割当済マスター暗号化キーの変更
ボリュームやボリュームのバックアップなど、ブロック・ボリューム・リソースに割り当てられているキーを変更します。顧客管理キーまたはOracle管理キーを割り当てることができます。キーを変更すると、データ・キーが再暗号化されます。(リソースの内容は、キー変更のために再暗号化されません。)
ブロック・ボリュームへのキーの更新も参照してください。
要件
リージョン間操作用の顧客管理暗号化キー
ボリュームのVault暗号化キーは、リージョン間コピーが有効になっているスケジュール済ボリュームおよびボリューム・グループ・バックアップの宛先リージョンにコピーされません。かわりに、バックアップ・ポリシーを割り当てるときに、宛先リージョンにコピーされるバックアップのVault暗号化キーを指定できます。バックアップ・ポリシーを割り当てるときに、クロス・リージョン・バックアップ・コピーが有効になっている場合は、「クロス・リージョン・バックアップ・コピー暗号化」の「顧客管理キーを使用した暗号化」を選択して、宛先リージョン内のボリュームまたはボリューム・グループ・バックアップを暗号化します。このオプションを選択した場合は、宛先リージョンで有効な暗号化キーにOCIDを指定する必要があります。詳細は、を参照してください。
リージョン間操作に顧客管理暗号化キーを指定する場合は、次のことを確認してください。
- OCIDは、暗号化キーの有効なOCIDで、次のような形式になります。
ocid1.key.oc1.iad-ad-1.<unique_ID> - OCIDは、リージョン間操作の宛先リージョンに存在する暗号化キー用です。
- ブロック・ボリュームで暗号化キーを使用するには、宛先リージョンで必要な権限が構成されています。詳細は、次を参照してください:
リージョン間操作に顧客管理暗号化キーを指定しない場合、Oracle管理暗号化がデフォルトで使用されます。これらの要件は、Oracle管理暗号化キーには適用されません。
リージョン間のバックアップ・コピー
リージョン間でボリューム・バックアップを手動でコピーする場合は、Oracle管理キーまたは独自の暗号化キーを使用できます。リージョン間バックアップ・コピーが有効になっているバックアップ・ポリシーをボリュームまたはボリューム・グループに割り当てたり、手動バックアップ・クロス・リージョン・コピーを実行する場合、オプションで「リージョン間バックアップ・コピー暗号化」の「顧客管理キーを使用した暗号化」を選択して、宛先リージョン内のボリューム・バックアップを暗号化できます。このオプションを選択した場合は、宛先リージョンで有効な暗号化キーにOCIDを指定する必要があります。
リージョン間操作用の顧客管理暗号化キーも参照してください。
関連するリソース固有のコマンドおよび必須パラメータを使用して、マスター暗号化キーを割り当てます。
たとえば、ブロック・ボリューム・バックアップの場合は、oci bv backup updateを使用します。
- 例1: 顧客管理キー:
oci bv backup update --backup-id=<backup_ID> --kms-key-id=<key_ID> - 例2: Oracle管理キー(キーIDの空の文字列):
oci bv backup update --backup-id=<backup_ID> --kms-key-id=''
ボリュームの場合は、oci bv volume-kms-key updateを使用します。
oci bv volume-kms-key update --volume-id=<volume_ID> --kms-key-id=<key_ID>CLIコマンドのパラメータおよび値の完全なリストは、CLIコマンド・リファレンスを参照してください。
- 例1: 顧客管理キー:
関連するリソース固有の操作を実行して、マスター暗号化キーを割り当てます。
たとえば、ブロック・ボリューム・バックアップの場合は、UpdateVolumeBackup操作を実行し、
kmsKeyId属性に暗号化キーOCIDを指定します。ボリュームの場合は、UpdateVolumeKmsKey操作を実行し、
kmsKeyId属性に暗号化キーOCIDを指定します。