客戶管理的加密金鑰簡介
瞭解專用環境的客戶管理加密金鑰。
客戶管理的加密金鑰概要
Oracle NoSQL Database Cloud Service (NDCS) 透過使用資料加密金鑰加密靜態資料,保護資料免於遭受安全漏洞的影響。資料加密金鑰接著會使用主加密金鑰進行加密。NDCS 預設會使用 Oracle 管理的主要加密金鑰。
NDCS 也可讓您使用自己的主要加密金鑰加密資料加密金鑰,稱為客戶管理的加密金鑰 (CMEK)。您必須先在專用環境中啟用 CMEK,才能使用此功能。建立為 CMEK 設定的專用環境時,Oracle NoSQL Database 會使用 OCI 區塊磁碟區,使用您控制的主要加密金鑰來儲存和加密資料庫資料。此外,您環境的資料備份位於 OCI 物件儲存中,也會使用主要金鑰進行加密。若要提出服務單,請參閱要求專用代管環境。
您可以建立及管理自己的主要加密金鑰。NDCS 使用 OCI 金鑰管理服務 (KMS) 將您的主要加密金鑰儲存在保存庫內,並管理其作業狀態。
術語
-
客戶託管加密金鑰 (CMEK):主要加密金鑰,用於加密和解密區塊磁碟區和物件儲存金鑰。
-
靜態資料:指儲存在 Oracle NoSQL Database 中的資料。
-
CMEK 的專用環境:專供您的租用戶使用的 Oracle NoSQL 環境,並且設定為使用客戶管理的加密金鑰。
-
金鑰管理服務 (KMS):儲存及管理保存庫內金鑰的 OCI 服務。KMS 可集中管理與控制加密金鑰。
-
金鑰輪換:將舊加密金鑰取代為新金鑰的程序,以在金鑰遭到破壞時降低風險。
-
區塊磁碟區服務: OCI 服務可讓您動態佈建及管理區塊儲存,以滿足必要的應用程式需求。
-
物件儲存服務: OCI 服務,可針對資料提供完全可程式化、可擴充且耐用的雲端儲存。
-
OCI Vault 服務: OCI 保存庫服務提供安全集中管理加密金鑰和加密密碼的位置。
CMEK 如何運作?
OCI 保存庫服務可讓您在租用戶中建立保存庫,作為加密金鑰的容器。當您在 Vault 中建立 CMEK 時,系統會為其指派唯一的 Oracle Cloud ID (OCID)。
您可以透過 OCI 主控台指派 CMEK 給專屬環境。區塊磁碟區服務和物件儲存體服務使用 CMEK 來加密區塊磁碟區和物件儲存體金鑰。
NDCS 允許您指定新的 CMEK 來支援金鑰輪換。您必須先在保存庫中建立新金鑰。若要觸發循環,您必須從 OCI 主控台更新專用環境中的新金鑰。輪換至新的 CMEK 不會重新加密任何儲存在區塊磁碟區或物件儲存中的資料。它只會重新加密區塊磁碟區和物件儲存金鑰。
區塊磁碟區服務和物件儲存體服務可管理所有資料作業。
CMEK 建立
Oracle NoSQL Database Cloud Service 支援與 OCI Vault 服務的整合,可建立保存庫並使用 KMS 在保存庫中建立、儲存及管理 CMEK。如需保存庫的詳細資訊,請參閱 Oracle Cloud Infrastructure 文件中的 OCI Vault 主題。
您必須先從 OCI 主控台建立 Vault,然後在 Vault 中建立 CMEK。
如需詳細資訊,請參閱 Oracle Cloud Infrastructure 文件中的建立保存庫主題。
圖表 - OCI Vault
CMEK 建立:
建立 CMEK 時,您可以指定其保護模式、演算法和長度。
請遵循這些步驟來建立 CMEK。如需詳細資訊,請參閱Oracle Cloud Infrastructure 文件中的建立主要加密金鑰主題。
先決條件
- 建立保存庫。
程序
-
登入您的 OCI 主控台。
-
開啟位於左上角的導覽功能表,選取識別與安全性,然後選取保存庫。
-
選取包含此保存庫的區間。
-
選取您要在其中建立 CMEK 的 Vault 名稱。
-
在資源下,選取主要加密金鑰,然後選取建立金鑰。請注意,可以在與保存庫不同的區間中建立金鑰。
-
在保護模式中,選取下列其中一個選項:HSM 或軟體。
-
輸入識別 CMEK 的名稱。
-
若為金鑰型態:演算法,請選取「進階加密標準 (AES)」演算法。KMS 支援 AES、RSA 及 ECDSA 演算法。不過,NDCS 僅允許 CMEK 的對稱金鑰造型。因此,您必須選取產生對稱金鑰的 AES 選項。
-
若為金鑰型態:長度,請選取 256 位元的金鑰長度。
-
