Documentation Oracle Cloud Infrastructure

Recryptage d'un objet Object Storage

Recryptez les clés de cryptage des données d'un objet avec une autre clé de cryptage maître dans un bucket Object Storage.

Vous pouvez re-chiffrer les clés de cryptage de données qui cryptent un objet en re-chiffrant les clés de cryptage de données de l'objet avec la dernière version de la clé de cryptage maître affectée au bucket. Ce recryptage est possible, qu'il s'agisse d'une clé gérée par Oracle ou d'une clé dans un coffre que vous gérez. Vous pouvez également recrypter les clés de cryptage de données de l'objet avec une clé différente dans un coffre ou une autre clé SSE-C. Si vous utilisez des clés SSE-C, vous devez fournir la clé SSE-C lors du décryptage de l'objet et du processus de recryptage ultérieur, le cas échéant.

Pour recrypter un objet, vous avez besoin des droits d'accès OBJECT_READ et OBJECT_OVERWRITE. Pour recrypter un objet que vous avez crypté avec une clé SSE-C, vous devez utiliser l'interface de ligne de commande pour fournir la clé SSE-C à Object Storage à utiliser lors du décryptage et du recryptage, le cas échéant.

Si vous recevez une erreur, vérifiez que vous disposez des droits d'accès appropriés. Si vous avez accès à l'objet, assurez-vous qu'il existe et qu'il n'a pas récemment été supprimé. Si vous disposez des droits d'accès et que l'objet existe, vérifiez également si l'objet est crypté avec une clé SSE-C.

Pour plus d'informations, reportez-vous à Cryptage des données Object Storage.

    1. Ouvrez le menu de navigation et cliquez sur Stockage. Sous Object Storage et Archive Storage, cliquez sur Buckets.
    2. Sélectionnez le compartiment dans la liste sous Portée de la liste. Tous les buckets de ce compartiment sont répertoriés sous forme tabulaire.
    3. Cliquez sur le bucket dont vous voulez recrypter l'objet. La page Détails du bucket apparaît.
    4. Cliquez sur Objets sous Ressources. La liste Objets apparaît. Tous les dossiers et objets sont répertoriés sous forme tabulaire.
    5. Cliquez sur le menu Actions (Menu Actions) en regard du nom de l'objet, puis sélectionnez Recrypter. La boîte de dialogue Recrypter l'objet apparaît.
    6. Selon que la clé affectée au bucket est une clé gérée par Oracle ou une clé dans un coffre que vous gérez, effectuez l'une des tâches suivantes :

      • Pour les buckets cryptés avec une clé gérée par Oracle, vous pouvez recrypter l'objet avec la dernière version de cette clé en cliquant sur Utiliser la clé affectée au bucket. Sinon, vous pouvez recrypter l'objet avec une clé dans un coffre en cliquant sur Utiliser une clé gérée par le client, puis en choisissant une clé dans un compartiment et un coffre auxquels vous avez accès.

      • Pour les buckets cryptés avec une clé gérée par le client, vous pouvez recrypter l'objet avec la dernière version de cette clé en cliquant sur Utiliser la clé affectée au bucket. Sinon, vous pouvez recrypter l'objet avec une autre clé de coffre en cliquant sur Utiliser une autre clé gérée par le client, puis en choisissant une autre clé dans un compartiment et un coffre auxquels vous avez accès.

    7. Cliquez sur Recrypter.

  • Utilisez la commande oci os object reencrypt et les paramètres requis pour recrypter les clés de cryptage de données d'un objet avec la dernière version de clé affectée au bucket :

    oci os object reencrypt --bucket-name bucket_name --name object_name

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt

    Les clés de cryptage de données de l'objet sont recryptées et aucune autre information n'est renvoyée.

    Chiffrement à l'aide d'une clé SSE-C

    Vous pouvez recrypter les clés de cryptage de données d'un objet avec une clé SSE-C.

    oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey

    Si les clés de cryptage de données de l'objet sont actuellement cryptées avec une clé SSE-C, incluez le paramètre source-encryption-key-file afin d'indiquer également le nom du fichier qui contient la chaîne encodée base64 de la clé de cryptage source AES-256 pour d'abord décrypter l'objet.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey

    Si l'objet est actuellement crypté avec une clé SSE-C et que vous souhaitez crypter les clés de cryptage de données de l'objet avec une clé SSE-C différente, indiquez le nom de fichier de chaque clé.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey

    Chiffrement à l'aide d'une clé Vault

    Pour recrypter les clés de cryptage de données d'un objet avec une clé Vault spécifique, incluez le paramètre kms-key-id.

    oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Chiffrement à l'aide de clés SSE-C et Vault

    Si la clé est cryptée avec une clé SSE-C et que vous recryptez les clés de cryptage de données d'un objet avec une clé Vault spécifique, vous devez inclure le paramètre source-encryption-key-file qui fournit le nom du fichier qui contient la chaîne encodée base64 de la clé de cryptage source AES-256 pour d'abord décrypter l'objet.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID

    Par exemple :

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Afin d'obtenir la liste complète des paramètres et des valeurs pour les commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'CLI.

  • Exécutez l'opération ReencryptObject pour recrypter les clés de cryptage de données d'un objet avec la dernière version de la clé affectée au bucket.

    Object Storage ajoute la chaîne d'espace de noms Object Storage et le nom du bucket au début du nom d'objet lors de la construction d'une URL à utiliser avec l'API:

    /n/object_storage_namespace/b/bucket/o/object_name

    Le nom d'objet correspond à tout ce qui suit /o/, ce qui peut inclure des niveaux hiérarchiques et des chaînes de préfixe.