Flusso di lavoro gestione chiavi CMEK

Acquisire informazioni sulle operazioni di gestione supportate per le chiavi di cifratura gestite dal cliente.

Argomenti correlati

Operazioni di gestione delle chiavi CMEK

La console OCI consente di eseguire le operazioni di gestione CMEK riportate di seguito.

Ogni operazione è illustrata nei dettagli nelle sezioni seguenti.

Assegnazione CMEK

È possibile utilizzare la console OCI per assegnare un CMEK all'ambiente dedicato.
Prerequisito:
  • Creare un CMEK nel vault. Per la procedura, vedere Creazione di CMEK.
  • Creare i criteri di controllo dell'accesso necessari. Per informazioni dettagliate, vedere CMEK Access Control.
Procedura:
  1. Eseguire il login alla console OCI.
  2. Aprire il menu di navigazione nell'angolo superiore sinistro, selezionare Database, quindi selezionare NoSQL Database.
  3. Selezionare l'opzione a discesa nel campo Ambiente e selezionare l'ambiente dedicato.
  4. Sotto il campo Ambiente, la chiave di cifratura mostra la chiave gestita da Oracle. Selezionare il collegamento Assegna accanto alla chiave gestita da Oracle.
  5. Nella pagina Assegna chiave di cifratura principale, selezionare il vault dall'elenco a discesa Vault.
  6. Seleziona il tuo CMEK dall'elenco a discesa Master Encryption Key.
  7. Selezionare Assegna.

Figura - pagina Assegnazione CMEK


Segue la descrizione della Figura -
Descrizione della "Figura - Pagina Assegnazione CMEK"

Oracle NoSQL Database Cloud Service convalida il CMEK e lo utilizza per cifrare i volumi a blocchi e le chiavi di storage degli oggetti nell'ambiente dedicato scelto. Lo stato dell'ambiente dedicato viene modificato in UPDATING finché non vengono cifrati tutti i volumi a blocchi e tutte le chiavi di storage degli oggetti. Durante questo periodo, sulla console verrà visualizzato un messaggio di notifica contenente l'aggiornamento della chiave in corso. Si noti che l'aggiornamento della chiave può richiedere fino a due minuti. Dopo l'assegnazione CMEK, la chiave di cifratura riflette il CMEK e il relativo OCID.

Figura - Assegnazione CMEK


Segue la descrizione della Figura -
Descrizione di "Figura - Assegnazione CMEK"

Assegnazione CMEK con un CMEK diverso

È possibile utilizzare la console OCI per modificare CMEK nell'ambiente dedicato. Utilizzare questa procedura per la rotazione delle chiavi.
Prerequisito:
  • È stato creato un CMEK e assegnato all'ambiente dedicato. Per la procedura, vedere Assegnazione CMEK.
  • Creare un CMEK diverso nel vault. Per la procedura, vedere Creazione di CMEK.
Procedura:
  1. Eseguire il login alla console OCI.
  2. Aprire il menu di navigazione nell'angolo superiore sinistro, selezionare Database, quindi selezionare NoSQL Database.
  3. Selezionare l'opzione a discesa nel campo Ambiente e selezionare l'ambiente dedicato.
  4. Sotto il campo Ambiente, la chiave di cifratura mostra il CMEK e il relativo OCID. Selezionare il collegamento Modifica sotto la chiave di cifratura
  5. Nella pagina Modifica chiave di cifratura master, selezionare il vault dall'elenco a discesa Vault.
  6. Selezionare il CMEK richiesto dall'elenco a discesa Chiave di cifratura primaria.
  7. Selezionare Aggiorna.

    Nota

    È possibile assegnare un CMEK diverso dallo stesso vault o un CMEK da un vault diverso.

Figura - Rotazione CMEK


Segue la descrizione della Figura -
Descrizione di "Figura - Rotazione di CMEK"

Oracle NoSQL Database Cloud Service convalida il nuovo CMEK e lo utilizza per cifrare di nuovo i volumi a blocchi e le chiavi di storage degli oggetti nell'ambiente dedicato scelto. Lo stato dell'ambiente dedicato cambia in AGGIORNAMENTO finché tutti i dati nei volumi a blocchi e nello storage degli oggetti non vengono ora cifrati di nuovo. Durante questo periodo, sulla console verrà visualizzato un messaggio di notifica contenente l'aggiornamento della chiave in corso. Si noti che l'aggiornamento della chiave può richiedere fino a due minuti. Dopo la rotazione del CMEK, la chiave di cifratura riflette il nuovo CMEK e il relativo OCID.

