Documentação do Oracle Cloud Infrastructure

Rotacionando uma Chave

Saiba como rotacionar uma chave criando uma nova versão da chave.

Quando você cria uma nova versão de chave de uma chave de criptografia principal, o serviço KMS rotaciona a versão da chave em uso para a chave. O serviço pode gerar o material da chave para a nova versão da chave ou você pode importar seu próprio material da chave. Ao importar uma chave, você deve usar uma chave de encapsulamento para encapsular o material da chave. No entanto, não é possível criar, excluir ou girar uma chave de encapsulamento. Para obter mais informações sobre rotação de chaves, consulte Versões e Rotações de Chaves no tópico Conceitos de Gerenciamento de Chaves e Segredos.

Rotação automática de chaves

Para chaves criadas em vaults privados virtuais, você pode ativar a rotação automática de chaves. Consulte a seção Rotação Automática de Chaves do tópico Conceitos de Gerenciamento de Chaves e Segredos para obter detalhes. Essa opção pode ser ativada durante a criação da chave ou após a criação de uma chave. Consulte Ativando e Atualizando a Rotação Automática de Chaves para obter instruções sobre como atualizar as definições de rotação automática e Criando uma Chave de Criptografia Principal para obter instruções sobre como criar uma nova chave com a rotação automática ativada.

Rotação Manual da Chave

Use as instruções nas seções a seguir para rotacionar manualmente uma chave usando a Console, a CLI ou a API.

    1. Na página de lista Chaves de Criptografia Principais, localize a chave com a qual você deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Listando Chaves.
    2. Na lista de chaves, selecione o menu Ações (três pontos) e, em seguida, selecione Alternar chave.
    3. Na caixa de diálogo Confirmar, ative Importar versão da chave externa para importar os materiais da chave e as versões da chave e permitir que o Serviço Key Management use uma cópia dela.
    4. Selecione Alternar Chave.
      Observação

      As operações criptográficas que envolvem objetos criptografados com a versão anterior desta chave continuam usando a versão mais antiga. Se preferir, você pode criptografar novamente esses objetos com a versão atual da chave

  • use o comando oci kms management key-version create e os parâmetros necessários para girar uma chave.

    oci kms management key-version create --key-id <target_key_id> --endpoint <kmsmanagement_endpoint> [OPTIONS]

    As operações criptográficas que envolvem objetos criptografados com a versão anterior desta chave continuarão usando a versão mais antiga da chave. Se preferir, você pode criptografar novamente esses objetos com a versão atual da chave.

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comandos da CLI.

  • Use a API CreateKeyVersion com o Ponto Final de Gerenciamento para rotacionar uma chave de criptografia mestra.

    Observação

    O Ponto Final de Gerenciamento é usado para operações de gerenciamento, incluindo Criar, Atualizar, Listar, Obter e Excluir. O Ponto Final de Gerenciamento também é chamado de URL do plano de controle ou de ponto final KMSMANAGEMENT.

    O Ponto Final Criptográfico é usado para operações criptográficas, incluindo Criptografar, Decriptografar, Gerar Chave de Criptografia de Dados, Assinar e Verificar. O Ponto Final Criptográfico também é chamado de URL do plano de dados ou ponto final KMSCRYPTO.

    Você pode encontrar os pontos finais de gerenciamento e criptografia nos metadados de detalhes de um vault. Consulte Obtendo Detalhes de um Vault para obter instruções.

    Para pontos finais regionais para APIs de Gerenciamento de Chaves, Gerenciamento de Segredos e Recuperação de Segredos, consulte Referência de API e Pontos Finais.

    Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.