Vaultキーのローテーション
マスター暗号化キーの回転
キーをローテーションすると、KMSサービスにより新しいキー・バージョンが生成されます。サービスでは、新しいキー・バージョンのキー・マテリアルを生成することも、独自のキー・マテリアルをインポートすることもできます。キーをインポートする場合は、ラッピング・キーを使用してキー・マテリアルをラップする必要があります。ただし、ラッピング・キーを作成、削除またはローテーションすることはできません。キー・ローテーションの詳細は、「Vaultの概要」を参照してください。
コマンド・プロンプトを開き、
oci kms management key rotate
を実行してキーをローテーションしますoci kms management key rotate --key-id <target_key_id> --endpoint <vault_specific_management_endpoint_url
たとえば:
oci kms management key rotate --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.com
このキーの以前のバージョンで暗号化されたオブジェクトを含む暗号操作では、古いキー・バージョンが引き続き使用されます。必要に応じて、現在のキー・バージョンでこれらのオブジェクトを再暗号化できます。
CLIコマンドのパラメータおよび値の完全なリストは、KMS CLIコマンド・リファレンスを参照してください。
KeyVersion操作を実行して、KMSMANAGMENTエンドポイントを使用して特定のマスター暗号化キーに関する情報を取得します。
Note
Each region uses the KMSMANAGMENT endpoint for create, update, and list operations for keys. This endpoint is referred to as the control plane URL or vault management endpoint. Each region also has a unique endpoint for operations related to retrieving vault details. This endpoint is known as the data plane URL or the secret retrieval endpoint. For regional endpoints, see the API Documentation.APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。