Fluxo de trabalho Gerenciamento de chaves CMEK

Saiba mais sobre as operações de gerenciamento suportadas para chaves de Criptografia Gerenciadas pelo Cliente.

Operações de gerenciamento de chaves CMEK

A console do OCI permite que você execute as seguintes operações de gerenciamento do CMEK:

• Designação CMEK

• Atribuição CMEK (CMEK diferente)

• Desativar CMEK

• Excluir CMEK

• Restauração CMEK

• Remoção de CMEK

Cada operação é explicada detalhadamente nas seções a seguir.

Atribuição CMEK

Você pode usar a console do OCI para designar um CMEK ao seu ambiente dedicado.

Pré-Requisito:

• Crie um CMEK no vault. Para obter o procedimento, consulte Criação de CMEK.

• Crie as políticas de controle de acesso necessárias. Para obter detalhes, consulte CMEK Access Control.

Procedimento:

1. Acesse a console do OCI.

2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Bancos de Dados e Banco de Dados NoSQL.

3. Selecione a opção drop-down no campo Ambiente e selecione seu ambiente dedicado.

4. Abaixo do campo Ambiente, a Chave de Criptografia mostra a chave gerenciada pela Oracle. Selecione o link Designar ao lado da chave gerenciada pela Oracle.

5. Na página Designar Chave de Criptografia Principal, selecione seu vault na lista drop-down Vault.

6. Selecione seu CMEK no menu suspenso Chave de Criptografia Principal.

7. Selecione Atribuir.

Figura - Página de atribuição do CMEK

Descrição da ilustração he_assignkey1.png

O Oracle NoSQL Database Cloud Service valida o CMEK e o usa para criptografar Volumes em Blocos e chaves do Object Storage no ambiente dedicado escolhido. O estado do ambiente dedicado muda para UPDATING até que todas as suas chaves do Block Volumes e do Object Storage sejam criptografadas. Nessa duração, você verá uma mensagem de notificação na console informando Atualização de chave em andamento. Observe que a atualização da chave pode levar até dois minutos. Após a designação CMEK, a Chave de Criptografia reflete seu CMEK e seu OCID.

Figura - Atribuição CMEK

Descrição da ilustração he_mek1.png

Atribuir CMEK com um CMEK diferente

Você pode usar a console do OCI para alterar o CMEK em seu ambiente dedicado. Você usa esse procedimento para rotação de chaves.

Pré-Requisito:

• Você criou um CMEK e o atribuiu ao seu ambiente dedicado. Para obter o procedimento, consulte Atribuição de CMEK.

• Crie outro CMEK no vault. Para obter o procedimento, consulte Criação de CMEK.

Procedimento:

1. Acesse a console do OCI.

2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Bancos de Dados e Banco de Dados NoSQL.

3. Selecione a opção drop-down no campo Ambiente e selecione seu ambiente dedicado.

4. Abaixo do campo Ambiente, a Chave de Criptografia mostra o CMEK e seu OCID. Selecione o link Editar abaixo da chave de criptografia

5. Na página Editar Chave de Criptografia Principal, selecione seu vault na lista drop-down Vault.

6. Selecione o CMEK necessário na lista drop-down Chave de Criptografia Principal.

7. Selecione Atualizar.

Observação: você pode designar um CMEK diferente do mesmo vault ou um CMEK de outro vault.

Figura - Rotação CMEK

Descrição da ilustração he_rotatekey1.png

O Oracle NoSQL Database Cloud Service valida o novo CMEK e o usa para recriptografar seus Volumes em Blocos e chaves do Object Storage no ambiente dedicado escolhido. O estado do ambiente dedicado muda para UPDATING até que todos os seus dados no Block Volumes e no Object Storage sejam criptografados novamente. Nessa duração, você verá uma mensagem de notificação na console informando Atualização de chave em andamento. Observe que a atualização da chave pode levar até dois minutos. Após a rotação do CMEK, a Chave de Criptografia reflete o novo CMEK e seu OCID.

Desativar CMEK

Você pode usar a console do OCI para desativar o CMEK que foi designado anteriormente ao seu ambiente dedicado.

