Fazendo Backup e Restaurando Vaults e Chaves
Saiba mais sobre backup e restauração de vaults privados virtuais e chaves de criptografia mestras em um Módulo de Segurança de Hardware (HSM).
Você pode criar backups de vaults privados virtuais e chaves de criptografia principais em um bucket do Object Storage ou fazer backup deles no armazenamento fora do OCI.
O único tipo de vault do qual você pode fazer backup é um vault privado virtual. Da mesma forma, o único tipo de chave de criptografia que você pode fazer backup é uma chave de criptografia mestra protegida por um módulo de segurança de hardware (HSM). Você não pode fazer backup de chaves mestras de criptografia protegidas por software. Você também não pode fazer backup de segredos.
Talvez você queira fazer backup de uma chave de vault ou criptografia antes de excluí-la se não precisar dela agora, mas talvez precise usar a chave para decriptografia posteriormente. Excluir um vault e uma chave significa perder a capacidade de decriptografar qualquer recurso ou dados para os quais a chave foi usada para criptografar. A restauração de uma chave de um backup permite retomar o uso de um recurso criptografado pela chave se o material da chave original tiver sido excluído.
Você também pode criar um backup de um vault para usar em um cenário de recuperação de desastre. Você pode restaurar um backup em qualquer região do realm usado, tornando possível acessar recursos criptografados mesmo em cenários de recuperação de desastre em que a região do recurso submetido a backup não está mais disponível.
Por default, um backup de chave inclui metadados sobre o vault da chave. Um backup do vault pode, opcionalmente, incluir metadados de chave, mas não incluirá metadados sobre segredos porque você não pode fazer backup de segredos, independentemente ou como parte de um backup do vault.
Os tópicos a seguir fornecem instruções para operações de backup do vault:
- Fazendo backup de um vault
- Fazendo backup de uma chave do vault
- Restaurando o vault com base em um backup
- Restaurando uma chave
Consulte Gerenciando Chaves para obter informações sobre a criação e o gerenciamento de chaves. Para obter informações sobre o gerenciamento de vaults, consulte Gerenciando Vaults. Para obter informações sobre criação e gerenciamento de segredos, consulte Gerenciando Segredos.
Como Funciona
As chaves são sempre associadas ao vault em que você as criou. Esse relacionamento persiste mesmo quando a chave é submetida a backup e restaurada. Como resultado, restaurar uma chave sempre requer que você já tenha o vault associado à chave. Você também precisa do vault porque ele hospeda os pontos finais criptográficos e de gerenciamento nos quais você gerencia e usa a chave. Isso pode significar que você precisa primeiro restaurar o vault e, em seguida, restaurar a chave, se ambos tiverem sido submetidos a backup e posteriormente excluídos.
É possível fazer backup de um vault ou de uma chave exportando informações de identificação sobre o vault ou a chave e o conteúdo deles. (O serviço criptografa os backups e somente o serviço pode restaurá-los.) Opcionalmente, os backups do vault podem incluir chaves, supondo que o vault tenha chaves e que as chaves estejam em um estado de ciclo de vida suportado quando você executar o backup. Só é possível fazer backup de chaves ativas, habilitadas ou desabilitadas. Os backups excluem chaves excluídas ou em estado de transição (por exemplo, "Criando" ou "Exclusão Pendente"). Os backups de chave sempre incluem metadados do vault, além de metadados de chave. Ter metadados do vault torna possível restaurar a chave. Você só pode fazer backup de vaults ativos.
Você pode fazer backup de apenas um vault ou uma chave de cada vez. (A exceção é quando você faz backup das chaves como parte de um backup do vault.) Quando você executa um backup de chave, o arquivo inclui todas as versões de chave associadas em um estado ativado. Os backups excluem versões de chave em um estado de exclusão excluído ou pendente.
