Documentação do Oracle Cloud Infrastructure

Gerenciando Chaves de Criptografia do Vault para o Serviço Block Volume

Chaves gerenciadas pelo cliente são chaves gerenciadas e disponibilizadas usando o Oracle Cloud Infrastructure Vault.

Por padrão, os volumes em blocos são criptografados usando chaves gerenciadas pela Oracle. Você tem a opção de usar suas próprias chaves, gerenciadas pelo Vault. Você pode especificar uma chave gerenciada pelo cliente ao criar um volume. Consulte Criando um Volume em Blocos. Os backups do volume usam automaticamente a chave especificada. Você pode especificar outra chave ao criar um novo volume clonando um volume ou restaurando um volume com base em um backup de volume.

Especificando uma Nova Chave ao Restaurar um Backup

  • Ao usar a CLI, execute o seguinte comando:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
        --volume-backup-id=<source_backup_ID>

    Se você não incluir o atributo --kms-key-id, o volume criado da restauração de um backup usará a chave gerenciada pela Oracle.

  • Quando você restaurar o volume em blocos de um backup na Console, na seção Criptografia no formulário Restaurar volume em blocos, selecione Criptografar usando chaves gerenciadas pelo cliente e, em seguida, selecione a chave de criptografia do Vault que você deseja usar.

  • Ao usar a API, especifique o OCID da chave de criptografia no atributo kmsKeyId de CreateVolumeDetails ao chamar a operação CreateVolume.

Especificando uma Nova Chave ao Clonar um Volume

  • Ao usar a CLI, execute o seguinte comando:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-id=<source_volume_ID>

  • Quando você clonar um volume na Console, na seção Criptografia do form Criar clone, selecione criptografar usando chaves gerenciadas pelo cliente e, em seguida, selecione a chave de criptografia do serviço Vault que você deseja usar.

  • Ao usar a API, especifique o OCID da chave de criptografia no atributo kmsKeyId de CreateVolumeDetails ao chamar a operação CreateVolume.

Especificando uma Nova Chave ao Ativar uma Réplica

  • Ao usar a CLI, execute o seguinte comando:

    oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
--source-volume-replica-id=<source_replica_ID>

  • Quando você ativar réplica de volume na Console, na seção Criptografia do form Ativar uma réplica de volume, selecione Criptografar usando chaves gerenciadas pelo cliente e, em seguida, selecione a chave de criptografia do Vault que você deseja usar.

  • Ao usar a API, especifique o OCID da chave de criptografia no atributo kmsKeyId de CreateVolumeDetails ao chamar a operação CreateVolume.

Especificando uma Chave ao Ativar a Replicação

Opcionalmente, você pode especificar sua própria chave para criptografar a réplica de volume na região de destino. A chave gerenciada pelo cliente pode ser:
  • uma chave replicada que existe na região de destino.
  • qualquer chave na região de destino que você possui e é diferente da chave na região de origem.

Você pode criptografar a réplica de volume com uma chave de criptografia gerenciada pelo cliente na região de destino ao ativar a replicação para um volume ou grupo de volumes. Quando você ativar a replicação, selecione Criptografar usando chaves gerenciadas pelo cliente para Criptografia de replicação entre regiões e especifique o OCID de uma chave de criptografia válida na região para a qual você selecionou para replicar o volume ou o grupo de volumes. Se você não especificar uma chave gerenciada pelo cliente, uma chave de criptografia gerenciada pela Oracle será usada.

Consulte o seguinte:

Alternando a Chave de Criptografia

Atualmente não há suporte para a rotação da mesma chave, e o comportamento não é definido quando há várias versões de uma chave. O serviço Block Volume só suporta chaves com uma única versão. Para rotacionar uma chave de criptografia, altere a chave de criptografia do volume para uma nova chave. Você também pode alterar a chave de criptografia de um backup de volume.

Quando você rotaciona a chave de um volume especificando uma nova chave de criptografia, qualquer recurso secundário criado antes da atualização da chave continua a usar a chave de criptografia antiga. Isso inclui backups e clones.

Alterando a Chave de Criptografia de um Volume

Você pode alterar a chave designada a um volume para outra chave gerenciada pelo cliente. A alteração da chave de criptografia não criptografa o conteúdo do volume; somente a chave de dados é criptografada novamente.

  • Para especificar outra chave gerenciada pelo cliente para um volume usando a CLI, execute o seguinte comando:

    oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>

  • Para especificar outra chave gerenciada pelo cliente para um volume usando a Console, consulte Atualizar uma Chave para um Volume em Blocos.

