キーの管理

ボールト・キーおよびキー・バージョンを作成および管理します。

 独自のキー・マテリアルを使用したキーの作成の詳細は、キーおよびキー・バージョンのインポートを参照してください。サポートされるリソースを保護するためのキー割当ての詳細は、キーの割当てを参照してください。暗号操作でのキーの使用方法の詳細は、キーの使用を参照してください。キーのバックアップおよびリストアの詳細は、ボールトおよびキーのバックアップおよびリストアを参照してください。キーを格納するボールトで実行できる操作の詳細は、ボールトの管理を参照してください。キーの一般的な詳細は、キーおよびシークレット管理の概念を参照してください。

このトピックでは、キーの管理で次のことが可能です。

  • キーの作成
  • キーの詳細の表示
  • キーのリストの表示
  • 特定のキーのキー・バージョンのリストの表示
  • キー名の更新
  • キーのタグの管理
  • 暗号化操作でキーを使用可能にする
  • キーをローテーションして新しい暗号化データを生成する
  • 暗号化操作での使用を防止するためにキーを無効にする
  • 暗号化操作またはリソースへの割当ての使用を永続的に防ぐためにキーを削除する
  • 新規コンパートメントへのキーの移動
ノート

暗号化キーの制御と可視性を高めるために、Vaultの外部キー管理(EKM)機能を使用すると、Oracleクラウドの外部にあるサードパーティのキー管理システムでキーを管理できます。EKMは、US West (San Jose)リージョンでのみ使用可能です。テナンシでこの機能を有効にするには、Oracle販売に連絡してください。

必須IAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者向け: ボールト、キーおよびシークレットへのアクセス権を付与する一般的なポリシーについては、セキュリティ管理者によるボールト、キーおよびシークレットの管理を参照してください。権限の詳細、またはより詳細なポリシーを記述する方法については、ボールト・サービスの詳細を参照してください。

ポリシーを初めて使用する場合は、ポリシーの開始共通ポリシーを参照してください。

リソースのタグ付け

この項では、コンソールおよびAPIを使用してVaultキーを割り当て、キー割当てを削除する方法について説明します

リソースにタグを適用すると、ビジネス・ニーズに応じてそれらを整理しやすくなります。リソースの作成時にタグを適用することも、後でリソースを必要なタグで更新することもできます。タグ適用についての一般情報は、リソース・タグを参照してください。

リソースのモニタリング

この項では、Vaultリソースをモニターする方法について説明します。

メトリック、アラームおよび通知を使用して、Oracle Cloud Infrastructureリソースのヘルス、容量およびパフォーマンスをモニターできます。詳細は、モニタリングおよび通知を参照してください。

マスター暗号化鍵に関連付けられたトラフィックのモニタリングの詳細は、Vaultリソースのモニタリングを参照してください。

別のコンパートメントへのリソースの移動

この項では、キーなどのVaultリソースを別のコンパートメントに移動する方法について説明します

キーはコンパートメント間で移動できます。キーを新規コンパートメントに移動すると、固有のポリシーがただちに適用され、キーおよびキー・バージョンへのアクセスに影響を与えます。キーを移動しても、キーが関連付けられているボールトへのアクセスには影響しません。同様に、ボールトは、そのキーの移動とは別に、コンパートメント間で移動できます。詳細は、コンパートメントの管理を参照してください。

コンソールの使用

コンソールを使用して、マスター暗号化キーおよびキー・バージョンを表示、作成および管理します

新規マスター暗号化キーを作成するには

この項では、新しいマスター暗号化キーを作成する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. リスト範囲」のコンパートメント・リストで、キーを作成するコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、次のいずれかを実行します。

    • キーを作成するボールトの名前をクリックします。

    • 新しいボールトを作成するにはの手順に従ってキーの新しいボールトを作成し、ボールトの名前をクリックします。

  4. マスター暗号化キー」をクリックし、「キーの作成」をクリックします。
  5. 「キーの作成」ダイアログ・ボックスで、「コンパートメントに作成」リストからコンパートメントを選択します。(キーは、ボールトが存在するコンパートメントの外部に存在できます。)
  6. [保護モード]をクリックし、次のいずれかの操作を行います。
    • ハードウェア・セキュリティ・モジュール(HSM)に格納されて処理されるマスター暗号化キーを作成するには、HSMを選択します。
    • サーバーに格納されて処理されるマスター暗号化キーを作成するには、「ソフトウェア」を選択します。

