Chaves Gerenciadas pelo Cliente para o Oracle Break Glass

Proteja seus ambientes Fusion Applications com o Oracle Break Glass e chaves gerenciadas pelo cliente.

Por padrão, seus ambientes do Fusion Applications são protegidos por chaves de criptografia gerenciadas pela Oracle. Ao assinar o serviço Oracle Break Glass, você recebe o recurso de chaves gerenciadas pelo cliente que permite fornecer e gerenciar as chaves de criptografia que protegem seus ambientes. Você também pode comprar essa opção como assinatura de complemento.

Com chaves gerenciadas pelo cliente, você usa suas chaves, armazenadas em um vault da OCI para proteger os dados armazenados em repouso em seus ambientes de produção e não produção. Você pode ativar a opção de chaves gerenciadas pelo cliente em seu ambiente durante a criação do ambiente ou depois de criá-lo.

Melhores Práticas para Configurar e Gerenciar Vaults e Chaves

É uma prática recomendada criar vaults distintos para ambientes de produção e não produção. No vault que não é de produção, crie chaves distintas para seus ambientes de teste e desenvolvimento. Por exemplo, você pode criar isto:


Ambiente	Vault	Chave de criptografia principal
Produção	my-production-vault	my-production-key
Teste	my-nonproduction-vault	my-test-environment-key
Desenvolvimento	my-nonproduction-vault	my-development-environment-key

Benefícios de vaults distintos para produção e não produção:

A manutenção de vaults distintos permite uma rotação de chaves independente para ambientes de produção e não produção.
Há limite para o número de chaves por vault. Vaults distintos fornecem uma contagem distinta para produção e não produção.

Importante

Produção para teste é atualizada, em que o ambiente de teste usa chaves gerenciadas pelo cliente e também consumirá versões de chaves. Portanto, P2Ts frequentes reduzirão mais rapidamente o número de versões de chaves restantes em um vault.

Você pode verificar seus limites e uso de chaves exibindo a página Limites, Cotas e Uso, na qual seus limites, cotas e uso de recursos para uma região específica são exibidos, divididos por serviço:

Na Console, abra o menu de navegação e selecione Governança e Administração. Em Gerenciamento de Tenancy, selecione Limites, Cotas e Uso.
Na lista Serviço, selecione Gerenciamento de Chaves.
Verifique os limites de chaves para: "Contagem de Versões de Chaves para Vaults Virtuais" ou "Contagem de Versões de Chaves de Software para Vaults Virtuais", conforme apropriado para o tipo de chave que você escolheu usar.

Configurando Chaves Gerenciadas pelo Cliente

O Fusion Applications utiliza o serviço Vault do OCI para permitir que você crie e gerencie chaves de criptografia para proteger seus ambientes de produção e não produção. Você pode configurar chaves no seu ambiente durante a criação do ambiente ou pode adicionar a chave a um ambiente existente. Se você adicionar a configuração em um ambiente existente, a criptografia do ambiente ocorrerá durante o próximo ciclo de manutenção programado.

Visão Geral de Tarefas e Atribuições de Configuração

O gerenciamento de chaves gerenciadas pelo cliente envolve tarefas que precisam ser executadas por diferentes atribuições na sua organização. Veja aqui um resumo das atribuições e tarefas executadas por cada uma:


Atribuição	Tarefas de configuração	Tarefas de manutenção
Administrador da Tenancy	Cria compartimentos para vaults e chaves Cria o grupo Administrador de Segurança, adiciona usuários administradores ao grupo e cria uma política para que o grupo possa gerenciar vaults e chaves. Adiciona a política do sistema para permitir que as chaves gerenciadas pelo cliente sejam usadas pelo Fusion Applications Adiciona permissões para deixar que o Administrador do Fusion Applications leia vaults e chaves	Nenhuma
Administrador de Segurança	Cria os vaults para ambientes de produção e não produção Cria as chaves para ambientes de produção e não produção Fornece informações de vault e chave ao Administrador do Fusion Applications a serem adicionadas aos ambientes	Rotaciona chaves Verifica a rotação de chaves Desativa chaves (se for necessário)
Administrador do Fusion Applications	Ativa chaves gerenciadas pelo cliente em ambientes de produção e não produção Opcionalmente, programa a data inicial para uso de chaves gerenciadas pelo cliente	Altera chaves gerenciadas pelo cliente em ambientes de produção e não produção Verifica a rotação de chaves

