Alterando a Chave de Criptografia Principal Designada
Altere a chave designada para um recurso do serviço Block Volume, como um backup de volume ou volume. Você pode designar uma chave gerenciada pelo cliente ou uma chave gerenciada pela Oracle. Quando você altera a chave, a chave de dados é criptografada novamente. (O conteúdo do recurso não é recriptografado para uma alteração de chave.)
Consulte também Atualizar uma Chave para um Volume em Blocos.
Requisitos
Chaves de Criptografia Gerenciadas pelo Cliente para Operações entre Regiões
As chaves de criptografia do vault para volumes não serão copiadas para a região de destino para backups programados de volumes e grupos de volumes ativados para cópia entre regiões. Em vez disso, você pode especificar uma chave de criptografia do serviço Vault para o backup copiado para a região de destino ao designar a política de backup. Quando você designar a política de backup, se ela estiver ativada para cópias de backup entre regiões, selecione Criptografar usando chaves gerenciadas pelo cliente para Criptografia de cópia de backup entre regiões a fim de criptografar o backup do volume ou do grupo de volumes na região de destino. Se você selecionar essa opção, deverá especificar o OCID de uma chave de criptografia válida na região de destino. Consulte para obter mais informações.
Ao especificar uma chave de criptografia gerenciada pelo cliente para operações entre regiões, certifique-se de:
- O OCID é um OCID válido para a chave de criptografia, em um formato semelhante ao seguinte:
ocid1.key.oc1.iad-ad-1.<unique_ID> - O OCID se destina a uma chave de criptografia que existe na região de destino para a operação entre regiões.
- Você tem as permissões necessárias configuradas na região de destino para usar chaves de criptografia com o serviço Block Volume. Para obter mais informações, consulte:
Se você não especificar uma chave de criptografia gerenciada pelo cliente para operações entre regiões, uma criptografia gerenciada pela Oracle será usada por padrão. Esses requisitos não se aplicam a chaves de criptografia gerenciadas pela Oracle.
Cópias de Backup entre Regiões
Quando você copia manualmente um backup de volume entre regiões, pode usar a chave gerenciada pela Oracle ou sua própria chave de criptografia. Ao designar uma política de backup com cópias de backup entre regiões ativadas a um volume ou grupo de volumes ou executar uma cópia de backup manual entre regiões, você pode, opcionalmente, selecionar Criptografar usando chaves gerenciadas pelo cliente para Criptografia de cópia de backup entre regiões a fim de criptografar o backup de volume na região de destino. Se você selecionar essa opção, deverá especificar o OCID de uma chave de criptografia válida na região de destino.
Consulte também Chaves de Criptografia Gerenciadas pelo Cliente para Operações entre Regiões.
Use o comando específico do recurso relevante e os parâmetros necessários para designar uma chave de criptografia mestra.
Por exemplo, para um backup de volume em blocos, use atualização de backupoci bv.
- Exemplo 1: Chave gerenciada pelo Cliente:
oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID> - Exemplo 2: chave gerenciada pela Oracle (string vazia para o ID da chave):
oci bv backup update --backup-id=<backup_ID> --kms-key-id=''
Para um volume, use oci bv volume-kms-key update.
oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.
- Exemplo 1: Chave gerenciada pelo Cliente:
Execute a operação relevante específica do recurso para designar uma chave de criptografia mestra.
Por exemplo, para um backup de volume em blocos, execute a operação UpdateVolumeBackup e especifique o OCID da chave de criptografia no atributo
kmsKeyId.Para um volume, execute a operação UpdateVolumeKmsKey e especifique o OCID da chave de criptografia no atributo
kmsKeyId.