Pré-Requisito:

• Você criou o CMEK e o atribuiu ao seu ambiente dedicado. Para obter o procedimento, consulte Atribuição de CMEK.

Procedimento:

1. Acesse a console do OCI.

2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Identity & Security e selecione Vault.

3. Selecione o vault no qual você criou o CMEK.

4. Selecione seu CMEK.

5. Na página Detalhes da Chave, selecione Desativar e confirme a operação.

Figura - Desativar CMEK

Descrição da ilustração cmek_disable.png

O status do CMEK é exibido como desativado. O ambiente dedicado fica indisponível para qualquer operação em questão de minutos. Quando você tenta acessar o ambiente dedicado na console do OCI, ele exibe uma mensagem de erro informando que o CMEK está desativado.

Excluir CMEK

Você pode usar a console do OCI para excluir o CMEK, que você designou anteriormente ao seu ambiente dedicado. A exclusão do CMEK é um processo de duas etapas com um período de espera para evitar a exclusão acidental.

Pré-Requisito:

• Você criou o CMEK e o atribuiu ao seu ambiente dedicado. Para obter o procedimento, consulte Atribuição de CMEK.

Procedimento:

1. Acesse a console do OCI.

2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Identity & Security e selecione Vault.

3. Selecione o vault no qual você criou o CMEK.

4. Selecione seu CMEK.

5. Na página Detalhes da Chave, selecione Excluir Chave.

6. Selecione uma data de exclusão e confirme a operação.

Figura - Exclusão de CMEK

Descrição da ilustração cmek_delete.png

O status do CMEK mostra a exclusão pendente, que é equivalente ao estado desativado. O ambiente dedicado fica indisponível para qualquer operação. Quando você tenta acessar o ambiente dedicado na console do OCI, ele exibe uma mensagem de erro informando que o CMEK está desativado e está pendente de exclusão.

Após a data de exclusão, todos os seus dados no ambiente dedicado se tornam permanentemente inutilizáveis e irrecuperáveis. Quando você tenta acessar o ambiente dedicado na console do OCI, ele exibe uma mensagem de erro informando que o CMEK foi excluído permanentemente.

Restauração CMEK

Você pode usar a console do OCI para reativar o CMEK que foi desativado anteriormente.

Pré-Requisito:

• O CMEK está em um estado desativado.

Procedimento:

1. Acesse a console do OCI.

2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Identity & Security e selecione Vault.

3. Selecione o vault no qual você criou o CMEK.

4. Selecione seu CMEK.

5. Na página Detalhes da Chave, selecione Ativar.

Figura - Restauração CMEK

Descrição da ilustração enablekey.png

Você deve criar um ticket CAM para colocar o ambiente dedicado novamente on-line depois que seu CMEK tiver sido reativado no cofre.

Remoção de CMEK

Você pode usar a console do OCI para remover o CMEK do seu ambiente dedicado.

Pré-Requisito:

• Você criou o CMEK e o atribuiu ao seu ambiente dedicado. Para obter o procedimento, consulte Atribuição de CMEK.

Procedimento:

1. Acesse a console do OCI.

2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Bancos de Dados e Banco de Dados NoSQL.

3. Selecione a opção drop-down no campo Ambiente e selecione seu ambiente dedicado.

4. Abaixo do campo Ambiente, a Chave de Criptografia mostra o CMEK e seu OCID. Selecione o link Cancelar Designação abaixo da Chave de Criptografia.

Figura - Remoção de CMEK

Descrição da ilustração cmek_unassign1.png

O Oracle NoSQL Database Cloud Service remove o CMEK do ambiente dedicado e atribui a ele a chave gerenciada pela Oracle. Todos os dados nos Block Volumes e no Object Storage do ambiente dedicado escolhido são revertidos para serem criptografados usando uma chave de criptografia gerenciada pela Oracle. Após a remoção do CMEK, a Chave de Criptografia reflete a chave gerenciada pela Oracle.

Tópicos Relacionados

• Introdução a chaves de Criptografia Gerenciadas pelo Cliente