Documentação do Oracle Cloud Infrastructure

Excluindo uma Chave

Saiba como programar a exclusão de uma chave de criptografia mestra armazenada em um vault do OCI.

O serviço Key Management da OCI oferece a opção de desativar ou excluir chaves que você não usa mais. Embora a desativação de uma chave forneça o caminho mais fácil para restaurar uma chave para serviço, se a chave for necessária posteriormente, talvez você precise excluir chaves por causa da política de ciclo de vida da chave da sua organização ou para liberar a cota no limite de serviço do serviço Key Management.

Como a exclusão de uma chave é uma operação destrutiva que pode resultar em dados criptografados com a chave inacessível, o OCI exige que você programe a exclusão com um período de espera especificado. Você pode aceitar o período de espera padrão de 30 dias até a exclusão ou especificar um período mais curto, com 7 dias sendo o período mínimo de espera. Recomendamos que você faça backup de uma chave antes de programá-lo para exclusão. Com um backup, você poderá restaurar a chave para o vault se precisar usar a chave posteriormente.

Recomendamos o uso de dados de log de serviço para analisar o uso de chaves e decidir se uma chave será excluída ou desativada, quando apropriado. Observe que algumas chaves ainda podem ser operacionalmente importantes, apesar da atividade limitada, e isso deve ser considerado junto com os dados de uso ao tomar decisões sobre a exclusão ou desativação de uma chave. Consulte Monitorando o Uso de Chaves para obter informações sobre como usar logs de serviço do OCI para rastrear o uso de chaves.

Importante:

  • Quando uma chave está no estado Exclusão Pendente, qualquer coisa criptografada por ela torna-se imediatamente inacessível, inclusive segredos. Não é possível designar ou cancelar a designação da chave a nenhum recurso ou atualizá-la. Quando a chave é excluída, todos os materiais e metadados da chave são irreversivelmente destruídos. Antes de excluir uma chave, designe uma nova chave aos recursos atualmente criptografados pela chave ou preserve os dados de outra forma. Para restaurar o uso de uma chave antes de ela ser excluída permanentemente, você pode cancelar sua exclusão. Consulte Cancelando uma Exclusão de Chave de Criptografia Principal para obter mais informações.
  • Quando sua chave está programada para exclusão, auto-rotation é temporariamente suspensa, mas não desativada para chaves com esse recurso ativado. Se a exclusão da chave for cancelada e a chave retornar ao estado Active, a definição de rotação automática que a chave tinha antes da exclusão programada será restaurada.
    1. Na página de lista Chaves de Criptografia Principais, localize a chave com a qual você deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Listando Chaves.
    2. No menu Ações (três pontos) no final da entrada de linha da chave, selecione Excluir Chave.
    3. Na página Confirmar, informe o nome da chave no campo Nome para confirmar.
    4. Use os campos Selecionar data de exclusão e Hora para programar quando quiser que o serviço Vault exclua a chave. Por padrão, o serviço programa chaves para a exclusão de 30 dias a partir da data e do horário atuais. Você pode definir um intervalo entre 7 e 30 dias. Ao programar a chave para exclusão, recomendamos que você faça backup da chave porque todas as operações de gerenciamento de chaves.
    5. Selecione Excluir Chave.

  • Use o comando oci kms management key schedule-deletion e os parâmetros necessários para programar a exclusão de uma chave. Por padrão, a exclusão é agendada para 30 dias a partir do momento da solicitação. Use o parâmetro --time-of-deletion opcional para programar a exclusão por um número de dias entre 7 e 30 no momento da solicitação. Consulte a Referência de Comando da CLI para obter mais informações:

    oci kms management key schedule-deletion --key-id <target_key_id> --endpoint <kmsmanagement_control_plane_URL>

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação ScheduleKeyDeletion com o Ponto Final de Gerenciamento para excluir a chave do vault.

    Observação

    O Ponto Final de Gerenciamento é usado para operações de gerenciamento, incluindo Criar, Atualizar, Listar, Obter e Excluir. O Ponto Final de Gerenciamento também é chamado de URL do plano de controle ou de ponto final KMSMANAGEMENT.

    O Ponto Final Criptográfico é usado para operações criptográficas, incluindo Criptografar, Decriptografar, Gerar Chave de Criptografia de Dados, Assinar e Verificar. O Ponto Final Criptográfico também é chamado de URL do plano de dados ou ponto final KMSCRYPTO.

    Você pode encontrar os pontos finais de gerenciamento e criptografia nos metadados de detalhes de um vault. Consulte Obtendo Detalhes de um Vault para obter instruções.

    Para pontos finais regionais para APIs de Gerenciamento de Chaves, Gerenciamento de Segredos e Recuperação de Segredos, consulte Referência de API e Pontos Finais.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.