquisire informazioni sulle operazioni di gestione supportate per le chiavi di cifratura gestite dal cliente.

Operazioni di gestione delle chiavi CMEK

La console OCI consente di eseguire le operazioni di gestione CMEK riportate di seguito.

• Assegnazione CMEK

• Assegnare CMEK (diverso CMEK)

• Disattiva CMEK

• Eliminazione CMEK

• Ripristino CMEK

• Rimozione CMEK

Ogni operazione è illustrata nei dettagli nelle sezioni seguenti.

Assegnazione CMEK

È possibile utilizzare la console OCI per assegnare un CMEK all'ambiente dedicato.

Prerequisito:

• Creare un CMEK nel vault. Per la procedura, vedere Creazione di CMEK.

• Creare i criteri di controllo dell'accesso necessari. Per informazioni dettagliate, vedere CMEK Access Control.

Procedura:

1. Eseguire il login alla console OCI.

2. Aprire il menu di navigazione nell'angolo superiore sinistro, selezionare Database, quindi selezionare Database NoSQL.

3. Selezionare l'opzione a discesa nel campo Ambiente e selezionare l'ambiente dedicato.

4. Sotto il campo Ambiente, la chiave di cifratura mostra la chiave gestita da Oracle. Selezionare il collegamento Assegna accanto alla chiave gestita da Oracle.

5. Nella pagina Assegna chiave di cifratura master, selezionare il vault dall'elenco a discesa Vault.

6. Seleziona il tuo CMEK dall'elenco a discesa Master Encryption Key.

7. Selezionare Assegna.

Figura - pagina Assegnazione CMEK

Descrizione dell'immagine he_assignkey1.png

Oracle NoSQL Database Cloud Service convalida il CMEK e lo utilizza per cifrare i volumi a blocchi e le chiavi di storage degli oggetti nell'ambiente dedicato scelto. Lo stato dell'ambiente dedicato viene modificato in UPDATING finché non vengono cifrati tutti i volumi a blocchi e tutte le chiavi di storage degli oggetti. Durante questo periodo, sulla console verrà visualizzato un messaggio di notifica contenente l'aggiornamento della chiave in corso. Si noti che l'aggiornamento della chiave può richiedere fino a due minuti. Dopo l'assegnazione CMEK, la chiave di cifratura riflette il CMEK e il relativo OCID.

Figura - Assegnazione CMEK

Descrizione dell'illustrazione he_mek1.png

Assegnazione CMEK con un CMEK diverso

È possibile utilizzare la console OCI per modificare CMEK nell'ambiente dedicato. Utilizzare questa procedura per la rotazione delle chiavi.

Prerequisito:

• È stato creato un CMEK e assegnato all'ambiente dedicato. Per la procedura, vedere Assegnazione CMEK.

• Creare un CMEK diverso nel vault. Per la procedura, vedere Creazione di CMEK.

Procedura:

1. Eseguire il login alla console OCI.

2. Aprire il menu di navigazione nell'angolo superiore sinistro, selezionare Database, quindi selezionare Database NoSQL.

3. Selezionare l'opzione a discesa nel campo Ambiente e selezionare l'ambiente dedicato.

4. Sotto il campo Ambiente, la chiave di cifratura mostra il CMEK e il relativo OCID. Selezionare il collegamento Modifica sotto la chiave di cifratura

5. Nella pagina Modifica chiave di cifratura master, selezionare il vault dall'elenco a discesa Vault.

6. Selezionare il CMEK richiesto dall'elenco a discesa Chiave di cifratura primaria.

7. Selezionare Aggiorna.

Nota: è possibile assegnare un CMEK diverso dallo stesso vault o un CMEK da un vault diverso.

Figura - Rotazione CMEK

Descrizione dell'immagine he_rotatekey1.png

Oracle NoSQL Database Cloud Service convalida il nuovo CMEK e lo utilizza per cifrare di nuovo i volumi a blocchi e le chiavi di storage degli oggetti nell'ambiente dedicato scelto. Lo stato dell'ambiente dedicato cambia in AGGIORNAMENTO finché tutti i dati in volumi a blocchi e storage degli oggetti non vengono ora cifrati di nuovo. Durante questo periodo, sulla console verrà visualizzato un messaggio di notifica contenente l'aggiornamento della chiave in corso. Si noti che l'aggiornamento della chiave può richiedere fino a due minuti. Dopo la rotazione del CMEK, la chiave di cifratura riflette il nuovo CMEK e il relativo OCID.

Disabilitazione CMEK

È possibile utilizzare la console OCI per disabilitare CMEK precedentemente assegnato all'ambiente dedicato.

