キー参照の管理

OCI外部キー管理で、サードパーティのキー管理システムで作成された外部暗号化キーへのキー参照を管理する方法について学習します。

Thales CMでキーを作成すると、GUID (キーID)が作成されます。キーIDとキーの詳細(キー・タイプとシェイプ)を使用して、OCI KMSにキー参照を作成できます。キー参照を作成すると、KMSは実際のキー・マテリアルではなく、キー・マッピングの詳細を格納します。

特定のキーへのアクセスを切断または無効化してThales CMへのアクセスを一時的に制限すると、OCI KMS側でキー・アクセスが完全に失われます。鍵の状態は、アクセスが復元されるまで保持されます。この期間中は、KMSキーを使用して暗号化された暗号テキストを復号化できません。また、外部キー・ストアのKMSキーを使用して暗号化された暗号テキストはリカバリできなくなります。OCI KMSは、外部キー・マネージャでキーを作成、削除または管理できません。

OCIでのキー参照の作成では、外部キー・マネージャ(Thales CTM)にキーは作成されません。同様に、OCIでキー参照を削除しても、Thales CTMの外部キーは削除されません。キー参照にはThales CMにある外部キー・メタデータのみが格納され、OCI KMSでは暗号化操作リクエストの処理にキー参照が使用されます。