ブロック・ボリュームのボールト暗号化キーの管理

ボリュームのクローニング時の新規キーの指定

• CLIを使用する場合、次のコマンドを実行します:

  oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
  --source-volume-id=<source_volume_ID>

• コンソールでボリュームをクローニングする場合、「クローンの作成」フォームの「暗号化」セクションで「顧客管理キーを使用した暗号化」を選択し、使用するボールト暗号化キーを選択します。

• APIを使用する場合、CreateVolume操作をコールするときに、CreateVolumeDetailsのkmsKeyId属性に暗号化キーOCIDを指定します。

バックアップのリストア時の新規キーの指定

• CLIを使用する場合、次のコマンドを実行します:

  oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
  --volume-backup-id=<source_backup_ID>

  --kms-key-id属性を含めない場合、バックアップのリストアから作成されたボリュームは、Oracle管理キーを使用します。

• コンソールでバックアップからブロック・ボリュームをリストアする場合、「ブロック・ボリュームのリストア」フォームの「暗号化」セクションで、「顧客管理キーを使用した暗号化」を選択し、使用するVault暗号化キーを選択します。

• APIを使用する場合、CreateVolume操作をコールするときに、CreateVolumeDetailsのkmsKeyId属性に暗号化キーOCIDを指定します。

レプリカのアクティブ化時の新規キーの指定

レプリケーションが有効なボリュームでは、顧客管理キーはサポートされません。ボリュームのレプリケーションを有効にする場合は、ボリューム暗号化にOracle管理キーを使用します。顧客管理キーで暗号化されたボリュームで、リージョン間レプリケーションがサポートされないを参照してください。

• CLIを使用する場合、次のコマンドを実行します:

  oci bv create --display-name <volume_name> --compartment-id <compartment_ID> --availability-domain <AD> --kms-key-id <different_key_ID>
  --source-volume-replica-id=<source_replica_ID>

• コンソールでボリューム・レプリカをアクティブ化する場合、「ボリューム・レプリカのアクティブ化」フォームの「暗号化」セクションで、「顧客管理キーを使用した暗号化」を選択し、使用するVault暗号化キーを選択します。

• APIを使用する場合、CreateVolume操作をコールするときに、CreateVolumeDetailsのkmsKeyId属性に暗号化キーOCIDを指定します。

暗号化キーのローテーション

現在、同じキーのローテーションはサポートされていません。複数のバージョンのキーがある場合の動作は定義されていません。ブロック・ボリュームでは、単一のバージョンのキーのみがサポートされます。暗号化キーをローテーションするには、ボリュームの暗号化キーを新しいキーに変更します。ボリューム・バックアップの暗号化キーを変更することもできます。

新しい暗号化キーを指定してボリュームのキーをローテーションすると、キーを更新する前に作成された子リソースは、古い暗号化キーを引き続き使用します。これには、バックアップおよびクローンが含まれます。

ボリュームの暗号化キーの変更

ボリュームに割り当てられたキーを別の顧客管理キーに変更できます。暗号化キーを変更してもボリュームのコンテンツは再暗号化されず、データ・キーが再暗号化されるのみです。

• CLIを使用してボリュームに別の顧客管理キーを指定するには、次のコマンドを実行します:

  oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>

• コンソールを使用してボリュームに別の顧客管理キーを指定するには、ブロック・ボリュームのキーの更新を参照してください。

• APIで別の顧客管理キーを指定するには、UpdateVolumeKmsKey操作を使用します。

ボリューム・バックアップの暗号化キーの変更

ボリューム・バックアップに割り当てられたキーを別の顧客管理キーまたはOracleマネージド・キーに変更できます。暗号化キーを変更してもボリューム・バックアップは再暗号化されず、データ・キーのみが再暗号化される。

• CLIを使用してボリューム・バックアップに別のキーを指定するには、次のコマンドを実行します:

  oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID>

  ボリューム・バックアップでOracle管理キーを使用するように指定するには、次の例に示すように、キーIDに空の文字列を指定します:

  oci bv backup update --backup-id=<backup_ID> --kms-key-id=''

• コンソールを使用してボリューム・バックアップに別の顧客管理キーを指定するには、ボリューム・バックアップ暗号化キーを参照してください。

• APIで別の顧客管理キーを指定するには、UpdateVolumeBackup操作を使用し、kmsKeyId属性に暗号化キーOCIDを指定します。

セキュリティ・コンパートメント間のキー・アクセス

ベスト・プラクティスとして、CIS Oracle Cloud Infrastructure Foundations Benchmarkでは、個別のコンパートメントに顧客管理キーのボールトを作成し、このコンパートメントへのアクセスを制限することが推奨されています。次の図は、これを編成する方法を示しています。

ブート・ボリューム、ブロック・ボリュームおよび関連リソースを暗号化するためのアクセスが制限された個別のセキュリティ・コンパートメント内のキーを使用するためには、次のポリシーが必要です。

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>