CMEK 密钥管理工作流

了解客户管理的加密密钥支持的管理操作。

CMEK 密钥管理操作

OCI 控制台允许您执行以下 CMEK 管理操作：

• CMEK 分配

• CMEK 分配（不同的 CMEK）

• CMEK 禁用

• CMEK 删除

• CMEK 恢复

• CMEK 移除

以下各节详细解释了每个操作。

CMEK 分配

您可以使用 OCI 控制台将 CMEK 分配给专用环境。

先决条件：

• 在 Vault 中创建 CMEK。有关过程，请参见 CMEK Creation 。

• 创建所需的访问控制策略。有关详细信息，请参见 CMEK Access Control 。

过程：

1. 登录到您的 OCI 控制台。

2. 打开位于左上角的导航菜单，选择数据库，然后选择 NoSQL 数据库。

3. 在环境字段中选择下拉选项，然后选择专用环境。

4. 在 Environment（环境）字段下， Encryption Key（加密密钥）显示 Oracle 管理的密钥。选择 Oracle 管理的密钥旁边的分配链接。

5. 在 Assign Master Encryption Key 页面中，从 Vault 下拉选择 Vault。

6. 从 "Master Encryption Key"（主加密密钥）下拉列表中选择 CMEK。

7. 选择分配。

图 - CMEK 分配页

插图 he_assignkey1.png 的说明

Oracle NoSQL Database Cloud Service 会验证 CMEK，然后使用它对所选专用环境中的块存储卷和对象存储密钥进行加密。在对您的所有块存储卷和对象存储密钥进行加密之前，专用环境的状态将更改为 "UPDATING"。在此期间，您将在控制台上看到一条通知消息，指出正在进行密钥更新。请注意，密钥更新最多可能需要两分钟。分配 CMEK 后，加密密钥将反映 CMEK 及其 OCID。

图 - CMEK 分配

插图 he_mek1.png 的说明

使用其他 CMEK 分配 CMEK

您可以使用 OCI 控制台更改专用环境中的 CMEK。可以使用此过程进行密钥轮换。

先决条件：

• 您已创建 CMEK 并将其分配给您的专用环境。有关过程，请参见 CMEK Assign 。

• 在 Vault 中创建其他 CMEK。有关过程，请参见 CMEK Creation 。

过程：

1. 登录到您的 OCI 控制台。

2. 打开位于左上角的导航菜单，选择数据库，然后选择 NoSQL 数据库。

3. 在环境字段中选择下拉选项，然后选择专用环境。

4. 在 Environment（环境）字段下， Encryption Key（加密密钥）显示 CMEK 及其 OCID。选择加密密钥下方的编辑链接

5. 在 Edit Master Encryption Key（编辑主加密密钥）页面中，从 Vault 下拉选择 Vault。

6. 从 "Master Encryption Key"（主加密密钥）下拉列表中选择所需的 CMEK。

7. 选择更新。

注：您可以分配来自同一 Vault 的其他 CMEK 或来自其他 Vault 的 CMEK。

图 - CMEK 旋转

插图 he_rotatekey1.png 的说明

Oracle NoSQL Database Cloud Service 会验证新的 CMEK，然后使用它对所选专用环境中的块存储卷和对象存储密钥进行重新加密。在块存储卷和对象存储中的所有数据现在重新加密之前，专用环境的状态将更改为 UPDATING。在此期间，您将在控制台上看到一条通知消息，指出正在进行密钥更新。请注意，密钥更新最多可能需要两分钟。CMEK 轮换后， Encryption Key 将反映新的 CMEK 及其 OCID。

CMEK 禁用

您可以使用 OCI 控制台禁用以前分配给您的专用环境的 CMEK。

先决条件：

• 您已创建 CMEK 并将其分配给您的专用环境。有关过程，请参见 CMEK Assign 。

过程：

1. 登录到您的 OCI 控制台。

2. 打开位于左上角的导航菜单，选择身份和安全，然后选择 Vault 。

3. 选择创建 CMEK 的 Vault。

4. 选择您的 CMEK。

5. 在 Key Details（密钥详细信息）页面中，选择 Disable（禁用）并确认操作。

图 - CMEK 禁用

插图 cmek_disable.png 的说明

CMEK 的状态显示为已禁用。专用环境在几分钟内变为不可用于任何操作。当您尝试从 OCI 控制台访问专用环境时，会显示一条错误消息，指出 CMEK 已禁用。

CMEK 删除

您可以使用 OCI 控制台删除以前分配给专用环境的 CMEK。CMEK 删除是一个包含等待期的两个步骤，用于防止意外删除。

先决条件：

• 您已创建 CMEK 并将其分配给您的专用环境。有关过程，请参见 CMEK Assign 。

过程：

1. 登录到您的 OCI 控制台。

2. 打开位于左上角的导航菜单，选择身份和安全，然后选择 Vault 。

3. 选择创建 CMEK 的 Vault。

4. 选择您的 CMEK。

5. 在关键字详细信息页中，选择删除关键字。

6. 选择删除日期并确认操作。

图 - CMEK 删除

插图 cmek_delete.png 的说明

CMEK 的状态显示暂挂删除，这等同于禁用状态。专用环境将不可用于任何操作。当您尝试从 OCI 控制台访问专用环境时，它会显示一条错误消息，指出 CMEK 已禁用并等待删除。

删除日期过后，专用环境中的所有数据将永久不可用且不可恢复。当您尝试从 OCI 控制台访问专用环境时，会显示一条错误消息，指出 CMEK 已永久删除。

CMEK 恢复

您可以使用 OCI 控制台重新启用以前禁用的 CMEK。

先决条件：

• CMEK 处于禁用状态。

过程：

1. 登录到您的 OCI 控制台。

2. 打开位于左上角的导航菜单，选择身份和安全，然后选择 Vault 。

3. 选择创建 CMEK 的 Vault。

4. 选择您的 CMEK。

5. 在关键字详细信息页中，选择启用。

图 - CMEK 恢复

插图 enablekey.png 的说明

在 Vault 中重新启用专用环境的 CMEK 后，必须提交 CAM 票证才能使专用环境重新联机。

CMEK 删除

您可以使用 OCI 控制台从专用环境中删除 CMEK。

先决条件：

• 您已创建 CMEK 并将其分配给您的专用环境。有关过程，请参见 CMEK Assign 。

过程：

1. 登录到您的 OCI 控制台。

2. 打开位于左上角的导航菜单，选择数据库，然后选择 NoSQL 数据库。

3. 在环境字段中选择下拉选项，然后选择专用环境。

4. 在 Environment（环境）字段下， Encryption Key（加密密钥）显示 CMEK 及其 OCID。选择 Encryption Key 下方的 Unassign 链接。

图 - CMEK 删除

插图 cmek_unassign1.png 的说明

Oracle NoSQL Database Cloud Service 从专用环境中删除 CMEK 并为其分配 Oracle 管理的密钥。所选专用环境中的块存储卷和对象存储中的所有数据将恢复为使用 Oracle 托管的加密密钥进行加密。删除 CMEK 后， Encryption Key 将反映 Oracle 管理的密钥。

相关主题

• 客户管理的加密密钥简介