Tarefas de Configuração do Administrador da Tenancy

O administrador da tenancy executa as tarefas de configuração da tenancy para o administrador de segurança e o administrador de aplicativos Fusion para ativar e gerenciar chaves gerenciadas pelo cliente.

1. Criar o Grupo de Administradores de Segurança

É recomendável criar um grupo de administradores de segurança distinto para limitar o acesso aos recursos de segurança dos seus ambientes do Fusion Applications.

A política do grupo de administradores de segurança permite que o grupo gerencie vaults e chaves, mas não permite exclusão. A política é:

allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Consulte Gerenciando Usuários do Oracle Cloud com Funções Específicas para obter os procedimentos de criação de grupos e políticas para definir atribuições, incluindo as permissões exigidas específicas para a atribuição de administrador de segurança.

2. Adicionar Permissões para o Administrador do Fusion Applications

O administrador do Fusion Applications precisa de permissões read para vaults e chaves. A permissão read permite que o administrador do FA:

Escolha o vault e a chave durante a configuração.
Verifique a rotação de chaves.
Exiba o vault e as chaves no serviço OCI Vault para solucionar problemas.

Para adicionar as permissões para o Administrador do Fusion Applications:

Consulte o procedimento Gerenciando Usuários do Oracle Cloud com Funções Específicas, que descreve a criação da atribuição de administrador do Fusion Applications.

Adicione as seguintes instruções à atribuição Administrador do Ambiente do Fusion Applications, se ainda não estiverem presentes:


Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>

Certifique-se de substituir todas as variáveis <location> pelo nome do compartimento no qual o vault e as chaves foram criados.

3. Adicionar a Política do Sistema para Ativar Chaves Gerenciadas pelo Cliente em Sua Tenancy

Importante

A política para ativar chaves gerenciadas pelo cliente deve ser adicionada antes de você adicionar o vault e a chave ao seu ambiente. Se esta política não for adicionada:

Seu ambiente não conclui o provisionamento.
A manutenção do seu ambiente existente não foi concluída.
A ativação da chave gerenciada pelo cliente não foi concluída.

Observação

Esta política destina-se somente a tenancies no realm da Nuvem Comercial (OC1). Se seu ambiente do Fusion Applications estiver em qualquer outro realm (por exemplo, Oracle US Government Cloud, United Kingdom Government Cloud etc.), você deverá abrir uma solicitação de suporte para obter a política correta.

Crie uma política no realm OC1 com as seguintes instruções:

define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}

Observação

As políticas de amostra fornecidas no exemplo se destinam como diretrizes. Você deve revisar essas políticas com a equipe de segurança da sua organização para garantir o alinhamento com os requisitos internos de segurança e as melhores práticas.

Como alternativa, para restringir permissões a compartimentos específicos, especifique o compartimento em vez da tenancy mostrada no exemplo. Se você não tiver instruções de política para cada compartimento, precisará criá-las. Para adicionar instruções de política para seus compartimentos, consulte Criando uma Política. Se você tiver instruções de política existentes para cada compartimento, precisará atualizá-las. Para atualizar instruções de política para cada compartimento, consulte Atualizando Instruções de uma Política.

Observe que, se você alterar os compartimentos de chave ou vault no futuro, também deverá atualizar as políticas. Caso contrário, seu Ambiente Fusion não poderá acessar suas chaves, o que poderá causar interrupção. Para localizar o compartimento do vault, consulte Obtendo Detalhes de um Vault.

