Documentation Oracle Cloud Infrastructure

Affectation d'une clé à un bucket Object Storage

Affectez une clé de cryptage maître Vault à un bucket Object Storage.

Vous pouvez crypter les clés de cryptage de données pour les objets dans un bucket à l'aide de votre propre clé de cryptage maître Vault. Par défaut, les buckets sont cryptés à l'aide de clés gérées par Oracle. Pour plus d'informations, reportez-vous à Cryptage des données Object Storage et à Présentation de Vault
Important

Les buckets dans une zone de sécurité ne peuvent pas utiliser la clé de cryptage par défaut gérée par Oracle. Vous devez utiliser votre propre clé de cryptage maître Vault.
    1. Ouvrez le menu de navigation et cliquez sur Stockage. Sous Object Storage et Archive Storage, cliquez sur Buckets.
    2. Sélectionnez le compartiment dans la liste sous Portée de la liste. Tous les buckets de ce compartiment sont répertoriés sous forme tabulaire.
    3. Cliquez sur le bucket à crypter. La page Détails du bucket apparaît.
    4. Recherchez Clé de cryptage et effectuez l'une des opérations suivantes :

      • Si le bucket est crypté avec une clé gérée par Oracle, cliquez sur Affecter. La boîte de dialogue Affecter une clé de cryptage maître apparaît.

      • Si une clé de cryptage maître Vault est déjà affectée au bucket, cliquez sur Modifier pour en affecter une autre. La boîte de dialogue Modifier la clé de cryptage maître s'affiche.

    5. Fournissez ou mettez à jour les informations suivantes dans la boîte de dialogue qui s'ouvre :

      • Compartiment et coffre Vault contenant la clé de cryptage maître à utiliser. Le compartiment en cours est affiché par défaut.

      • Le compartiment et la clé de cryptage maître. Le compartiment en cours est affiché par défaut.

    6. Cliquez sur Affecter ou Modifier.

  • Utilisez la commande oci os bucket update et les paramètres requis pour affecter une clé Vault à un bucket.

    oci os bucket update --name bucket_name --kms-key-id kms_key_id [OPTIONS]

    kms_key_id est l'OCID des versions de clé qui contiennent le matériel cryptographique utilisé pour crypter et décrypter les données, protégeant ainsi les données à leur emplacement de stockage.

    Par exemple :

    
oci os bucket update --name MyKeyBucket --kms-key-id ocid1.key.region1.sea..exampleuniqueID
{
  "data": {
    "approximate-count": null,
    "approximate-size": null,
    "auto-tiering": null,
    "compartment-id": "ocid.compartment.oc1..exampleuniqueID",
    "created-by": "ocid1.user.oc1..exampleuniqueID",
    "defined-tags": {},
    "etag": "e7f29fdd-b5f5-42e5-a98b-80883f9f2f32",
    "freeform-tags": {},
    "id": "ocid1.bucket.oc1..exampleuniqueID",
    "is-read-only": false,
    "kms-key-id": "ocid1.key.region1.sea..exampleuniqueID",
    "metadata": {},
    "name": "MyKeyBucket",
    "namespace": "MyNamespace",
    "object-events-enabled": false,					
    "object-lifecycle-policy-etag": null,
    "public-access-type": "NoPublicAccess"
    "replication-enabled": false,
    "storage-tier": "Standard",
    "time-created": "2020-06-29T23:00:35.490000+00:00",
    "versioning": "Disabled"
  },
  "etag": "e7f29fdd-b5f5-42e5-a98b-80883f9f2f32"
}
    Si vous mettez à jour la clé, exécutez la même commande oci os bucket update avec la valeur kms_key_id mise à jour.

    Pour plus de détails, reportez-vous à Présentation de Vault.

    Afin d'obtenir la liste complète des paramètres et des valeurs pour les commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'CLI.

  • Cette tâche ne peut pas être effectuée à l'aide de l'API.