    キーの保護モードは、作成後に変更することはできません。キー保護モードに関する情報など、キーの詳細は、キーおよびシークレット管理の概念を参照してください。

  7. 「名前」をクリックし、キーを識別するための名前を入力します。機密情報の入力は避けてください。
  8. キーの形状:アルゴリズム」をクリックし、次のいずれかのアルゴリズムを選択します。
    • AES。Advanced Encryption Standard (AES)キーは、保存データの暗号化に使用できる対称キーです。
    • RSA。Rivest - Shamir - Adleman (RSA)キーは、公開キーと秘密キーで構成される非対称キーであり、転送中のデータの暗号化、データの署名および署名済データの整合性の検証に使用できます。
    • ECDSA。楕円曲線暗号化デジタル署名アルゴリズム(ECDSA)キーは、データの署名および署名付きデータの整合性の検証に使用できる非対称キーです。
  9. 前のステップで選択した内容に応じて、「Key Shape: Length 」または「Key Shape: Curve ID」をクリックし、AESおよびRSAキーのキー長をビット単位で選択するか、ECDSAキーのカーブIDを指定します。AESキーの場合、Vaultサービスは正確に128ビット、192ビット、または256ビットの長さのキーをサポートします。RSA鍵の場合、このサービスは2048ビット、3072ビット、または4096ビットの鍵をサポートします。ECDSAキーを使用すると、楕円曲線IDがNIST_P256、NIST_P384またはNIST_P521のキーを作成できます。
  10. オプションで、「拡張オプションの表示」をクリックして、タグを適用します。
    リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  11. 終了したら、「キーの作成」をクリックします。
キーの詳細を表示するには

この項では、コンソールを使用して主な詳細を表示する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、目的のキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. マスター暗号化キー」をクリックしてから、構成の詳細を表示するキーの名前をクリックします。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更してから、キー名をクリックします。)
  5. コンソールには、次の情報が表示されます。

    • OCID:キーの一意のOracleによって割り当てられるID。
    • 作成日: キーを最初に作成した日時。
    • コンパートメント: Oracleによって割り当てられる、キーを含むコンパートメントの一意のID。
    • 保護モード:キーが格納および処理される場所(ハードウェア・セキュリティ・モジュール(HSM)またはサーバー(ソフトウェア)のいずれか)。
    • ボールト: キーを含むボールトのOracleによって割り当てられる一意のID。
    • キー・バージョン: キー・バージョンのOracleによって割り当てられる一意のID。
    • アルゴリズム: キーによって使用される暗号化アルゴリズム。
    • 長さ:キーの長さのビット数(AESキーおよびRSAキーの場合)。
    • Curve ID:キーのカーブID (ECDSAキーの場合)。
キーのリストを表示するには

この項では、コンソールを使用してキーのリストを表示する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、目的のキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. このボールト内のキーのリストを表示するには、「マスター暗号化キー」をクリックします。リスト範囲を変更すると、他のコンパートメントのキーが表示されます。
キー・バージョンのリストを表示するには

この項では、コンソールを使用してキー・バージョンのリストを表示する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、目的のキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. マスター暗号化キー」をクリックし、キー・バージョンのリストを表示するキーの名前をクリックして、「バージョン」をクリックします。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更してから、キー名をクリックします。)
キーの名前を変更するには

この項では、コンソールを使用してキーの名前を変更する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、名前を変更するキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. マスター暗号化キー」をクリックし、名前を変更するキーを特定して、そのキーの「アクション」アイコン(3つのドット)をクリックします。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更します。)
  5. 「アクション」メニューで、「名前の編集」をクリックします。
  6. 「キー名の編集」ダイアログ・ボックスで、「名前」をクリックして新しい名前を入力します。機密情報の入力は避けてください。
  7. 終了したら、「更新」をクリックします。
キーのタグを管理するには

