CMEK 密钥管理工作流
CMEK 分配
- 在 Vault 中创建 CMEK。有关过程,请参见 CMEK Creation 。
- 创建所需的访问控制策略。有关详细信息,请参见 CMEK Access Control 。
- 登录您的 OCI 控制台。
- 打开左上角的导航菜单,选择数据库,然后选择 NoSQL 数据库。
- 在环境字段中选择下拉选项,然后选择专用环境。
- 在环境字段下方,加密密钥显示 Oracle 管理的密钥。选择 Oracle 管理的密钥旁边的分配链接。
- 在分配主加密密钥页中,从 Vault 下拉选择 Vault。
- 从 "Master Encryption Key"(主加密密钥)下拉列表中选择 CMEK。
- 选择分配。
Oracle NoSQL Database Cloud Service 会验证 CMEK,然后使用它来加密所选专用环境中的块存储卷和对象存储密钥。在对您的所有块存储卷和对象存储密钥进行加密之前,专用环境的状态将更改为 "UPDATING"。在此期间,您将在控制台上看到一条通知消息,指出正在进行密钥更新。请注意,密钥更新最多可能需要两分钟。分配 CMEK 后,加密密钥将反映 CMEK 及其 OCID。
使用其他 CMEK 分配 CMEK
- 您已创建 CMEK 并将其分配给您的专用环境。有关过程,请参见 CMEK Assign 。
- 在 Vault 中创建其他 CMEK。有关过程,请参见 CMEK Creation 。
Oracle NoSQL Database Cloud Service 会验证新的 CMEK,然后使用它对所选专用环境中的块存储卷和对象存储密钥进行重新加密。在块存储卷和对象存储中的所有数据现在重新加密之前,专用环境的状态将更改为 UPDATING。在此期间,您将在控制台上看到一条通知消息,指出正在进行密钥更新。请注意,密钥更新最多可能需要两分钟。CMEK 轮换后, Encryption Key 将反映新的 CMEK 及其 OCID。
CMEK 禁用
- 您已创建 CMEK 并将其分配给您的专用环境。有关过程,请参见 CMEK Assign 。
- 登录您的 OCI 控制台。
- 打开位于左上角的导航菜单,选择身份和安全,然后选择 Vault 。
- 选择创建 CMEK 的 Vault。
- 选择您的 CMEK。
- 在密钥详细信息页中,选择禁用并确认操作。
CMEK 的状态显示为已禁用。专用环境在几分钟内变为不可用于任何操作。当您尝试从 OCI 控制台访问专用环境时,会显示一条错误消息,指出 CMEK 已禁用。
CMEK 删除
- 您已创建 CMEK 并将其分配给您的专用环境。有关过程,请参见 CMEK Assign 。
- 登录您的 OCI 控制台。
- 打开位于左上角的导航菜单,选择身份和安全,然后选择 Vault 。
- 选择创建 CMEK 的 Vault。
- 选择您的 CMEK。
- 在关键字详细信息页中,选择删除关键字。
- 选择删除日期并确认操作。
CMEK 的状态显示暂挂删除,这等效于禁用状态。专用环境将不可用于任何操作。当您尝试从 OCI 控制台访问专用环境时,它会显示一条错误消息,指出 CMEK 已禁用并等待删除。
删除日期过后,专用环境中的所有数据将永久不可用且不可恢复。当您尝试从 OCI 控制台访问专用环境时,会显示一条错误消息,指出 CMEK 已永久删除。
CMEK 恢复
- CMEK 处于禁用状态。
- 登录您的 OCI 控制台。
- 打开位于左上角的导航菜单,选择身份和安全,然后选择 Vault 。
- 选择创建 CMEK 的 Vault。
- 选择您的 CMEK。
- 在关键字详细信息页中,选择启用。
在 Vault 中重新启用专用环境的 CMEK 后,必须提交 CAM 票证才能使专用环境重新联机。
CMEK 删除
- 您已创建 CMEK 并将其分配给您的专用环境。有关过程,请参见 CMEK Assign 。
- 登录您的 OCI 控制台。
- 打开左上角的导航菜单,选择数据库,然后选择 NoSQL 数据库。
- 在环境字段中选择下拉选项,然后选择专用环境。
- 在环境字段下方,加密密钥显示 CMEK 及其 OCID。选择 Encryption Key(加密密钥)下方的 Unassign(取消分配)链接。
Oracle NoSQL Database Cloud Service 从专用环境中删除 CMEK 并为其分配 Oracle 管理的密钥。所选专用环境中的块存储卷和对象存储中的所有数据将恢复为使用 Oracle 托管的加密密钥进行加密。删除 CMEK 后, Encryption Key 将反映 Oracle 管理的密钥。