Vaultキーのローテーション
新しいキー・バージョンを作成してキーをローテーションする方法を学習します。
マスター暗号化キーの新しいキー・バージョンを作成すると、KMSサービスはキーに使用されているキー・バージョンをローテーションします。サービスでは、新しいキー・バージョンのキー・マテリアルを生成することも、独自のキー・マテリアルをインポートすることもできます。キーをインポートする場合は、ラッピング・キーを使用してキー・マテリアルをラップする必要があります。ただし、ラッピング・キーを作成、削除またはローテーションすることはできません。キー・ローテーションの詳細は、キーおよびシークレット管理の概念のトピックのキー・バージョンおよびローテーションを参照してください。
自動キー回転
仮想プライベート・ボールトで作成されたキーの場合、自動キー・ローテーションを有効にできます。詳細は、キーおよびシークレット管理の概念のトピックの自動キー・ローテーションの項を参照してください。このオプションは、キーの作成中に有効にすることも、キーの作成後に有効にすることもできます。自動ローテーション設定の更新手順は自動キー・ローテーションの有効化と更新を、自動ローテーションを有効にして新しいキーを作成する手順はマスター暗号化キーの作成を参照してください。
-
キー・サマリー表で、「アクション」メニュー(
)をクリックし、「キーのローテーション」を選択します。
-
キー・サマリー表で、「アクション」メニュー(
コマンド・プロンプトを開き、
oci kms management key-version createを実行してキーをローテーションします。oci kms management key-version create --key-id <target_key_id> --endpoint <vault_specific_management_endpoint_urlたとえば:
oci kms management key-version create --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.comこのキーの以前のバージョンで暗号化されたオブジェクトを含む暗号操作では、古いキー・バージョンが引き続き使用されます。必要に応じて、現在のキー・バージョンでこれらのオブジェクトを再暗号化できます。
CLIコマンドのパラメータおよび値の完全なリストは、KMS CLIコマンド・リファレンスを参照してください。
CreateKeyVersion操作を実行して、KMSMANAGMENTエンドポイントを使用して特定のマスター暗号化キーをローテーションします。
Note
Each region uses the KMSMANAGMENT endpoint for create, update, and list operations for keys. This endpoint is referred to as the control plane URL or vault management endpoint. Each region also has a unique endpoint for operations related to retrieving vault details. This endpoint is known as the data plane URL or the secret retrieval endpoint. For regional endpoints, see the API Documentation.APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。