As operações de backup exigem que você especifique o local em que o download do backup será feito. Os downloads podem ser armazenados em um bucket do serviço Object Storage novo ou existente ou em um URL temporário criado especificamente para solicitações pré-autenticadas. Para obter mais informações sobre solicitações pré-autenticadas, consulte Usando Solicitações Pré-Autenticadas. Os backups devem ser armazenados em buckets na mesma região, mas você pode copiar o backup para outra região usando o serviço Object Storage.
As operações de backup e restauração geram solicitações de serviço para ajudá-lo a acompanhar seu progresso.
Você pode restaurar um vault ou uma chave importando o backup do armazenamento para o local desejado, desde que restaure o vault para a mesma tenancy e compartimento em que você criou o backup originalmente. A chave também só pode ser restaurada para sua tenancy e compartimento originais, que pode ser outro compartimento que não o do vault. No entanto, você poderá restaurar vaults e chaves para outra região se sua tenancy abranger várias regiões.
Você pode restaurar um vault ou uma chave individualmente. Se você tiver incluído chaves em um backup de vault, a restauração do vault restaurará todas as chaves incluídas no backup. A restauração de uma chave restaura todas as versões de chave incluídas no backup.
Você pode restaurar um vault ou uma chave mesmo quando o vault ou a chave já existirem na região. Além disso, a qualquer momento, você pode fazer um backup mais recente de um vault ou uma chave se quiser capturar alterações no vault, como um novo nome ou tags, ou as chaves, como novas versões de chave. A atualização de um vault ou chave já restaurados reflete essas alterações. Atualizações de um backup são sempre aditivas. Isso significa que as atualizações só podem acrescentar novas informações. Por exemplo, qualquer nova versão de chave criada em um vault de referência é adicionada à chave restaurada quando você atualiza a chave restaurada. Mas, se você excluir uma chave de um vault de referência e atualizar um vault restaurado de um backup do vault de referência, a atualização não resultará em uma exclusão de chave correspondente no vault restaurado. Da mesma forma, qualquer chave criada para um vault restaurado é independente de qualquer chave associada ao vault de referência do qual você criou o backup. Você também os gerencia de forma independente.
A maioria das outras operações não é permitida quando uma operação de backup ou restauração está em andamento. Isso impede que você exclua uma chave enquanto ela está sendo submetida a backup, por exemplo. As operações proibidas incluem tentativas de executar operações simultâneas de backup ou restauração no mesmo recurso.
Para facilitar a reutilização de qualquer política criada para permitir o gerenciamento e o uso de vaults e chaves, quando você restaurar um vault e uma chave, eles manterão o mesmo OCID (Oracle Cloud Identifier) exclusivo se forem restaurados para a região em que foram originalmente submetidos a backup. Ao restaurar um vault ou chave para outra região, você deve revisar e atualizar as políticas para que correspondam aos novos OCIDs.
Quando você restaura um vault ou uma chave, especialmente uma chave com muitas versões, os limites de serviço da tenancy se aplicam.
Política Obrigatória do Serviço IAM
Para usar o Oracle Cloud Infrastructure, um administrador deve ser membro de um grupo ao qual foi concedido acesso de segurança em uma política por um administrador da tenancy. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Se você receber uma mensagem informando que não tem permissão ou está não autorizado, verifique com o administrador da tenancy qual tipo de acesso você tem e qual compartimento seu acesso funciona.
Para administradores: para políticas típicas que dão acesso a vaults, chaves e segredos, consulte Permitir que administradores de segurança gerenciem vaults, chaves e segredos. Para obter mais informações sobre permissões, ou se você precisar gravar políticas mais restritivas, consulte Detalhes do Serviço Vault.
Dependendo de onde você deseja armazenar backups e recuperá-los, talvez também seja necessário acessar um bucket do serviço Object Storage. Para administradores: para políticas típicas que dão acesso a buckets, consulte Permitir que os usuários gravem objetos em buckets do serviço Object Storage e Permitir que os usuários façam download de objetos em buckets do serviço Object Storage.
Se você ainda não conhece as políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns.