ブロック・ボリュームのボールト暗号化キーの管理
顧客管理キーは、ボールト・サービスで格納される独自のキーです。
ボールト・サービスに外部キーをインポートするか、サービスを使用して新しいキーを生成できます。これらのタスクの詳細は、キーの管理およびキーおよびキー・バージョンのインポートを参照してください。
ボリュームを作成する場合、ボリュームの顧客管理キーを指定できます。ブロック・ボリュームの作成を参照してください。ボリュームのバックアップでは、指定されたキーが自動的に使用されます。ボリュームをクローニングするかボリューム・バックアップからボリュームをリストアすることで、新規ボリュームの作成時に別のキーを指定できます。
ボリュームのクローニング時の新規キーの指定
CLIを使用する場合、次のコマンドを実行します:
oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID> --source-volume-id=<source_volume_ID>
コンソールでボリュームをクローニングする場合、「クローンの作成」フォームの「暗号化」セクションで「顧客管理キーを使用した暗号化」を選択し、使用するボールト暗号化キーを選択します。
- APIを使用する場合、CreateVolume操作をコールするときに、CreateVolumeDetailsの
kmsKeyId
属性に暗号化キーOCIDを指定します。
バックアップのリストア時の新規キーの指定
CLIを使用する場合、次のコマンドを実行します:
oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID> --volume-backup-id=<source_backup_ID>
--kms-key-id
属性を含めない場合、バックアップのリストアから作成されたボリュームは、Oracle管理キーを使用します。コンソールでバックアップからブロック・ボリュームをリストアする場合、「ブロック・ボリュームのリストア」フォームの「暗号化」セクションで、「顧客管理キーを使用した暗号化」を選択し、使用するVault暗号化キーを選択します。
- APIを使用する場合、CreateVolume操作をコールするときに、CreateVolumeDetailsの
kmsKeyId
属性に暗号化キーOCIDを指定します。
レプリカのアクティブ化時の新規キーの指定
レプリケーションが有効なボリュームでは、顧客管理キーはサポートされません。ボリュームのレプリケーションを有効にする場合は、ボリューム暗号化にOracle管理キーを使用します。顧客管理キーで暗号化されたボリュームで、リージョン間レプリケーションがサポートされないを参照してください。
CLIを使用する場合、次のコマンドを実行します:
oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID> --source-volume-replica-id=<source_replica_ID>
コンソールでボリューム・レプリカをアクティブ化する場合、「ボリューム・レプリカのアクティブ化」フォームの「暗号化」セクションで、「顧客管理キーを使用した暗号化」を選択し、使用するVault暗号化キーを選択します。
- APIを使用する場合、CreateVolume操作をコールするときに、CreateVolumeDetailsの
kmsKeyId
属性に暗号化キーOCIDを指定します。
暗号化キーのローテーション
現在、同じキーのローテーションはサポートされていません。複数のバージョンのキーがある場合の動作は定義されていません。ブロック・ボリュームでは、単一のバージョンのキーのみがサポートされます。暗号化キーをローテーションするには、ボリュームの暗号化キーを新しいキーに変更します。ボリューム・バックアップの暗号化キーを変更することもできます。
新しい暗号化キーを指定してボリュームのキーをローテーションすると、キーを更新する前に作成された子リソースは、古い暗号化キーを引き続き使用します。これには、バックアップおよびクローンが含まれます。
ボリュームの暗号化キーの変更
ボリュームに割り当てられたキーを別の顧客管理キーに変更できます。暗号化キーを変更してもボリュームのコンテンツは再暗号化されず、データ・キーが再暗号化されるのみです。
CLIを使用してボリュームに別の顧客管理キーを指定するには、次のコマンドを実行します:
oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>
コンソールを使用してボリュームに別の顧客管理キーを指定するには、ブロック・ボリュームのキーの更新を参照してください。
- APIで別の顧客管理キーを指定するには、UpdateVolumeKmsKey操作を使用します。
ボリューム・バックアップの暗号化キーの変更
ボリューム・バックアップに割り当てられたキーを別の顧客管理キーまたはOracleマネージド・キーに変更できます。暗号化キーを変更してもボリューム・バックアップは再暗号化されず、データ・キーのみが再暗号化される。
CLIを使用してボリューム・バックアップに別のキーを指定するには、次のコマンドを実行します:
oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>
ボリューム・バックアップでOracle管理キーを使用するように指定するには、次の例に示すように、キーIDに空の文字列を指定します:
oci bv backup update --backup-id=<backup_ID> --kms-key-id=''
コンソールを使用してボリューム・バックアップに別の顧客管理キーを指定するには、ボリューム・バックアップ暗号化キーを参照してください。
- APIで別の顧客管理キーを指定するには、
UpdateVolumeBackup
操作を使用し、kmsKeyId
属性に暗号化キーOCIDを指定します。
セキュリティ・コンパートメント間のキー・アクセス
ベスト・プラクティスとして、CIS Oracle Cloud Infrastructure Foundations Benchmarkでは、個別のコンパートメントに顧客管理キーのボールトを作成し、このコンパートメントへのアクセスを制限することが推奨されています。次の図は、これを編成する方法を示しています。
ブート・ボリューム、ブロック・ボリュームおよび関連リソースを暗号化するためのアクセスが制限された個別のセキュリティ・コンパートメント内のキーを使用するためには、次のポリシーが必要です。
Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>
ボリューム・バックアップ暗号化キー
Oracle Cloud Infrastructure Block Volumeサービスは、256ビット暗号化によるAdvanced Encryption Standard (AES)アルゴリズムを使用して、すべてのブロック・ボリューム、ブート・ボリューム、および保存ボリューム・バックアップを常に暗号化します。
Oracle Cloud Infrastructure Vaultサービスを使用すると、ボリュームおよびそのバックアップの暗号化に使用する独自のキーを指定して管理できます。ボリューム・バックアップを作成すると、ボリュームに使用される暗号化キーがボリューム・バックアップにも使用されます。
ボリューム・バックアップに割り当てられたキーを別の顧客管理キーまたはOracle管理キーに変更できます。暗号化キーを変更してもボリュームのコンテンツは再暗号化されず、データ・キーが再暗号化されるのみです。
CLIの使用
CLIを使用してボリューム・バックアップに別のキーを指定するには、次のコマンドを実行します:
oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>
ボリューム・バックアップでOracle管理キーを使用するように指定するには、次の例に示すように、キーIDに空の文字列を指定します:
oci bv backup update --backup-id=<backup_ID> --kms-key-id=''
コンソールの使用
- ナビゲーション・メニューを開き、「ストレージ」をクリックします。「ブロック・ストレージ」で、「ブロック・ボリューム・バックアップ」をクリックします。
- 「リスト範囲」のコンパートメント・リストで、キーを更新するボリューム・バックアップを含むコンパートメントを選択します。
- ボリューム・バックアップのリストから、目的のバックアップをクリックします。
-
続いて、次のいずれかを行います:
- ボリューム・バックアップにキーがすでに割り当てられている場合は、「暗号化キー」の横にある「編集」をクリックして別のキーを割り当てます。
- ボリューム・バックアップにキーが割り当てられていない場合は、「暗号化キー」の横にある「割当て」をクリックします。
-
ボールト・コンパートメント、ボールト、キー・コンパートメントおよびキーを選択します。
-
終了したら、必要に応じて「割当て」または「更新」をクリックします。
APIの使用
APIで別の顧客管理キーを指定するには、UpdateVolumeBackup
操作を使用し、kmsKeyId
属性に暗号化キーOCIDを指定します。