Oracle Cloud Infrastructureドキュメント

キーの削除

OCIボールトに格納されているマスター暗号化キーの削除をスケジュールする方法について学習します。

OCIのKey Managementサービスでは、無効化するか、使用しなくなったキーを削除するかを選択できます。鍵を無効にすると、鍵があとで必要になった場合に、鍵をサービスへの復元するためのもっとも簡単なパスが提供されますが、組織の鍵ライフサイクルポリシーのために鍵を削除したり、鍵管理サービス制限内の割り当てを解放したりする必要がある場合があります。

キーの削除は破壊的な操作であり、キーで暗号化されたデータにアクセスできない可能性があるため、OCIでは、指定した待機期間で削除をスケジュールする必要があります。削除するまでのデフォルトの待機期間を30日間受け入れるか、または7日間が最小待機期間である短い期間を指定できます。キーの削除をスケジュールする前に、キーのバックアップをすることをお薦めします。バックアップを使用して、後でキーを使用する必要がある場合は、ボールトにキーをリストアできます。

サービス・ログ・データを使用してキーの使用状況を分析し、必要に応じてキーを削除するか無効化するかを決定することをお薦めします。アクティビティが限られているにもかかわらず、一部のキーは依然として動作的に重要である可能性があり、キーの削除または無効化を決定する際には、使用状況データとともに考慮する必要があります。OCIサービス・ログを使用してキーの使用状況を追跡する方法の詳細は、キーの使用状況の監視を参照してください。

重要:

  • 削除の保留中状態にキーを設定した場合、そのキーで暗号化されたもの(シークレットを含む)には即座にアクセスできなくなります。また、キーは、リソースへの割当てまたは未割当てを行うことも、更新することもできません。キーが削除されると、キーのすべてのデータおよびメタデータは元に戻せません。キーを削除する前に、キーによって現在暗号化されているリソースに新しいキーを割り当てるか、別の方法でデータを保持します。完全に削除される前にキーの使用をリストアするには、その削除を取り消します。詳細は、マスター暗号化キーの削除の取消しを参照してください。
  • キーの削除がスケジュールされている場合、自動ローテーションは一時的に中断されますが、この機能が有効になっているキーに対しては無効になりません。キーの削除が取り消され、キーがアクティブ状態に戻ると、スケジュールされた削除の前にキーが持っていた自動ローテーション設定がリストアされます。
    1. 「マスター暗号化キー」リスト・ページで、操作するキーを検索します。リスト・ページの検索に関するヘルプが必要な場合は、キーのリストを参照してください。
    2. キーの行エントリの最後にある「アクション」メニュー(3つのドット)から、「キーの削除」を選択します。
    3. 「確認」ページで、確認のために「名前」フィールドにキー名を入力します。
    4. 「削除日の選択」および「時間」フィールドを使用して、Vaultサービスでキーを削除するタイミングをスケジュールします。デフォルトでは、サービスによって、現在の日時から30日間、削除するキーのスケジュールが設定されます。範囲は7から30日までで設定できます。キーの削除をスケジュールする場合は、すべてのキー管理操作のためにキーをバックアップすることをお薦めします。
    5. 「キーの削除」を選択します。

  • oci kms management key schedule-deletionコマンドおよび必須パラメータを使用して、キーの削除をスケジュールします。デフォルトでは、削除はリクエストの時点から30日間スケジュールされます。オプションの--time-of-deletionパラメータを使用して、リクエストの時点から7から30までの日数で削除をスケジュールします。詳細は、CLIコマンド・リファレンスを参照してください。

    oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <kmsmanagement_control_plane_URL>

    CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。

  • 管理エンドポイントとともにScheduleKeyDeletion操作を実行して、ボールト・キーを削除します。

    ノート

    管理エンドポイントは、作成、更新、リスト、取得および削除などの管理操作に使用されます。管理エンドポイントは、コントロール・プレーンURLまたはKMSMANAGEMENTエンドポイントとも呼ばれます。

    暗号化エンドポイントは、暗号化、復号化、データ暗号化鍵の生成、署名、検証などの暗号化操作に使用されます。暗号化エンドポイントは、データ・プレーンURLまたはKMSCRYPTOエンドポイントとも呼ばれます。

    管理エンドポイントおよび暗号化エンドポイントは、ボールトの詳細メタデータにあります。手順については、Getting a Vault's Detailsを参照してください。

    キー管理、シークレット管理およびシークレット取得APIのリージョナル・エンドポイントについては、APIリファレンスおよびエンドポイントを参照してください。

    APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。