Prerequisito:

• CMEK è stato creato e assegnato all'ambiente dedicato. Per la procedura, vedere Assegnazione CMEK.

Procedura:

1. Eseguire il login alla console OCI.

2. Aprire il menu di navigazione nell'angolo in alto a sinistra, selezionare Identity & Security, quindi selezionare Vault.

3. Selezionare il vault in cui è stato creato CMEK.

4. Seleziona il tuo CMEK.

5. Nella pagina Dettagli chiave selezionare Disabilita e confermare l'operazione.

Figura - Disabilitazione CMEK

Descrizione dell'immagine cmek_disable.png

Lo stato di CMEK è disabilitato. L'ambiente dedicato diventa non disponibile per qualsiasi operazione in pochi minuti. Quando si tenta di accedere all'ambiente dedicato dalla console OCI, viene visualizzato un messaggio di errore che informa che CMEK è disabilitato.

Eliminazione CMEK

È possibile utilizzare la console OCI per eliminare CMEK, precedentemente assegnato all'ambiente dedicato. L'eliminazione di CMEK è un processo in due fasi con un periodo di attesa per evitare l'eliminazione accidentale.

Prerequisito:

• CMEK è stato creato e assegnato all'ambiente dedicato. Per la procedura, vedere Assegnazione CMEK.

Procedura:

1. Eseguire il login alla console OCI.

2. Aprire il menu di navigazione nell'angolo in alto a sinistra, selezionare Identity & Security, quindi selezionare Vault.

3. Selezionare il vault in cui è stato creato CMEK.

4. Seleziona il tuo CMEK.

5. Nella pagina Dettagli chiave, selezionare Elimina chiave.

6. Selezionare una data di eliminazione e confermare l'operazione.

Figura - Eliminazione CMEK

Descrizione dell'immagine cmek_delete.png

Lo stato di CMEK mostra l'eliminazione in sospeso, equivalente allo stato disabilitato. L'ambiente dedicato diventa non disponibile per qualsiasi operazione. Quando si tenta di accedere all'ambiente dedicato dalla console OCI, viene visualizzato un messaggio di errore indicante che CMEK è disabilitato ed è in attesa di eliminazione.

Una volta trascorsa la data di eliminazione, tutti i dati nell'ambiente dedicato diventano definitivamente inutilizzabili e irrecuperabili. Quando si tenta di accedere all'ambiente dedicato dalla console OCI, viene visualizzato un messaggio di errore che informa che CMEK viene eliminato definitivamente.

Ripristino CMEK

È possibile utilizzare la console OCI per riabilitare CMEK precedentemente disabilitato.

Prerequisito:

• CMEK è in stato disabilitato.

Procedura:

1. Eseguire il login alla console OCI.

2. Aprire il menu di navigazione nell'angolo in alto a sinistra, selezionare Identity & Security, quindi selezionare Vault.

3. Selezionare il vault in cui è stato creato CMEK.

4. Seleziona il tuo CMEK.

5. Nella pagina Dettagli chiave, selezionare Abilita.

Figura - Restauro CMEK

Descrizione dell'illustrazione enablekey.png

È necessario aumentare un biglietto CAM per riportare l'ambiente dedicato online dopo che il CMEK è stato riabilitato nel caveau.

Rimozione CMEK

È possibile utilizzare la console OCI per rimuovere CMEK dall'ambiente dedicato.

Prerequisito:

• CMEK è stato creato e assegnato all'ambiente dedicato. Per la procedura, vedere Assegnazione CMEK.

Procedura:

1. Eseguire il login alla console OCI.

2. Aprire il menu di navigazione nell'angolo superiore sinistro, selezionare Database, quindi selezionare Database NoSQL.

3. Selezionare l'opzione a discesa nel campo Ambiente e selezionare l'ambiente dedicato.

4. Sotto il campo Ambiente, la chiave di cifratura mostra il CMEK e il relativo OCID. Selezionare il collegamento Annulla assegnazione sotto la chiave di cifratura.

Figura - Rimozione di CMEK

Descrizione dell'immagine cmek_unassign1.png

Oracle NoSQL Database Cloud Service rimuove CMEK dall'ambiente dedicato e vi assegna la chiave gestita da Oracle. Tutti i dati nei volumi a blocchi e nello storage degli oggetti dell'ambiente dedicato scelto tornano a essere cifrati utilizzando una chiave di cifratura gestita da Oracle. Dopo la rimozione di CMEK, Chiave di cifratura riflette la chiave gestita da Oracle.

Argomenti correlati

• Introduzione alle chiavi di cifratura gestite dal cliente