若要匯入外部金鑰,請選取匯入外部金鑰核取方塊,並提供下列詳細資訊:
-
包裝演算法:選取 RSA_OAEP_AES_SHA256 。OCI 支援此演算法匯入已公開包裝的金鑰。
-
外部金鑰資料來源:上傳包含已包裝 RSA 金鑰資料的檔案。
-
-
選取建立金鑰。
圖 - 在 Vault 中建立 CMEK
注意:Oracle NoSQL Database Cloud Service 僅支援單一版本金鑰。
CMEK 存取:
建立 CMEK 後,您可以將其指定至專屬環境。專用環境中的區塊磁碟區服務和物件儲存體服務會使用 CMEK 的 OCID 在內部存取 CMEK。
圖 - CMEK 詳細資料
保存庫中的 CMEK 生命週期:
保存庫支援下列作業:
-
建立:您可以在 Vault 中建立 CMEK。
-
停用 / 啟用:您可以停用 / 啟用 CMEK 來控制其用途。
-
刪除:您可以從 Vault 中刪除 CMEK。刪除是具有等待期間的兩個步驟程序,可防止意外刪除。
備註:此等候期間已停用 CMEK 的狀態。
如需啟用、停用及刪除 CMEK 的詳細資料,請參閱 CMEK 金鑰管理工作流程。
CMEK 管理操作
Oracle NoSQL Database Cloud Service 可管理 CMEK 在專用環境中的作業。這包括 CMEK 對專用環境的分配、CMEK 旋轉、移除、停用 Vault、重新啟用和刪除。
下表說明涉及 CMEK 管理的任務。如需 CMEK 金鑰管理作業的詳細資訊,請參閱 CMEK 金鑰管理工作流程。
表格 - CMEK 管理任務
| 使用者工作 | NDCS 工作 |
|---|---|
| CMEK 指派:您可以從 OCI 主控台指派 CMEK 給專屬環境。 |
|
| CMEK 旋轉:您更新專用環境中的 CMEK。 |
|
| CMEK 停用:您從 Vault 停用 CMEK。 |
|
| CMEK 重新啟用:您可以從 Vault 重新啟用停用的 CMEK。 |
|
| 刪除 CMEK:從 Vault 刪除 CMEK。 |
|
| CMEK 移除:您從專屬環境取消 CMEK 指定。 |
|
CMEK 存取控制
Oracle NoSQL Database Cloud Service 使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 提供對 Oracle 雲端的安全存取。OCI IAM 可讓您實行存取控制以使用 KMS 功能。
您必須建立策略,以存取 Vault、Block Volumes 和 Object Storage 中的 CMEK 以進行所有必要的作業。如需有關原則的詳細資訊,請參閱 Oracle Cloud Infrastructure 文件中的原則的運作方式。
下列是您租用戶中 CMEK 使用量的基本 IAM 原則需求:
-
若要授予區塊磁碟區存取權,以在必要區間中使用 CMEK:
allow service blockstorage to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>其中,
name_of_compartment:專用環境中的區間名稱。key-ocid:您 CMEK 的 OCID。 -
若要授予區域和區間中的物件儲存,可使用 CMEK:
allow service objectstorage-<region> to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>其中,
物件儲存所在的
region:區域。name_of_compartment:專用環境中的區間名稱。key-ocid:您 CMEK 的 OCID。 -
若要授予 Oracle NoSQL Database Cloud Service 對金鑰委派 CMEK 的存取權,請執行下列動作:
若要允許整合式服務 (例如 NDCS) 在特定區間中使用金鑰,請新增金鑰委派權限。
allow service nosql-database-cloud to use key-delegate in compartment <name_of_compartment> where target.key.id = <key-ocid>其中,
name_of_compartment:專用環境中的區間名稱。key-ocid:您 CMEK 的 OCID。 -