Tarefas de Configuração do Administrador de Segurança

O administrador de segurança configura os vaults e as chaves e fornece as informações ao administrador do Fusion Applications para adicioná-los ao ambiente.

1. Criar Vaults para os Ambientes

Siga o procedimento Creating a Vault na documentação do Vault.

Observação

O tipo de vault básico está incluído na sua assinatura de serviço do Break Glass. Ao criar um vault, você tem a opção de Torná-lo um vault privado virtual. Este tipo de vault usa uma partição dedicada para seu vault e não está incluído na assinatura do serviço Break Glass. Se você selecionar Torná-lo um vault privado virtual, incorrerá em cobranças adicionais. Para obter mais informações sobre tipos de vault, consulte Conceitos de Gerenciamento de Chaves e Segredos.

É recomendável criar 2 vaults: um para suas chaves de ambiente de produção e outro para suas chaves de ambiente que não é de produção.

Depois de criar os vaults, replique o vault criado para seu ambiente de produção. O vault replicado é usado para recuperação de desastre.

Verifique o pareamento da região de recuperação de desastres para a região em que seu ambiente de produção do Fusion Applications está localizado. Consulte Suporte de Recuperação de Desastres para obter a lista de pareamentos de regiões.
Inscreva-se na região listada como pareamento para sua região. Para se inscrever em uma região, consulte Inscrevendo-se em uma Região de Infraestrutura.
Replique o vault criado para seu ambiente de produção seguindo as etapas em Replicando Vaults e Chaves. Ao selecionar a região de destino para replicação, certifique-se de escolher a região de recuperação de desastre na qual você se inscreveu na etapa anterior.

2. Criar Chaves

Siga o procedimento Criando uma Chave de Criptografia Principal na documentação do Vault ou, para importar suas próprias chaves, siga os procedimentos em Obtendo Chave de Encapsulamento RSA Pública e Aplicando RSA-OAEP com AES para Quebrar Material da Chave.

Faça as seguintes seleções ao criar chaves para o Fusion Applications:

Para Forma da Chave: Algoritmo, selecione AES (Chave simétrica usada para Criptografia e Decriptografia (selecione essa opção para chaves gerenciadas pelo cliente do Fusion Applications).
Para Forma da Chave: Tamanho, selecione 256 bits.

É recomendável criar uma chave no vault de produção para seu ambiente de produção e uma chave para cada ambiente não de produção no vault não de produção.

3. Fornecer as Informações do Vault e da Chave ao Administrador do Fusion Applications

Depois de criar o vault e as chaves, forneça o nome do compartimento do vault, o nome do vault e o nome da chave (e o nome do compartimento da chave, se for diferente) para o administrador do Fusion Applications.

Adicionando Chaves Gerenciadas pelo Cliente a Ambientes Novos e Existentes

O administrador do Fusion Applications adiciona as chaves gerenciadas pelo cliente aos ambientes. Isso pode ser feito durante ou após a criação do ambiente. Para ambientes existentes, a Oracle oferece ao administrador uma opção de intervalos de tempo para programar a atualização. Para novos ambientes, as chaves são adicionadas no momento do provisionamento do ambiente e nenhuma programação é necessária.

Depois que as chaves gerenciadas pelo cliente forem ativadas, o administrador também poderá alterar uma chave em um ambiente.

Pré-requisitos:

A assinatura foi adicionada à família de ambientes. Se a assinatura não tiver sido adicionada, você não verá a opção de escolher a chave gerenciada pelo cliente.
O Administrador de Segurança criou o vault e a chave.
Observação

O tipo de vault básico está incluído na sua assinatura de serviço do Break Glass. Ao criar um vault, você tem a opção de Torná-lo um vault privado virtual. Este tipo de vault usa uma partição dedicada para seu vault e não está incluído na assinatura do serviço Break Glass. Se você selecionar Torná-lo um vault privado virtual, incorrerá em cobranças adicionais. Para obter mais informações sobre tipos de vault, consulte Conceitos de Gerenciamento de Chaves e Segredos.
O Administrador da Tenancy configurou a política do sistema para ativar chaves gerenciadas pelo cliente em sua tenancy.
O Administrador da Tenancy criou uma política para o Administrador do Fusion Applications para ler vaults e chaves e associá-los aos ambientes do Fusion Applications.

