Recryptage d'un objet Object Storage
Recryptez les clés de cryptage des données d'un objet avec une autre clé de cryptage maître dans un bucket Object Storage.
Vous pouvez re-chiffrer les clés de cryptage de données qui cryptent un objet en re-chiffrant les clés de cryptage de données de l'objet avec la dernière version de la clé de cryptage maître affectée au bucket. Ce recryptage est possible, qu'il s'agisse d'une clé gérée par Oracle ou d'une clé dans un coffre que vous gérez. Vous pouvez également recrypter les clés de cryptage de données de l'objet avec une clé différente dans un coffre ou une autre clé SSE-C. Si vous utilisez des clés SSE-C, vous devez fournir la clé SSE-C lors du décryptage de l'objet et du processus de recryptage ultérieur, le cas échéant.
Pour recrypter un objet, vous avez besoin des droits d'accès OBJECT_READ et OBJECT_OVERWRITE. Pour recrypter un objet que vous avez crypté avec une clé SSE-C, vous devez utiliser l'interface de ligne de commande pour fournir la clé SSE-C à Object Storage à utiliser lors du décryptage et du recryptage, le cas échéant.
Si vous recevez une erreur, vérifiez que vous disposez des droits d'accès appropriés. Si vous avez accès à l'objet, assurez-vous qu'il existe et qu'il n'a pas récemment été supprimé. Si vous disposez des droits d'accès et que l'objet existe, vérifiez également si l'objet est crypté avec une clé SSE-C.
Pour plus d'informations, reportez-vous à Cryptage des données Object Storage.
Utilisez la commande oci os object reencrypt et les paramètres requis pour recrypter les clés de cryptage de données d'un objet avec la dernière version de clé affectée au bucket :
oci os object reencrypt --bucket-name bucket_name --name object_name
Par exemple :
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt
Les clés de cryptage de données de l'objet sont recryptées et aucune autre information n'est renvoyée.
Chiffrement à l'aide d'une clé SSE-C
Vous pouvez recrypter les clés de cryptage de données d'un objet avec une clé SSE-C.
oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key
Par exemple :
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey
Si les clés de cryptage de données de l'objet sont actuellement cryptées avec une clé SSE-C, incluez le paramètre
source-encryption-key-file
afin d'indiquer également le nom du fichier qui contient la chaîne encodée base64 de la clé de cryptage source AES-256 pour d'abord décrypter l'objet.oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key
Par exemple :
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey
Si l'objet est actuellement crypté avec une clé SSE-C et que vous souhaitez crypter les clés de cryptage de données de l'objet avec une clé SSE-C différente, indiquez le nom de fichier de chaque clé.
oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired
Par exemple :
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey
Chiffrement à l'aide d'une clé Vault
Pour recrypter les clés de cryptage de données d'un objet avec une clé Vault spécifique, incluez le paramètre
kms-key-id
.oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID
Par exemple :
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID
Chiffrement à l'aide de clés SSE-C et Vault
Si la clé est cryptée avec une clé SSE-C et que vous recryptez les clés de cryptage de données d'un objet avec une clé Vault spécifique, vous devez inclure le paramètre
source-encryption-key-file
qui fournit le nom du fichier qui contient la chaîne encodée base64 de la clé de cryptage source AES-256 pour d'abord décrypter l'objet.oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID
Par exemple :
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID
Afin d'obtenir la liste complète des paramètres et des valeurs pour les commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'CLI.
Exécutez l'opération ReencryptObject pour recrypter les clés de cryptage de données d'un objet avec la dernière version de la clé affectée au bucket.
Object Storage ajoute la chaîne d'espace de noms Object Storage et le nom du bucket au début du nom d'objet lors de la construction d'une URL à utiliser avec l'API:
/n/object_storage_namespace/b/bucket/o/object_name
Le nom d'objet correspond à tout ce qui suit
/o/
, ce qui peut inclure des niveaux hiérarchiques et des chaînes de préfixe.