CMEK 키 관리 워크플로우

고객 관리 암호화 키에 대해 지원되는 관리 작업에 대해 알아봅니다.

관련 항목

CMEK 키 관리 작업

OCI 콘솔을 사용하면 다음과 같은 CMEK 관리 작업을 수행할 수 있습니다.

각 작업은 다음 절에서 자세히 설명합니다.

CMEK 할당

OCI 콘솔을 사용하여 전용 환경에 CMEK를 지정할 수 있습니다.
필요 조건:
  • Vault에 CMEK를 작성합니다. 절차는 CMEK Creation를 참조하십시오.
  • 필요한 액세스 제어 정책을 만듭니다. 자세한 내용은 CMEK Access Control을 참조하십시오.
절차:
  1. OCI 콘솔에 사인인합니다.
  2. 왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 데이터베이스를 선택한 다음 NoSQL 데이터베이스를 선택합니다.
  3. 환경 필드에서 드롭다운 옵션을 선택하고 전용 환경을 선택합니다.
  4. 환경 필드 아래에는 암호화 키Oracle 관리 키가 표시됩니다. Oracle 관리 키 옆의 지정 링크를 선택합니다.
  5. 마스터 암호화 키 지정 페이지의 [저장소] 드롭다운에서 저장소를 선택합니다.
  6. Master Encryption Key 드롭다운에서 CMEK를 선택합니다.
  7. 지정을 선택합니다.

그림 - CMEK 할당 페이지


다음은 그림 -에 대한 설명입니다.
"그림 - CMEK 지정 페이지" 설명

Oracle NoSQL Database Cloud Service는 CMEK를 검증한 후 이를 사용하여 선택한 전용 환경에서 블록 볼륨 및 오브젝트 스토리지 키를 암호화합니다. 모든 블록 볼륨 및 오브젝트 스토리지 키가 암호화될 때까지 전용 환경의 상태가 UPDATING으로 변경됩니다. 이 기간 동안 콘솔에 키 업데이트 진행 중이라는 통지 메시지가 표시됩니다. 키 업데이트는 최대 2분이 걸릴 수 있습니다. CMEK 지정 후 Encryption Key는 CMEK 및 해당 OCID를 반영합니다.

그림 - CMEK 할당


다음은 그림 -에 대한 설명입니다.
"그림 - CMEK 지정"에 대한 설명

CMEK 다른 CMEK로 할당

OCI 콘솔을 사용하여 전용 환경에서 CMEK를 변경할 수 있습니다. 이 절차는 키 순환에 사용됩니다.
필요 조건:
  • CMEK를 생성하여 전용 환경에 할당했습니다. 절차는 CMEK Assign을 참조하십시오.
  • Vault에 다른 CMEK를 작성합니다. 절차는 CMEK Creation를 참조하십시오.
절차:
  1. OCI 콘솔에 사인인합니다.
  2. 왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 데이터베이스를 선택한 다음 NoSQL 데이터베이스를 선택합니다.
  3. 환경 필드에서 드롭다운 옵션을 선택하고 전용 환경을 선택합니다.
  4. 환경 필드 아래에는 암호화 키에 CMEK 및 해당 OCID가 표시됩니다. 암호화 키 아래의 편집 링크를 선택합니다.
  5. 마스터 암호화 키 편집 페이지의 [저장소] 드롭다운에서 저장소를 선택합니다.
  6. Master Encryption Key(마스터 암호화 키) 드롭다운에서 필요한 CMEK를 선택합니다.
  7. 업데이트를 선택합니다.

    주:

    동일한 저장소의 다른 CMEK 또는 다른 저장소의 CMEK를 지정할 수 있습니다.

그림 - CMEK 회전


다음은 그림 -에 대한 설명입니다.
"그림 - CMEK 회전"에 대한 설명

Oracle NoSQL Database Cloud Service는 새 CMEK를 검증한 다음 이를 사용하여 선택한 전용 환경에서 블록 볼륨 및 오브젝트 스토리지 키를 다시 암호화합니다. 블록 볼륨 및 오브젝트 스토리지의 모든 데이터가 다시 암호화될 때까지 전용 환경의 상태가 UPDATING으로 변경됩니다. 이 기간 동안 콘솔에 키 업데이트 진행 중이라는 통지 메시지가 표시됩니다. 키 업데이트는 최대 2분이 걸릴 수 있습니다. CMEK 교체 후 암호화 키는 새 CMEK 및 해당 OCID를 반영합니다.

