Fluxo de trabalho Gerenciamento de chaves CMEK

Saiba mais sobre as operações de gerenciamento suportadas para chaves de Criptografia Gerenciadas pelo Cliente.

Tópicos Relacionados

Operações de gerenciamento de chaves CMEK

A console do OCI permite que você execute as seguintes operações de gerenciamento do CMEK:

Cada operação é explicada detalhadamente nas seções a seguir.

Atribuição CMEK

Você pode usar a console do OCI para designar um CMEK ao seu ambiente dedicado.
Pré-Requisito:
  • Crie um CMEK no vault. Para obter o procedimento, consulte Criação de CMEK.
  • Crie as políticas de controle de acesso necessárias. Para obter detalhes, consulte CMEK Access Control.
Procedimento:
  1. Acesse a console do OCI.
  2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Bancos de Dados e NoSQL Database.
  3. Selecione a opção drop-down no campo Ambiente e selecione seu ambiente dedicado.
  4. Abaixo do campo Ambiente, a Chave de Criptografia mostra a chave gerenciada pela Oracle. Selecione o link Atribuir ao lado da chave gerenciada pela Oracle.
  5. Na página Designar Chave de Criptografia Principal, selecione seu vault na lista drop-down Vault.
  6. Selecione seu CMEK no menu suspenso Chave de Criptografia Principal.
  7. Selecione Atribuir.

Figura - Página de atribuição do CMEK


Veja a seguir a descrição da Figura -
Descrição de "Figura - Página de Designação CMEK"

O Oracle NoSQL Database Cloud Service valida o CMEK e o usa para criptografar Volumes em Blocos e chaves do Object Storage no ambiente dedicado escolhido. O estado do ambiente dedicado muda para UPDATING até que todas as suas chaves do Block Volumes e do Object Storage sejam criptografadas. Nessa duração, você verá uma mensagem de notificação na console informando Atualização de chave em andamento. Observe que a atualização da chave pode levar até dois minutos. Após a designação CMEK, a Chave de Criptografia reflete seu CMEK e seu OCID.

Figura - Atribuição CMEK


Veja a seguir a descrição da Figura -
Descrição de "Figura - Atribuição CMEK"

Atribuir CMEK com um CMEK diferente

Você pode usar a console do OCI para alterar o CMEK em seu ambiente dedicado. Você usa esse procedimento para rotação de chaves.
Pré-Requisito:
  • Você criou um CMEK e o atribuiu ao seu ambiente dedicado. Para obter o procedimento, consulte Atribuição de CMEK.
  • Crie outro CMEK no vault. Para obter o procedimento, consulte Criação de CMEK.
Procedimento:
  1. Acesse a console do OCI.
  2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Bancos de Dados e NoSQL Database.
  3. Selecione a opção drop-down no campo Ambiente e selecione seu ambiente dedicado.
  4. Abaixo do campo Ambiente, a Chave de Criptografia mostra o CMEK e seu OCID. Selecione o link Editar abaixo da chave de criptografia
  5. Na página Editar Chave de Criptografia Principal, selecione seu vault na lista drop-down Vault.
  6. Selecione o CMEK necessário na lista drop-down Chave de Criptografia Principal.
  7. Selecione Atualizar.

    Observação:

    Você pode designar um CMEK diferente do mesmo vault ou um CMEK de um vault diferente.

Figura - Rotação CMEK


Veja a seguir a descrição da Figura -
Descrição de "Figure - CMEK Rotation"

O Oracle NoSQL Database Cloud Service valida o novo CMEK e o usa para recriptografar seus Volumes em Blocos e chaves do Object Storage no ambiente dedicado escolhido. O estado do ambiente dedicado muda para UPDATING até que todos os seus dados no Block Volumes e no Object Storage sejam criptografados novamente. Nessa duração, você verá uma mensagem de notificação na console informando Atualização de chave em andamento. Observe que a atualização da chave pode levar até dois minutos. Após a rotação do CMEK, a Chave de Criptografia reflete o novo CMEK e seu OCID.