Adicionando uma Chave Gerenciada pelo Cliente Durante a Criação do Ambiente

Este procedimento inclui apenas as etapas para ativar a chave gerenciada pelo cliente. Consulte Tarefas de Gerenciamento de Ambientes para obter o procedimento completo para criar um ambiente.

Na página de criação do ambiente:

Selecione Mostrar opções avançadas.
Selecione a tab Criptografia .
Selecione Chave gerenciada pelo cliente (recomendado).

Se você não vir essa opção, a assinatura não foi adicionada à família de ambientes.
Selecione o Vault. Se o seu vault não estiver no mesmo compartimento no qual você está criando seu ambiente, clique em Alterar Compartimento e escolha o compartimento apropriado.
Selecione a Chave. Se a sua chave não estiver no mesmo compartimento no qual você está criando seu ambiente, clique em Alterar Compartimento e escolha o compartimento apropriado. Somente chaves AES de 256 bits são exibidas.

Depois que você concluir todas as etapas para configurar o ambiente, o processo de provisionamento será iniciado. A adição da chave gerenciada pelo cliente adiciona tempo ao processo de provisionamento. Enquanto a chave estiver sendo ativada, você verá uma mensagem alertando que o ambiente está indisponível.

Adicionando Chaves Gerenciadas pelo Cliente a um Ambiente Existente e Atualização de Programação para Alternar o Gerenciamento de Criptografia

Importante

Quando você ativa uma chave gerenciada pelo cliente em um ambiente existente, a criptografia não é executada imediatamente. A opção é ativada durante uma atualização programada, que pode ser durante o próximo ciclo de manutenção programada ou em um dos dois outros horários fornecidos pela Oracle. Os dois horários alternativos do seu ambiente são exibidos na Console do OCI quando você abre a caixa de diálogo Editar criptografia para solicitar a atualização. Observe que na lista de intervalos de tempo exibidos para programar a atualização, a janela de manutenção regular é a última entrada na lista de opções. Consulte Para ativar uma chave gerenciada pelo cliente para um ambiente existente neste tópico para obter detalhes.
Se você optar por ativar chaves gerenciadas pelo cliente durante uma das duas vezes alternativas que a Oracle fornece para ativar essa opção, poderá reprogramar ou cancelar essa atualização na Console do OCI sem entrar em contato com o Suporte Técnico da Oracle, desde que a atualização esteja no estado "Programado". Se a atualização estiver em andamento ou concluída, não será possível cancelar ou desfazer a atualização.

Se você optar por ativar chaves gerenciadas pelo cliente durante a próxima manutenção programada e precisar reprogramar ou cancelar a atualização de criptografia, entre em contato com o Suporte Técnico da Oracle para cancelar ou reprogramar.
Se você estiver ativando chaves gerenciadas pelo cliente fora de uma manutenção programada regularmente, certifique-se de que o tempo escolhido para a atualização não entre em conflito com outras atividades de ambiente importantes, como uma operação de atualização. Para operações de atualização, isso significa que nem o ambiente de origem nem o de destino podem ser atualizados para chaves gerenciadas pelo cliente enquanto a atualização está ocorrendo.
Até a atualização ser feita para ativar chaves gerenciadas pelo cliente, o ambiente continuará a ser criptografado pela chave gerenciada pela Oracle.

