キーのローテーション
新しいキー・バージョンを作成してキーをローテーションする方法を学習します。
マスター暗号化キーの新しいキー・バージョンを作成すると、KMSサービスはキーに使用されているキー・バージョンをローテーションします。サービスでは、新しいキー・バージョンのキー・マテリアルを生成することも、独自のキー・マテリアルをインポートすることもできます。キーをインポートする場合は、ラッピング・キーを使用してキー・マテリアルをラップする必要があります。ただし、ラッピング・キーを作成、削除またはローテーションすることはできません。キー・ローテーションの詳細は、キーおよびシークレット管理の概念のトピックのキー・バージョンおよびローテーションを参照してください。
自動キー回転
仮想プライベート・ボールトで作成されたキーの場合、自動キー・ローテーションを有効にできます。詳細は、キーおよびシークレット管理の概念のトピックの自動キー・ローテーションの項を参照してください。このオプションは、キーの作成中に有効にするか、キーの作成後に有効にできます。自動ローテーション設定を更新する手順は、自動キー・ローテーションの有効化および更新を参照してください。自動ローテーションを有効にして新しいキーを作成する手順は、マスター暗号化キーの作成を参照してください。
手動キー・ローテーション
コンソール、CLIまたはAPIを使用してキーを手動でローテーションするには、次の項の手順を使用します。
キーのローテーションには、oci kms management key-version createコマンドと必要なパラメータを使用します。
oci kms management key-version create --key-id <target_key_id> --endpoint <kmsmanagement_endpoint> [OPTIONS]このキーの以前のバージョンで暗号化されたオブジェクトを含む暗号操作では、古いキー・バージョンが引き続き使用されます。必要に応じて、現在のキー・バージョンでこれらのオブジェクトを再暗号化できます。
CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
CreateKeyVersion APIを管理エンドポイントとともに使用して、マスター暗号化キーをローテーションします。
ノート
管理エンドポイントは、作成、更新、リスト、取得および削除などの管理操作に使用されます。管理エンドポイントは、コントロール・プレーンURLまたはKMSMANAGEMENTエンドポイントとも呼ばれます。
暗号化エンドポイントは、暗号化、復号化、データ暗号化鍵の生成、署名、検証などの暗号化操作に使用されます。暗号化エンドポイントは、データ・プレーンURLまたはKMSCRYPTOエンドポイントとも呼ばれます。
管理エンドポイントおよび暗号化エンドポイントは、ボールトの詳細メタデータにあります。手順については、Getting a Vault's Detailsを参照してください。
キー管理、シークレット管理およびシークレット取得APIのリージョナル・エンドポイントについては、APIリファレンスおよびエンドポイントを参照してください。
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。