この項では、コンソールを使用してキー・タグを管理する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、タグを管理するキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. マスター暗号化キー」をクリックして管理するキーを特定し、キー名をクリックします。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更してから、キー名をクリックします。)
  5. 「キーの詳細」ページで、「タグ」タブをクリックして既存のタグを表示または編集します。または、「タグの追加」をクリックして新しいタグを追加します。
キーを有効にするには

この項では、コンソールを使用してキーを有効にする方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、有効にするキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. マスター暗号化キー」をクリックして有効にするキーを特定し、キー名の横にあるチェック・ボックスを選択します。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更します。)
  5. 「アクション」メニューで、「有効化」をクリックします。
マスター暗号化キーをローテーションするには

この項では、コンソールを使用してマスター暗号化キーをローテーションする方法について説明します

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. リスト範囲」のコンパートメント・リストで、ローテーションするキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。
  4. マスター暗号化キー」をクリックしてローテーションするキーを特定し、キー名の横にあるチェック・ボックスを選択します。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更します。)
  5. 「アクション」メニューで、「キーのローテーション」をクリックします。(有効な状態のキーのみローテーションできます。)
  6. 「確認」ダイアログ・ボックスで、「キーのローテーション」をクリックします。

このキーの以前のバージョンで暗号化されたオブジェクトを含む暗号操作では、古いキー・バージョンが引き続き使用されます。必要に応じて、現在のキー・バージョンでこれらのオブジェクトを再暗号化できます。

キーを無効にするには

この項では、コンソールを使用してキーを無効にする方法について説明します

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、無効にするキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. マスター暗号化キー」をクリックし、無効にするキーを特定して、そのキーの「アクション」アイコン(3つのドット)をクリックします。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更します。)
  5. 「アクション」メニューで、「無効化」をクリックします。
キーを削除するには

この項では、コンソールを使用してマスター・キーを削除する方法について説明します

注意削除の保留中状態にキーを設定する

と、そのキーで暗号化されたものには即座にアクセスできなくなります。これにはシークレットが含まれます。キーは、リソースへの割当てまたは未割当てを行うことも、更新することもできません。キーが削除されると、キーのすべてのデータおよびメタデータは元に戻せません。キーを削除する前に、キーによって現在暗号化されているリソースに新しいキーを割り当てるか、別の方法でデータを保持します。完全に削除する前にキーの使用をリストアする場合は、削除を取り消すことができます。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、削除するキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. マスター暗号化キー」をクリックし、削除するキーを特定して、そのキーの「アクション」アイコン(3つのドット)をクリックします。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更します。)
  5. アクション」メニューで、「キーの削除」をクリックします。
  6. ボックスをクリックしてキー名を入力することにより、このキーを削除することを確認します。
  7. ボールト・サービスによりキーを削除する日時をスケジュールします。デフォルトでは、サービスによって、現在の日時から30日間、削除するキーのスケジュールが設定されます。範囲は7から30日までで設定できます。
  8. 準備ができたら、「キーの削除」をクリックします。必要に応じて、スケジュールされた削除を取り消すことで、キーおよび暗号化されたリソースとデータへのアクセスをリストアできます。
キーの削除を取り消すには

この項では、コンソールを使用してキーの削除を取り消す方法について説明します。

ヒント

削除を取り消すことができるのは、削除の保留中状態のキーの削除のみです。
  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「ボールト」の順にクリックします。
  2. 「リスト範囲」「コンパートメント」リストで、削除するキーのあるボールトが含まれるコンパートメントの名前をクリックします。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. マスター暗号化キー」をクリックし、削除するキーを特定して、そのキーの「アクション」アイコン(3つのドット)をクリックします。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更します。)
  5. 「アクション」メニューで、「削除の取消」をクリックします。
  6. 「削除の取消」をクリックして、キーの削除を取り消すことを確認します。キーにアクセスすると、そのキーによって暗号化されたすべてのリソースまたはデータが、キーが有効状態に戻ったときにリストアされます。
キーを別のコンパートメントに移動するには