  • Para especificar outra chave gerenciada pelo cliente com a API, use a operação UpdateVolumeKmsKey.

Alterando a Chave de Criptografia para um Backup de Volume

Você pode alterar a chave designada a um backup de volume para outra chave gerenciada do cliente ou para uma chave gerenciada da Oracle. A alteração da chave de criptografia não criptografa novamente o backup de volume; somente a chave de dados é criptografada novamente. Para saber como alterar a chave de criptografia de um backup usando a CLI, a Console ou a API, consulte Chaves de Criptografia de Backup de Volume.

Acesso à Chave do Compartimento de Segurança Cruzada

Como melhores práticas, o Benchmark do CIS Oracle Cloud Infrastructure Foundations recomenda que você crie um vault para as chaves gerenciadas pelo cliente em um compartimento separado e restrinja o acesso a esse compartimento. O diagrama a seguir mostra como organizar isso.

Diagrama de arquitetura mostrando chaves gerenciadas pelo cliente armazenadas em um compartimento de acesso restrito e separado

As políticas a seguir são obrigatórias para usar as chaves em um compartimento de segurança separado com acesso restrito para criptografar volumes de inicialização, volumes em blocos e recursos relacionados.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>

Chaves de Criptografia de Backup de Volume

O serviço Oracle Cloud Infrastructure Vault permite que você inclua e gerencie suas próprias chaves para uso na criptografia de volumes e seus backups. Quando você cria um backup de volume, a chave de criptografia usada no volume também é usada no backup.

Você pode alterar a chave designada a um backup de volume para outra chave gerenciada pelo cliente ou para uma chave gerenciada pela Oracle. A alteração da chave de criptografia não recriptografa o conteúdo do volume; ela apenas recriptografa a chave de dados.

Usando a CLI

Para especificar outra chave para um backup de volume usando a CLI, execute o seguinte comando:

oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>

Para especificar que o backup de volume use uma chave gerenciada pela Oracle, especifique uma string vazia para o ID da chave, conforme mostrado no seguinte exemplo: 

oci bv backup update --backup-id=<backup_ID> --kms-key-id=''

Usando a Console

  1. Abra o menu de navegação e selecione Armazenamento. Em Armazenamento em Blocos, selecione Backups de Volume em Blocos.
  2. Em Escopo da Lista, na lista Compartimento, selecione o compartimento que contém o backup de volume para o qual você deseja atualizar a chave.
  3. Na lista de backups de volume, clique no backup desejado.

  4. Em seguida, execute um dos seguintes procedimentos:

    • Se o backup de volume já tiver uma chave designada a ele, ao lado da chave de criptografia, clique em Editar para designar outra chave.
    • Se o backup de volume ainda não tiver uma chave designada a ele, ao lado da Chave de criptografia, clique em Designar.

  5. Selecione o compartimento do vault, o vault, o compartimento da chave e a chave.

  6. Quando terminar, clique em Designar ou Atualizar, conforme apropriado.

Usando a API

Para especificar outra chave gerenciada pelo cliente com a API, use a operação UpdateVolumeBackup e especifique o OCID da chave de criptografia no atributo kmsKeyId.

Especificando uma Chave para Cópias de Backup entre Regiões

Ao copiar manualmente um backup de volume entre regiões, você pode usar a chave gerenciada pela Oracle ou sua própria chave de criptografia. Ao designar uma política de backup com cópias de backup entre regiões ativadas a um volume ou grupo de volumes ou executar uma cópia de backup manual entre regiões, você pode selecionar opcionalmente Criptografar usando chaves gerenciadas pelo cliente para Criptografia de cópia de backup entre regiões para criptografar o backup de volume na região de destino. Se você selecionar essa opção, deverá especificar o OCID para uma chave de criptografia válida na região de destino. Consulte também Requisitos para Chaves de Criptografia Gerenciadas pelo Cliente para Operações entre Regiões.

Mais Recursos

Requisitos para Chaves de Criptografia Gerenciadas pelo Cliente para Operações entre Regiões

Ao especificar uma chave de criptografia gerenciada pelo cliente para operações entre regiões, certifique-se de:

Se você não especificar uma chave de criptografia gerenciada pelo cliente para operações entre regiões, uma criptografia gerenciada pela Oracle será usada por padrão. Esses requisitos não se aplicam a chaves de criptografia gerenciadas pela Oracle.