CMEK 사용 안함

OCI 콘솔을 사용하여 이전에 전용 환경에 지정된 CMEK를 사용 안함으로 설정할 수 있습니다.
필요 조건:
  • CMEK를 생성하여 전용 환경에 할당했습니다. 절차는 CMEK Assign을 참조하십시오.
절차:
  1. OCI 콘솔에 사인인합니다.
  2. 왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 ID 및 보안을 선택한 다음 저장소를 선택합니다.
  3. CMEK를 작성한 저장소를 선택합니다.
  4. CMEK를 선택합니다.
  5. 주요 세부정보 페이지에서 사용 안함을 선택하고 작업을 확인합니다.

그림 - CMEK 사용 안함


다음은 그림 -에 대한 설명입니다.
"그림 - CMEK 사용 안함"에 대한 설명

CMEK의 상태가 사용 안함으로 표시됩니다. 몇 분 안에 모든 작업에 대해 전용 환경을 사용할 수 없게 됩니다. OCI 콘솔에서 전용 환경에 액세스하려고 하면 CMEK가 사용 안함으로 설정되었다는 오류 메시지가 표시됩니다.

CMEK 삭제

OCI 콘솔을 사용하여 이전에 전용 환경에 할당한 CMEK를 삭제할 수 있습니다. CMEK 삭제는 우발적 인 삭제를 방지하기 위해 대기 기간이있는 2 단계 프로세스입니다.
필요 조건:
  • CMEK를 생성하여 전용 환경에 할당했습니다. 절차는 CMEK Assign을 참조하십시오.
절차:
  1. OCI 콘솔에 사인인합니다.
  2. 왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 ID 및 보안을 선택한 다음 저장소를 선택합니다.
  3. CMEK를 작성한 저장소를 선택합니다.
  4. CMEK를 선택합니다.
  5. 주요 세부정보 페이지에서 키 삭제를 선택합니다.
  6. 삭제 날짜를 선택하고 작업을 확인합니다.

그림 - CMEK 삭제


다음은 그림 -에 대한 설명입니다.
"그림 - CMEK 삭제"에 대한 설명

CMEK의 상태는 삭제 보류 중(사용 안함 상태와 같음)을 표시합니다. 모든 작업에 대해 전용 환경을 사용할 수 없게 됩니다. OCI 콘솔에서 전용 환경에 액세스하려고 하면 CMEK가 사용 안함으로 설정되었고 삭제 보류 중이라는 오류 메시지가 표시됩니다.

삭제 날짜가 지나면 전용 환경의 모든 데이터를 영구적으로 사용할 수 없게 되고 되돌릴 수 없게 됩니다. OCI 콘솔에서 전용 환경에 액세스하려고 하면 CMEK가 영구적으로 삭제된다는 오류 메시지가 표시됩니다.

CMEK 복원

OCI 콘솔을 사용하여 이전에 사용 안함으로 설정된 CMEK를 다시 사용으로 설정할 수 있습니다.
필요 조건:
  • CMEK가 사용 안함으로 설정된 상태입니다.
절차:
  1. OCI 콘솔에 사인인합니다.
  2. 왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 ID 및 보안을 선택한 다음 저장소를 선택합니다.
  3. CMEK를 작성한 저장소를 선택합니다.
  4. CMEK를 선택합니다.
  5. 주요 세부정보 페이지에서 사용을 선택합니다.

그림 - CMEK 복원


다음은 그림 -에 대한 설명입니다.
"그림 - CMEK 복원"에 대한 설명

자격 증명 모음에서 해당 CMEK가 다시 사용으로 설정된 후 전용 환경을 다시 온라인으로 전환하기 위한 CAM 티켓을 마련해야 합니다.

CMEK 제거

OCI 콘솔을 사용하여 전용 환경에서 CMEK를 제거할 수 있습니다.
필요 조건:
  • CMEK를 생성하여 전용 환경에 할당했습니다. 절차는 CMEK Assign을 참조하십시오.
절차:
  1. OCI 콘솔에 사인인합니다.
  2. 왼쪽 상단 모서리에 있는 탐색 메뉴를 열고 데이터베이스를 선택한 다음 NoSQL 데이터베이스를 선택합니다.
  3. 환경 필드에서 드롭다운 옵션을 선택하고 전용 환경을 선택합니다.
  4. 환경 필드 아래에는 암호화 키에 CMEK 및 해당 OCID가 표시됩니다. 암호화 키 아래의 지정 해제 링크를 선택합니다.

그림 - CMEK 제거


다음은 그림 -에 대한 설명입니다.
"그림 - CMEK 제거"에 대한 설명

Oracle NoSQL Database Cloud Service는 전용 환경에서 CMEK를 제거하고 Oracle 관리 키를 할당합니다. 선택한 전용 환경의 블록 볼륨 및 오브젝트 스토리지에 있는 모든 데이터는 Oracle 관리 암호화 키를 사용하여 암호화되도록 되돌아갑니다. CMEK 제거 후 Encryption KeyOracle 관리 키를 반영합니다.