若要授予 Oracle NoSQL Database Cloud Service 讀取 CMEK 的存取權,請執行下列動作:
allow service nosql-database-cloud to read keys in compartment <name_of_compartment> where target.key.id = <keyocid>其中,
name_of_compartment:專用環境中的區間名稱。key-ocid:您 CMEK 的 OCID。圖 - 中小企業政策
CMEK 監控與記錄
Oracle NoSQL Database Cloud Service 支援在專用環境中記錄所有 CMEK 相關事件,並提供適當的通知警示。
OCI 稽核日誌
Oracle NoSQL Database Cloud Service 使用 OCI 稽核服務記錄所有金鑰狀態變更。稽核日誌資訊包括:
-
偵測到狀態變更的時間戳記。
-
CMEK 的先前與新狀態。如需 CMEK 生命週期管理的詳細資訊,請參閱 CMEK 金鑰管理工作流程。
-
受影響的端點。
-
已採取特殊動作。
OCI 警示
Oracle NoSQL Database Cloud Service 使用 OCI Monitoring 服務,透過度量和警示功能,主動和被動監控您的雲端資源。您可以根據下列指標設定 OCI 警示:
表格 - CMEK 度量與警示
| 度量 | 顯示名稱 | Unit - 單位 | 描述 |
|---|---|---|---|
| 加密金鑰狀態 | 加密金鑰狀態 | 整數 | Oracle NoSQL Database Cloud Service 所見加密金鑰的狀態。 如果值為 0,則會停用加密金鑰。 如果值為 1,則會啟用加密金鑰,並能夠執行加密 / 解密。 Oracle 管理的金鑰一律會傳回 1。 |
| 加密金鑰類型 | 加密金鑰類型 | 整數 | 目前指派給 Oracle NoSQL Database Cloud Service 的加密金鑰類型。 如果值為 0,則會使用 Oracle 管理的金鑰。 如果值為 1,則會改用 CMEK。 |
OCI 主控台
Oracle NoSQL Database Cloud Service 使用 OCI 通知服務,在 OCI 主控台上顯示受影響專用環境的嚴重警示。
您將會收到下列 CMEK 相關事件的通知:
-
新的 CMEK 已指定給專用環境。
-
CMEK 已在專用環境中變更。
-
已從專用環境移除 CMEK。
-
正在從 Vault 中刪除 CMEK,且處於等候期間。
-
已將 CMEK 從保存庫刪除。
-
已在 Vault 中重新啟用 CMEK。
-
加密處理作業會在專用環境中啟動。
-
已在專用環境中完成加密處理作業。
警示包含下列項目:
-
目前的 CMEK 狀態。
-
如果專用環境無法使用,原因:無法使用。
CMEK 服務可用性
Oracle NoSQL Database Cloud Service 會監控 Vault 中的 CMEK 服務可用性,並在停用或刪除 CMEK 時強制執行適當的動作。當您的專用環境因 CMEK 問題而無法使用或無法復原時,NDCS 會提供清楚的錯誤訊息和記錄檔。
如果停用 CMEK,Oracle NoSQL Database Cloud Service 會觸發下列動作:
-
立即停用專用環境的所有存取權。
-
關閉專用環境上的執行處理。
-
停用專用環境的所有監督功能。
-
確定無法存取專用環境之區塊磁碟區和物件儲存中的資料。
如需停用 CMEK 的詳細資料,請參閱停用 CMEK 。
如果刪除 CMEK,Oracle NoSQL Database Cloud Service 會觸發下列動作:
-
立即將專用環境標示為無法復原。
-
關閉專用環境上的執行處理。
-
停用專用環境的所有監督功能。
-
排定永久終止的專用環境。
如需有關刪除 CMEK 的詳細資訊,請參閱 CMEK 刪除。
如果已重新啟用 CMEK,Oracle NoSQL Database Cloud Service 會建議下列動作:
- 在 Vault 中重新啟用環境 CMEK 後,您必須提高 CAM 票證,才能讓環境恢復上線。
如需重新啟用 CMEK 的詳細資訊,請參閱 CMEK Restore 。