Documentação do Oracle Cloud Infrastructure

Recriptografando um Objeto de Armazenamento de Objetos

Criptografe novamente as chaves de criptografia de dados de um objeto com outra chave principal de criptografia em um bucket do Object Storage.

Você pode criptografar novamente as chaves de criptografia de dados que criptografam um objeto criptografando novamente as chaves de criptografia de dados do objeto com a versão mais recente da chave de criptografia principal designada ao bucket. Essa recriptografia é possível, seja uma chave gerenciada pela Oracle ou uma chave em um vault que você gerencia. Você também pode criptografar novamente as chaves de criptografia de dados do objeto com outra chave de um Vault ou outra chave SSE-C. Se você usar chaves SSE-C, informe a chave SSE-C durante o processo de decriptografia e nova criptografia subsequente do objeto, conforme apropriado.

Para criptografar novamente um objeto, você precisa das permissões OBJECT_READ e OBJECT_OVERWRITE. Para criptografar novamente um objeto criptografado com uma chave SSE-C, use a CLI para fornecer a chave SSE-C ao Object Storage para uso durante a decriptografia e a nova criptografia, conforme apropriado.

Se você receber um erro, verifique se tem as permissões corretas. Se você tiver acesso ao objeto, confirme se o objeto existe e não foi excluído recentemente. Se você tiver permissões e o objeto existir, confirme também se o objeto está criptografado com uma chave SSE-C.

Para obter mais informações, consulte Criptografia de Dados do Serviço Object Storage.

    1. Na página da lista Buckets, selecione o bucket do Object Storage com o qual você deseja trabalhar. Se precisar de ajuda para encontrar a página da lista ou o bucket do Object Storage, consulte Listando Buckets.
    2. Na página de detalhes, selecione Objetos.
    3. No menu Ações do objeto desejado, selecione Recriptografar.
    4. Execute uma das seguintes tarefas, dependendo se a chave designada ao bucket é uma chave gerenciada pela Oracle ou uma chave em um vault que você gerencia:

      • Para buckets criptografados com uma chave gerenciada pela Oracle, você pode criptografar novamente o objeto com a versão mais recente dessa chave selecionando Usar a chave designada ao bucket. Ou você pode criptografar novamente o objeto com uma chave em um vault selecionando Usar uma chave gerenciada pelo cliente e, em seguida, escolhendo uma chave de um compartimento e vault aos quais tenha acesso.

      • Para buckets criptografados com uma chave gerenciada pelo cliente, você pode criptografar novamente o objeto com a versão mais recente dessa chave selecionando Usar a chave designada ao bucket. Ou você pode criptografar novamente o objeto com outra chave do Vault selecionando Usar outra chave gerenciada pelo cliente e escolhendo outra chave de um compartimento e vault aos quais tenha acesso.

    5. Selecione Recriptografar.

  • Use o comando oci os object reencrypt e os parâmetros necessários para recriptografar as chaves de criptografia de dados de um objeto com a versão mais recente da chave designada ao bucket:

    oci os object reencrypt --bucket-name bucket_name --name object_name

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt

    As chaves de criptografia de dados do objeto são criptografadas novamente sem informações adicionais retornadas.

    Criptografia Usando uma Chave SSE-C

    Você pode criptografar novamente as chaves de criptografia de dados de um objeto com uma chave SSE-C.

    oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey

    Se as chaves de criptografia de dados do objeto estiverem criptografadas no momento com uma chave SSE-C, inclua o parâmetro source-encryption-key-file para fornecer também o nome do arquivo que contém a string codificada por base64 da chave de criptografia de origem AES-256 para decriptografar o objeto primeiro.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey

    Se o objeto estiver criptografado no momento com uma chave SSE-C e você quiser criptografar as chaves de criptografia de dados do objeto com outra chave SSE-C, forneça o nome do arquivo de cada chave.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey

    Criptografia Usando uma Chave do Vault

    Para criptografar novamente as chaves de criptografia de dados de um objeto com uma chave do Vault específica, inclua o parâmetro kms-key-id.

    oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Criptografia Usando Chaves SSE-C e Vault

    Se a chave for criptografada com uma chave SSE-C e você estiver recriptografando as chaves de criptografia de dados de um objeto com uma chave do serviço Vault específica, inclua o parâmetro source-encryption-key-file que fornece o nome do arquivo que contém a string codificada por base64 da chave de criptografia de origem AES-256 para decriptografar o objeto primeiro.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Para obter uma lista completa dos parâmetros e valores dos comandos da CLI, consulte a Referência de Comandos da CLI.

  • Execute a operação ReencryptObject para criptografar novamente as chaves de criptografia de dados de um objeto com a versão mais recente da chave designada ao bucket.

    O serviço Object Storage pré-anexa a string de namespace do Object Storage e o nome do bucket ao nome do objeto ao construir um URL para uso com a API:

    /n/object_storage_namespace/b/bucket/o/object_name

    O nome do objeto é tudo após /o/, o que pode incluir níveis de hierarquia e strings de prefixo.