この項では、コンソールを使用してキーを別のコンパートメントに移動する方法について説明します。

  1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックして、「Vault」をクリックします。
  2. 「スコープ」「コンパートメント」リストで、移動するマスター暗号化キーのあるボールトが含まれるコンパートメントを選択します。
  3. コンパートメント内のボールトのリストから、ボールト名をクリックします。

  4. 「マスター暗号化キー」をクリックします。リストでキーを検索し、「アクション」メニューをクリックしてから「リソースの移動」をクリックします。(必要な場合、まず、リスト範囲をキーが含まれるコンパートメントに変更します。)
  5. リストから宛先コンパートメントを選択します。
  6. 「リソースの移動」をクリックします。
  7. キーをモニターするアラームがある場合、新しいコンパートメントを参照するためにアラームを更新します。詳細は、リソースの移動後にアラームを更新するにはを参照してください。

コマンドライン・インタフェース(CLI)の使用

コマンドライン・インタフェースを使用して、マスター暗号化キーおよびキー・バージョンを作成および管理します。

CLIの使用の詳細は、コマンド・ライン・インタフェース(CLI)を参照してください。CLIコマンドで使用できるフラグおよびオプションの完全なリストは、コマンドライン・リファレンスを参照してください。

ヒント

各ボールトには、キーの作成、更新およびリスト操作のための一意のエンドポイントがあります。このエンドポイントは、コントロール・プレーンのURLまたは管理エンドポイントと呼ばれます。各ボールトには、暗号化操作のための一意のエンドポイントもあります。このエンドポイントは、データ・プレーンのURLまたは暗号エンドポイントと呼ばれます。キー操作にCLIを使用する場合は、操作のタイプに適したエンドポイントを指定する必要があります。ボールトのエンドポイントを取得するには、ボールトの構成の詳細を表示するにはの手順を参照してください。
新しいキーを作成するには

このセクションでは、コマンド行インタフェース(CLI)を使用して新しい鍵を作成する方法について説明します。

コマンド・プロンプトを開き、oci kms management key createを実行して新規キーを作成します。

oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <key_encryption_information> --endpoint <control_plane_url>

たとえば、MacOSまたはLinuxマシンでは:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

また、たとえば、Windowsマシンでは:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

機密情報の入力は避けてください。

デフォルトでは、HSMによって保護されるマスター暗号化キーが作成されます。ソフトウェアで保護されたマスター暗号化キーを作成する場合は、--protection-modeを使用して保護モードを指定します。たとえば、Windowsマシンでは次のようにします。


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --protection-mode SOFTWARE --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
リソース・タグを使用して新しいキーを作成するには

このセクションでは、コマンド行インタフェース(CLI)を使用して新しい鍵を作成する方法について説明します。

コマンド・プロンプトを開き、--defined-tagsオプションと--freeform-tagsオプションのいずれかまたは両方を指定してoci kms management key createを実行し、リソース・タグを使用して新しいキーを作成します。

oci kms management key create --compartment-id <target_compartment_id> --display-name <key_name> --key-shape <JSON_formatted_key_encryption_information> --defined-tags <JSON_formatted_defined_tag> --freeform-tags <JSON_formatted_freeform_tag> --endpoint <control_plane_url>

たとえば、MacOSまたはLinuxマシンでは:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{"algorithm":"AES","length":"16"}' --defined-tags '{"Operations": {"CostCenter":"42"}}' --freeform-tags '{"Department":"Finance"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

また、たとえば、Windowsマシンでは:


oci kms management key create --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --display-name key-1 --key-shape '{\"algorithm\":\"AES\",\"length\":\"16\"}' --defined-tags '{\"Operations\": {\"CostCenter\":\"42\"}}' --freeform-tags '{\"Department\":\"Finance\"}' --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

機密情報の入力は避けてください。

キーの詳細を表示するには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵の詳細のリストを表示する方法について説明します。

コマンド・プロンプトを開き、oci kms management key getを実行して特定のキーの詳細を表示します。

oci kms management key get --key-id <key_OCID> --endpoint <control_plane_url>

例:


oci kms management key get --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
キーのリストを表示するには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵のリストを表示する方法について説明します。

コマンド・プロンプトを開き、oci kms management key listを実行してボールト内のキーをリストします。

oci kms management key list --compartment-id <target_compartment_id> --endpoint <control_plane_url>