Desativar CMEK

Você pode usar a console do OCI para desativar o CMEK que foi designado anteriormente ao seu ambiente dedicado.
Pré-Requisito:
  • Você criou o CMEK e o atribuiu ao seu ambiente dedicado. Para obter o procedimento, consulte Atribuição de CMEK.
Procedimento:
  1. Acesse a console do OCI.
  2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Identidade e Segurança e, em seguida, selecione Vault.
  3. Selecione o vault no qual você criou o CMEK.
  4. Selecione seu CMEK.
  5. Na página Detalhes da Chave, selecione Desativar e confirme a operação.

Figura - Desativar CMEK


Veja a seguir a descrição da Figura -
Descrição de "Figure - CMEK Disable"

O status do CMEK é exibido como desativado. O ambiente dedicado fica indisponível para qualquer operação em questão de minutos. Quando você tenta acessar o ambiente dedicado na console do OCI, ele exibe uma mensagem de erro informando que o CMEK está desativado.

Excluir CMEK

Você pode usar a console do OCI para excluir o CMEK, que você designou anteriormente ao seu ambiente dedicado. A exclusão do CMEK é um processo de duas etapas com um período de espera para evitar a exclusão acidental.
Pré-Requisito:
  • Você criou o CMEK e o atribuiu ao seu ambiente dedicado. Para obter o procedimento, consulte Atribuição de CMEK.
Procedimento:
  1. Acesse a console do OCI.
  2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Identidade e Segurança e, em seguida, selecione Vault.
  3. Selecione o vault no qual você criou o CMEK.
  4. Selecione seu CMEK.
  5. Na página Detalhes da Chave, selecione Excluir Chave.
  6. Selecione uma data de exclusão e confirme a operação.

Figura - Exclusão de CMEK


Veja a seguir a descrição da Figura -
Descrição de "Figure - CMEK Deletion"

O status do CMEK mostra a exclusão pendente, que é equivalente ao estado desativado. O ambiente dedicado fica indisponível para qualquer operação. Quando você tenta acessar o ambiente dedicado na console do OCI, ele exibe uma mensagem de erro informando que o CMEK está desativado e está pendente de exclusão.

Após a data de exclusão, todos os seus dados no ambiente dedicado se tornam permanentemente inutilizáveis e irrecuperáveis. Quando você tenta acessar o ambiente dedicado na console do OCI, ele exibe uma mensagem de erro informando que o CMEK foi excluído permanentemente.

Restauração CMEK

Você pode usar a console do OCI para reativar o CMEK que foi desativado anteriormente.
Pré-Requisito:
  • O CMEK está em um estado desativado.
Procedimento:
  1. Acesse a console do OCI.
  2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Identidade e Segurança e, em seguida, selecione Vault.
  3. Selecione o vault no qual você criou o CMEK.
  4. Selecione seu CMEK.
  5. Na página Detalhes da Chave, selecione Ativar.

Figura - Restauração CMEK


Veja a seguir a descrição da Figura -
Descrição de "Figure - CMEK Restoration"

Você deve criar um ticket CAM para colocar o ambiente dedicado novamente on-line depois que seu CMEK tiver sido reativado no cofre.

Remoção de CMEK

Você pode usar a console do OCI para remover o CMEK do seu ambiente dedicado.
Pré-Requisito:
  • Você criou o CMEK e o atribuiu ao seu ambiente dedicado. Para obter o procedimento, consulte Atribuição de CMEK.
Procedimento:
  1. Acesse a console do OCI.
  2. Abra o menu de navegação localizado no canto superior esquerdo, selecione Bancos de Dados e NoSQL Database.
  3. Selecione a opção drop-down no campo Ambiente e selecione seu ambiente dedicado.
  4. Abaixo do campo Ambiente, a Chave de Criptografia mostra o CMEK e seu OCID. Selecione o link Cancelar Designação abaixo da Chave de Criptografia.

Figura - Remoção de CMEK


Veja a seguir a descrição da Figura -
Descrição de "Figure - CMEK Removal"

O Oracle NoSQL Database Cloud Service remove o CMEK do ambiente dedicado e atribui a ele a chave gerenciada pela Oracle. Todos os dados nos Block Volumes e no Object Storage do ambiente dedicado escolhido são revertidos para serem criptografados usando uma chave de criptografia gerenciada pela Oracle. Após a remoção do CMEK, a Chave de Criptografia reflete a chave gerenciada pela Oracle.