CMEK 金鑰管理工作流程

瞭解客戶管理的加密金鑰支援的管理作業。

CMEK 金鑰管理操作

OCI 主控台可讓您執行下列 CMEK 管理作業：

• CMEK 指定

• CMEK 指定 (不同 CMEK)

• CMEK 停用

• CMEK 刪除

• CMEK 回復

• CMEK 移除

以下幾節將詳細說明每項作業。

CMEK 指定

您可以使用 OCI 主控台將 CMEK 指派給您的專用環境。

先決條件：

• 在 Vault 中建立 CMEK。如需程序，請參閱 CMEK Creation 。

• 建立必要的存取控制原則。如需詳細資訊，請參閱 CMEK Access Control 。

程序：

1. 登入您的 OCI 主控台。

2. 開啟位於左上角的導覽功能表，選取資料庫，然後選取 NoSQL 資料庫。

3. 在環境欄位中選取下拉式選項，然後選取您的專用環境。

4. 在環境欄位下方，加密金鑰會顯示 Oracle 管理的金鑰。選取 Oracle 管理的金鑰旁邊的指派連結。

5. 在指派主要加密金鑰頁面中，從「保存庫」下拉式清單中選取您的保存庫。

6. 從「主要加密金鑰」下拉式清單中選取 CMEK。

7. 選取指派。

圖表 - CMEK 指定頁面

he_assignkey1.png 圖解描述

Oracle NoSQL Database Cloud Service 會驗證 CMEK，然後使用它來加密所選專用環境中的區塊磁碟區和物件儲存金鑰。直到所有區塊磁碟區和物件儲存金鑰都經過加密，專用環境的狀態才會變更為 UPDATING。在此持續時間內，您將會在主控台上看到說明金鑰更新進行中的通知訊息。請注意，金鑰更新最多可能需要兩分鐘的時間。指派 CMEK 後，加密金鑰會反映您的 CMEK 及其 OCID。

圖形 - CMEK 指定

he_mek1.png 圖解描述

CMEK 指定不同 CMEK

您可以使用 OCI 主控台來變更專用環境中的 CMEK。您可以使用此程序進行金鑰輪換。

先決條件：

• 您已建立 CMEK 並將其指定至您的專用環境。如需程序，請參閱 CMEK Assign 。

• 在 Vault 中建立其他 CMEK。如需程序，請參閱 CMEK Creation 。

程序：

1. 登入您的 OCI 主控台。

2. 開啟位於左上角的導覽功能表，選取資料庫，然後選取 NoSQL 資料庫。

3. 在環境欄位中選取下拉式選項，然後選取您的專用環境。

4. 在環境欄位下方，加密金鑰會顯示 CMEK 及其 OCID。選取加密金鑰下方的編輯連結

5. 在編輯主要加密金鑰頁面中，從 Vault 下拉式清單中選取您的保存庫。

6. 從「主要加密金鑰」下拉式清單中選取必要的 CMEK。

7. 選取更新 (Update) 。

備註：您可以從同一 Vault 或來自不同 Vault 的 CMEK 指定不同的 CMEK。

圖 - CMEK 旋轉

he_rotatekey1.png 圖解描述

Oracle NoSQL Database Cloud Service 會驗證新的 CMEK，然後使用它在所選的專用環境中重新加密您的區塊磁碟區和物件儲存金鑰。專用環境的狀態會變更為 UPDATING，直到您區塊磁碟區和物件儲存中的所有資料現在都重新加密為止。在此持續時間內，您將會在主控台上看到說明金鑰更新進行中的通知訊息。請注意，金鑰更新最多可能需要兩分鐘的時間。循環 CMEK 後，加密金鑰會反映新的 CMEK 及其 OCID。

CMEK 停用

您可以使用 OCI 主控台來停用先前指定給專用環境的 CMEK。

先決條件：

• 您已建立 CMEK 並將其指定至您的專用環境。如需程序，請參閱 CMEK Assign 。

程序：

1. 登入您的 OCI 主控台。

2. 開啟位於左上角的導覽功能表，選取識別與安全性，然後選取保存庫。

3. 選取您建立 CMEK 的 Vault。

4. 選取您的 CMEK。

5. 在金鑰詳細資訊頁面中，選取停用並確認作業。

圖形 - CMEK 停用

cmek_disable.png 圖解描述

CMEK 的狀態顯示已停用。在幾分鐘內，任何作業都無法使用專用環境。當您嘗試從 OCI 主控台存取專用環境時，會顯示停用 CMEK 的錯誤訊息。

CMEK 刪除

您可以使用 OCI 主控台來刪除先前指定給專用環境的 CMEK。刪除 CMEK 是包含等待期間的兩個步驟程序，可防止意外刪除。

先決條件：

• 您已建立 CMEK 並將其指定至您的專用環境。如需程序，請參閱 CMEK Assign 。

程序：

1. 登入您的 OCI 主控台。

2. 開啟位於左上角的導覽功能表，選取識別與安全性，然後選取保存庫。

3. 選取您建立 CMEK 的 Vault。

4. 選取您的 CMEK。

5. 在金鑰詳細資訊頁面中，選取刪除金鑰。

6. 選取刪除日期並確認作業。

圖 - CMEK 刪除

cmek_delete.png 圖解描述

CMEK 的狀態顯示待刪除，等同於已停用狀態。專用環境將無法進行任何作業。當您嘗試從 OCI 主控台存取專用環境時，會顯示停用 CMEK 且待刪除的錯誤訊息。

刪除日期過後，您在專用環境中的所有資料都會變成永久無法使用且無法恢復。當您嘗試從 OCI 主控台存取專用環境時，會顯示永久刪除 CMEK 的錯誤訊息。

CMEK 回復

您可以使用 OCI 主控台重新啟用先前停用的 CMEK。

先決條件：

• CMEK 處於停用狀態。

程序：

1. 登入您的 OCI 主控台。

2. 開啟位於左上角的導覽功能表，選取識別與安全性，然後選取保存庫。

3. 選取您建立 CMEK 的 Vault。

4. 選取您的 CMEK。

5. 在索引鍵詳細資訊頁面中，選取啟用。

圖 - CMEK 修復

enablekey.png 圖解描述

在 Vault 中重新啟用專用環境的 CMEK 後，您必須提高 CAM 票證，才能讓該專用環境恢復上線。

CMEK 移除

您可以使用 OCI 主控台從您的專用環境中移除 CMEK。

先決條件：

• 您已建立 CMEK 並將其指定至您的專用環境。如需程序，請參閱 CMEK Assign 。

程序：

1. 登入您的 OCI 主控台。

2. 開啟位於左上角的導覽功能表，選取資料庫，然後選取 NoSQL 資料庫。

3. 在環境欄位中選取下拉式選項，然後選取您的專用環境。

4. 在環境欄位下方，加密金鑰會顯示 CMEK 及其 OCID。選取加密金鑰下方的取消指派連結。

圖 - CMEK 移除

cmek_unassign1.png 圖解描述

Oracle NoSQL Database Cloud Service 會從專用環境中移除 CMEK，並將 Oracle 管理的金鑰指派給它。所選專用環境之區塊磁碟區和物件儲存中的所有資料都會回復成使用 Oracle 管理的加密金鑰進行加密。移除 CMEK 之後，加密金鑰會反映 Oracle 管理的金鑰。

相關主題

• 客戶管理的加密金鑰簡介