例:


oci kms management key list --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
キー・バージョンのリストを表示するには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵バージョンのリストを表示する方法について説明します。

コマンド・プロンプトを開き、oci kms management key-version listを実行して、特定のキーのキー・バージョンのリストを表示します。

oci kms management key-version list --key-id <key_OCID> --endpoint <control_plane_url>

例:


oci kms management key-version list --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
キーの名前を変更するには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵の名前を変更する方法について説明します。

コマンド・プロンプトを開き、oci kms management key updateを実行してキーの名前を編集します。

oci kms management key update --key-id <key_OCID> --display-name <new_key_name> --endpoint <control_plane_url>

例:


oci kms management key update --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --display-name key-A --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

機密情報の入力は避けてください。

キーを有効にするには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵を有効にする方法について説明します。

コマンド・プロンプトを開き、oci kms management key enableを実行してキーを有効にします。

oci kms management key enable --key-id <target_key_id> --endpoint <control_plane_url>

例:


oci kms management key enable --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
キーをローテーションするには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵をローテーションする方法について説明します。

コマンド・プロンプトを開き、oci kms management key rotateを実行してキーをローテーションします。

oci kms management key rotate --key-id <target_key_id> --endpoint <control_plane_url>

例:


oci kms management key rotate --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com	

このキーの以前のバージョンで暗号化されたオブジェクトを含む暗号操作では、古いキー・バージョンが引き続き使用されます。必要に応じて、現在のキー・バージョンでこれらのオブジェクトを再暗号化できます。

キーを無効にするには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵を無効にする方法について説明します。

コマンド・プロンプトを開き、oci kms management key disableを実行してキーを無効にします。

oci kms management key disable --key-id <target_key_id> --endpoint <control_plane_url>

例:


oci kms management key disable --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
キーを削除するには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵を削除する方法について説明します。

注意削除の保留中状態にキーを設定する

と、そのキーで暗号化されたものには即座にアクセスできなくなります。これにはシークレットが含まれます。キーは、リソースへの割当てまたは未割当てを行うことも、更新することもできません。キーが削除されると、キーのすべてのデータおよびメタデータは元に戻せません。キーを削除する前に、キーによって現在暗号化されているリソースに新しいキーを割り当てるか、別の方法でデータを保持します。完全に削除する前にキーの使用をリストアする場合は、削除を取り消すことができます。

コマンド・プロンプトを開き、oci kms management key schedule-deletionを実行してキーの削除をスケジュールします。

oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <control_plane_url>

例:


oci kms management key schedule-deletion --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com

デフォルトでは、サービスによって、現在の日時から30日間、削除するキーのスケジュールが設定されます。範囲は7から30日までで設定できます。例:


oci kms management key schedule-deletion --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --time-of-deletion 2019-06-30T10:00:00Z --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
キーの削除を取り消すには

このセクションでは、コマンド行インタフェース(CLI)を使用して鍵の削除を取り消す方法について説明します。

ヒント

削除を取り消すことができるのは、削除の保留中状態のキーの削除のみです。

コマンド・プロンプトを開き、oci kms management key cancel-deletionを実行してキーのスケジュールされた削除を取り消します。

oci kms management key cancel-deletion --key-id <target_key_id> --endpoint <control_plane_url>

例:


oci kms management key cancel-deletion --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
キーを別のコンパートメントに移動するには

この項では、コマンドライン・インタフェース(CLI)を使用してキーを別のコンパートメントに移動する方法について説明します。

コマンド・プロンプトを開き、oci kms management key change-compartmentを実行して、マスター暗号化キーを同じテナンシ内の別のコンパートメントに移動します。

oci kms management key change-compartment --key-id <target_key_id> --compartment-id <new_compartment_id>

例:


oci kms management key change-compartment --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --compartment-id ocid1.compartment.oc1..example1example25qrlpo4agcmothkbgqgmuz2zzum45ibplooqtabwk3zz	

APIの使用

API操作を使用して、マスター暗号化キーおよびキー・バージョンを作成、管理します。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

キーを管理するには、次の操作を使用します。