Para ativar uma chave gerenciada pelo cliente para um ambiente existente:

Navegue até o ambiente: Na Home de Aplicativos da Console, selecione Fusion Applications. Na página Visão Geral, localize a família do ambiente e selecione o nome do ambiente.
Em Resources, selecione Security. A guia Criptografia é exibida.
Por padrão, o Tipo é gerenciado pela Oracle. Selecione Editar criptografia para adicionar seu vault e sua chave.
Se você não vir a opção de edição, não adicionou as opções apropriadas ou o ambiente está sendo atualizado.
Selecione chave gerenciada pelo cliente.
Selecione o Vault. Se o seu vault não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione Alterar Compartimento e selecione o compartimento apropriado. Se você estiver usando DR (recuperação de desastre), selecione um vault que suporte replicação. Todos os vaults privados suportam replicação. Para vaults virtuais, consulte Replicando Vaults e Chaves para obter informações sobre como determinar se um vault virtual suporta replicação.
Selecione a Chave principal de criptografia. Se sua chave não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione Alterar Compartimento e selecione o compartimento apropriado. Somente chaves AES de 256 bits são exibidas.
Na seção Programação de atualização de criptografia, selecione a janela de tempo para especificar o horário em que deseja que a atualização do gerenciamento de criptografia comece. Até três datas são exibidas, dependendo de quando é a próxima execução de manutenção programada para o ambiente.

Observe que uma das datas na lista de opções é a data da próxima manutenção programada. Se você selecionar a data da próxima manutenção programada, o texto de dica exibirá a mensagem "A data selecionada acima é a próxima data de manutenção programada".

O texto de dica da próxima data de manutenção programada é exibido conforme mostrado na seguinte imagem:

Observe o seguinte:
- Por padrão, a janela de tempo mostra a opção da próxima atualização de manutenção programada. Se você usar essa opção e precisar cancelar ou reprogramar a atualização para ativar chaves gerenciadas pelo cliente, entre em contato com o Suporte Técnico da Oracle.
- A Oracle fornece dois intervalos de tempo que não são o horário da próxima atualização de manutenção programada. Se você selecionar uma dessas duas janelas, poderá usar a Console do OCI para cancelar ou reprogramar a atualização para ativar chaves gerenciadas pelo cliente.
Selecione Enviar para solicitar a atualização que permite chaves gerenciadas pelo cliente em seu ambiente.

A mensagem na parte inferior da janela é exibida quando a criptografia está programada para ocorrer. A criptografia é executada durante o período especificado. Até que a manutenção ocorra, o ambiente permanecerá criptografado pela chave gerenciada pela Oracle.

Observação

Se precisar reprogramar ou cancelar a atualização de chaves gerenciadas pelo cliente, consulte as instruções em Para Reprogramar ou Cancelar uma Atualização para Ativar Chaves Gerenciadas pelo Cliente.

Reprogramando ou Cancelando uma Atualização para Ativar Chaves Gerenciadas pelo Cliente

Você pode reprogramar ou cancelar uma atualização para alternar para chaves gerenciadas pelo cliente, desde que o status da atualização seja "programado". A forma como você faz isso depende se a atualização está programada para ocorrer durante a manutenção regular ou fora da janela de manutenção regular.

Atualizações programadas durante a manutenção regular: Se você enviou uma solicitação para ativar chaves gerenciadas pelo cliente durante uma manutenção programada regularmente, entre em contato com o Suporte Técnico da Oracle para cancelar ou reprogramar a ativação de chaves gerenciadas pelo cliente.
Atualizações programadas fora de uma janela de manutenção: Se você especificou um intervalo de tempo para a ativação de chaves gerenciadas pelo cliente que não foram durante a manutenção programada regularmente, poderá cancelar ou reprogramar a atualização você mesmo na Console do OCI, usando as instruções deste tópico.

Importante

Para reprogramar ou cancelar uma atualização para alternar para chaves gerenciadas pelo cliente, o status da atualização deve ser "programado". Se a atualização estiver em andamento ou concluída, a atualização não poderá ser cancelada ou desfeita.

