キーのローテーション
新しいキー・バージョンを作成してキーをローテーションする方法を学習します。
マスター暗号化キーの新しいキー・バージョンを作成すると、KMSサービスはキーに使用されているキー・バージョンをローテーションします。サービスでは、新しいキー・バージョンのキー・マテリアルを生成することも、独自のキー・マテリアルをインポートすることもできます。キーをインポートする場合は、ラッピング・キーを使用してキー・マテリアルをラップする必要があります。ただし、ラッピング・キーを作成、削除またはローテーションすることはできません。キー・ローテーションの詳細は、キーおよびシークレット管理の概念のトピックのキー・バージョンおよびローテーションを参照してください。
自動キー回転
仮想プライベート・ボールトで作成されたキーの場合、自動キー・ローテーションを有効にできます。詳細は、キーおよびシークレット管理の概念のトピックの自動キー・ローテーションの項を参照してください。このオプションは、キーの作成中に有効にすることも、キーの作成後に有効にすることもできます。自動ローテーション設定の更新手順は自動キー・ローテーションの有効化と更新を、自動ローテーションを有効にして新しいキーを作成する手順はマスター暗号化キーの作成を参照してください。
手動キー・ローテーション
コンソール、CLIまたはAPIを使用してキーを手動でローテーションするには、次の項の手順を使用します。
-
キー・サマリー表で、「アクション」メニュー(
)を選択し、「キーのローテーション」を選択します。
-
キー・サマリー表で、「アクション」メニュー(
コマンド・プロンプトを開き、
oci kms management key-version createを実行してキーをローテーションします。oci kms management key-version create --key-id <target_key_id> --endpoint <vault_specific_management_endpoint_urlたとえば:
oci kms management key-version create --key-id ocid1.key.region1.sea.exampleaaacu2.examplesmtpsuqmoy4m5cvblugmizcoeu2nfc6b3zfaux2lmqz245gezevsq --endpoint https://exampleaaacu2-management.kms.us-ashburn-1.oraclecloud.comこのキーの以前のバージョンで暗号化されたオブジェクトを含む暗号操作では、古いキー・バージョンが引き続き使用されます。必要に応じて、現在のキー・バージョンでこれらのオブジェクトを再暗号化できます。
CLIコマンドのパラメータおよび値の完全なリストは、KMS CLIコマンド・リファレンスを参照してください。
管理エンドポイントとともにCreateKeyVersion APIを使用して、マスター暗号化キーをローテーションします。
ノート
管理エンドポイントは、作成、更新、リスト、取得、削除などの管理操作に使用されます。管理エンドポイントは、コントロール・プレーンURLまたはKMSMANAGMENTエンドポイントとも呼ばれます。
暗号化エンドポイントは、暗号化、復号化、データ暗号化鍵の生成、署名、検証などの暗号化操作に使用されます。暗号化エンドポイントは、データ・プレーンURLまたはKMSCRYPTOエンドポイントとも呼ばれます。
管理エンドポイントおよび暗号化エンドポイントは、ボールトの詳細メタデータにあります。手順については、Getting a Vault's Detailsを参照してください。
キー管理、シークレット管理およびシークレット取得APIのリージョナル・エンドポイントについては、APIリファレンスおよびエンドポイントを参照してください。
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。