Disabilitazione CMEK

È possibile utilizzare la console OCI per disabilitare CMEK precedentemente assegnato all'ambiente dedicato.
Prerequisito:
  • CMEK è stato creato e assegnato all'ambiente dedicato. Per la procedura, vedere Assegnazione CMEK.
Procedura:
  1. Eseguire il login alla console OCI.
  2. Aprire il menu di navigazione nell'angolo in alto a sinistra, selezionare Identity & Security, quindi selezionare Vault.
  3. Selezionare il vault in cui è stato creato CMEK.
  4. Selezionare il CMEK.
  5. Nella pagina Dettagli chiave, selezionare Disabilita e confermare l'operazione.

Figura - Disabilitazione CMEK


Segue la descrizione della Figura -
Descrizione di "Figura - CMEK Disable"

Lo stato di CMEK è disabilitato. L'ambiente dedicato diventa non disponibile per qualsiasi operazione in pochi minuti. Quando si tenta di accedere all'ambiente dedicato dalla console OCI, viene visualizzato un messaggio di errore che informa che CMEK è disabilitato.

Eliminazione CMEK

È possibile utilizzare la console OCI per eliminare CMEK, precedentemente assegnato all'ambiente dedicato. L'eliminazione di CMEK è un processo in due fasi con un periodo di attesa per evitare l'eliminazione accidentale.
Prerequisito:
  • CMEK è stato creato e assegnato all'ambiente dedicato. Per la procedura, vedere Assegnazione CMEK.
Procedura:
  1. Eseguire il login alla console OCI.
  2. Aprire il menu di navigazione nell'angolo in alto a sinistra, selezionare Identity & Security, quindi selezionare Vault.
  3. Selezionare il vault in cui è stato creato CMEK.
  4. Selezionare il CMEK.
  5. Nella pagina Dettagli chiave, selezionare Elimina chiave.
  6. Selezionare una data di eliminazione e confermare l'operazione.

Figura - Eliminazione CMEK


Segue la descrizione della Figura -
Descrizione di "Figura - Eliminazione di CMEK"

Lo stato di CMEK mostra l'eliminazione in sospeso, equivalente allo stato disabilitato. L'ambiente dedicato diventa non disponibile per qualsiasi operazione. Quando si tenta di accedere all'ambiente dedicato dalla console OCI, viene visualizzato un messaggio di errore indicante che CMEK è disabilitato ed è in attesa di eliminazione.

Una volta trascorsa la data di eliminazione, tutti i dati nell'ambiente dedicato diventano definitivamente inutilizzabili e irrecuperabili. Quando si tenta di accedere all'ambiente dedicato dalla console OCI, viene visualizzato un messaggio di errore che informa che CMEK viene eliminato definitivamente.

Ripristino CMEK

È possibile utilizzare la console OCI per riabilitare CMEK precedentemente disabilitato.
Prerequisito:
  • CMEK è in stato disabilitato.
Procedura:
  1. Eseguire il login alla console OCI.
  2. Aprire il menu di navigazione nell'angolo in alto a sinistra, selezionare Identity & Security, quindi selezionare Vault.
  3. Selezionare il vault in cui è stato creato CMEK.
  4. Selezionare il CMEK.
  5. Nella pagina Dettagli chiave, selezionare Abilita.

Figura - Restauro CMEK


Segue la descrizione della Figura -
Descrizione di "Figura - Restauro CMEK"

È necessario aumentare un biglietto CAM per riportare l'ambiente dedicato online dopo che il suo CMEK è stato riabilitato nel caveau.

Rimozione CMEK

È possibile utilizzare la console OCI per rimuovere CMEK dall'ambiente dedicato.
Prerequisito:
  • CMEK è stato creato e assegnato all'ambiente dedicato. Per la procedura, vedere Assegnazione CMEK.
Procedura:
  1. Eseguire il login alla console OCI.
  2. Aprire il menu di navigazione nell'angolo superiore sinistro, selezionare Database, quindi selezionare NoSQL Database.
  3. Selezionare l'opzione a discesa nel campo Ambiente e selezionare l'ambiente dedicato.
  4. Sotto il campo Ambiente, la chiave di cifratura mostra il CMEK e il relativo OCID. Selezionare il collegamento Annulla assegnazione sotto la chiave di cifratura.

Figura - Rimozione di CMEK


Segue la descrizione della Figura -
Descrizione di "Figura - Rimozione di CMEK"

Oracle NoSQL Database Cloud Service rimuove CMEK dall'ambiente dedicato e vi assegna la chiave gestita da Oracle. Tutti i dati nei volumi a blocchi e nello storage degli oggetti dell'ambiente dedicato scelto tornano a essere cifrati utilizzando una chiave di cifratura gestita da Oracle. Dopo la rimozione di CMEK, Chiave di cifratura riflette la chiave gestita da Oracle.