Para Reprogramar ou Cancelar uma Atualização para Ativar Chaves Gerenciadas pelo Cliente

Observação

Essas instruções só se aplicam a atualizações programadas fora da janela de manutenção regular. O status da atualização deve ser "programado" para usar essas instruções. Se sua atualização para ativar chaves gerenciadas pelo cliente estiver programada para ocorrer durante a manutenção regular, entre em contato com o Suporte Técnico da Oracle para obter ajuda.

Navegue até o ambiente: Na Home de Aplicativos da Console, selecione Fusion Applications. Na página Visão Geral, localize a família do ambiente e selecione o nome do ambiente.
Em Resources, selecione Security. A guia Criptografia é exibida.
Na tabela de opções de criptografia, localize a linha "Gerenciada pelo cliente" e selecione o menu Ações e, em seguida, selecione Reprogramar ou Cancelar.
Somente reprogramar: Se você estiver reprogramando a atualização para Chaves Gerenciadas pelo Cliente, selecione uma nova data usando o menu drop-down e, em seguida, selecione Submeter.

Observação

Se você estiver ativando chaves gerenciadas pelo cliente fora de uma manutenção programada regularmente, certifique-se de que o tempo escolhido para a atualização não entre em conflito com outras atividades de ambiente importantes, como uma operação de atualização. Para operações de atualização, isso significa que nem o ambiente de origem nem o de destino podem ser atualizados para chaves gerenciadas pelo cliente enquanto a atualização está ocorrendo.

Somente cancelar: Se você estiver cancelando a atualização, digite o nome do ambiente para confirmar que deseja cancelar a atualização e selecione Cancelar chave programada.

Exibindo o Status e os Detalhes da Chave

Para exibir o status e os detalhes da chave:

Navegue até o ambiente: no Home de Aplicativos em Meus aplicativos, selecione Fusion Applications e, em seguida, selecione o nome do ambiente. A página de detalhes do ambiente é exibida.
Em Resources, selecione Security. A guia Criptografia é exibida.

Se a chave tiver sido adicionada, mas o ciclo de manutenção ainda não tiver sido executado, o Status da chave será mostrado como Programado.

Você pode selecionar os nomes do serviço Vault e da Chave para navegar até esses recursos.

Alterando e Rotacionando Chaves

Você pode alterar a chave de criptografia principal e alternar as versões da chave conforme necessário.

Navegue até o ambiente: Na Home de Aplicativos da Console, selecione Fusion Applications. Na página Visão Geral, localize a família do ambiente e selecione o nome do ambiente.
Em Recursos, selecione Segurança.
Selecione a tab Criptografia.
Selecione Alterar chave de criptografia.
No painel Alterar chave de criptografia, selecione um Vault. Se você estiver usando DR (recuperação de desastre), selecione um vault que suporte replicação. Todos os vaults privados suportam replicação. Para vaults virtuais, consulte Replicando Vaults e Chaves para obter informações sobre como descobrir se um vault virtual suporta replicação.

Se o vault selecionado estiver em outro compartimento, talvez você precise criar políticas do serviço IAM para acesso ao vault. Consulte 3. Adicionar a Política do Sistema para Ativar Chaves Gerenciadas pelo Cliente em Sua Tenancy para obter detalhes.
Selecione uma Chave de criptografia principal.
Selecione Enviar e, em seguida, confirme que você deseja alterar a chave.

As chaves são rotacionadas com base na prática de segurança da sua organização. Você pode configurar um job da CLI para rotacionar automaticamente as chaves ou seu administrador de segurança designado pode rotacioná-las manualmente por meio da interface de usuário da Console do serviço Vault. Consulte Conceitos de Gerenciamento de Chaves e Segredos para obter mais detalhes sobre versões de chaves.

Para poder rotacionar uma chave, as seguintes condições devem ser atendidas:

O Estado do ciclo de vida do ambiente deve ser Ativo e o Status de integridade deve ser Disponível.
Você não deve ter atingido o limite de versões de chave disponíveis para o vault. A mudança de produção para teste é atualizada, em que o ambiente de teste usa chaves gerenciadas pelo cliente e também consumirá versões de chaves. Portanto, P2Ts frequentes também reduzirão o número de versões de chaves restantes em um vault.

O que esperar durante a rotação de chaves:

Não há tempo de inatividade e o Status de integridade do ambiente permanece como Disponível.
Uma mensagem de banner na página de detalhes do ambiente é exibida para alertar que a rotação está em andamento.
O Status da chave é mostrado como Rotação em andamento.

Para Rotacionar uma Chave

Siga o procedimento Rotating a Vault Key na documentação do serviço Vault.

Para Verificar a Rotação de Chaves

Depois de rotacionar uma chave, você poderá verificar a rotação na página de detalhes do ambiente:

Navegue até o ambiente: no Home de Aplicativos em Meus aplicativos, selecione Fusion Applications e, em seguida, selecione o nome do ambiente. A página de detalhes do ambiente é exibida.
Em Recursos, selecione Segurança. A guia Criptografia é exibida.
Selecione a Versão da chave para verificar se ela corresponde à versão no serviço Vault.

Desativando e Ativando Chaves

Se você encontrar uma situação em que deseja fazer shutdown do Fusion Applications e acessar o banco de dados do Fusion, o administrador de segurança poderá desativar a chave para forçar imediatamente todos os usuários a saírem do sistema.

Advertência

A desativação de uma chave pode resultar em perda de dados. Se a chave estiver desativada, o serviço de nuvem do Fusion Applications tentará fazer shutdown do ambiente proativamente para minimizar a chance de falhas enquanto o ambiente estiver sendo usado. No entanto, uma vez desativada a chave, o ambiente não poderá ser reiniciado até ser ativado novamente. Embora a chave permaneça em um estado desativado, nenhum serviço de nuvem do Fusion Applications poderá acessar quaisquer dados salvos anteriormente do cliente.

O que esperar quando você desativar uma chave:

O Status de integridade do ambiente é atualizado para Indisponível. O Estado do ciclo de vida é atualizado para Desativado. Todos os usuários são forçados a sair do aplicativo.
Uma mensagem de banner na página de detalhes do ambiente é exibida para alertar que a criptografia foi desativada.
O Status da chave é mostrado como Desativado.

Observação

Quando você inicia a desativação de uma chave, uma série de processos ocorre para fazer shutdown dos componentes do ambiente (por exemplo, os serviços de banco de dados, a camada intermediária, os balanceadores de carga), que podem levar até uma hora para serem concluídos. Não tente reativar uma chave até que esses processos sejam concluídos.

Da mesma forma, quando você inicia a ativação de uma chave, a conclusão do conjunto de processos para trazer o backup do sistema pode levar até uma hora.

Para Desativar uma Chave

Siga o procedimento Disabling a Vault Key na documentação do serviço Vault.

Para Ativar uma Chave

Siga o procedimento Ativando uma Chave de Vault na documentação do Vault.

Excluindo Chaves

As permissões concedidas à atribuição de administrador de segurança não incluem exclusão para chaves e vaults. A exclusão de chaves e vaults é uma operação altamente destrutiva e só deve ser executada pelo administrador da tenancy em circunstâncias raras.

Quando um administrador da tenancy exclui uma chave, todos os dados ou qualquer recurso do OCI (incluindo o banco de dados do Fusion Applications) criptografado por essa chave ficarão inutilizáveis ou irrecuperáveis imediatamente.

É altamente recomendável que você faça backup de uma chave antes de programá-la para exclusão. Com um backup, você poderá restaurar a chave e o vault se quiser continuar usando a chave novamente mais tarde.

Para obter mais informações, consulte Deletando uma Chave do Vault.

Documentação do Oracle Cloud Infrastructure