Recriptografando um Objeto do Serviço Object Storage
Recriptografe as chaves de criptografia de dados de um objeto com outra chave principal de criptografia em um bucket do serviço Object Storage.
Você pode criptografar novamente as chaves de criptografia de dados que criptografam um objeto criptografando novamente as chaves de criptografia de dados do objeto com a versão mais recente da chave de criptografia principal designada ao bucket. Essa recriptografia é possível, seja uma chave gerenciada pela Oracle ou uma chave em um vault que você gerencia. Você também pode criptografar novamente as chaves de criptografia de dados do objeto com outra chave de um Vault ou outra chave SSE-C. Se você usar chaves SSE-C, informe a chave SSE-C durante o processo de decriptografia e nova criptografia subsequente do objeto, conforme apropriado.
Para criptografar novamente um objeto, você precisa das permissões OBJECT_READ e OBJECT_OVERWRITE. Para criptografar novamente um objeto criptografado com uma chave SSE-C, use a CLI para fornecer a chave SSE-C ao serviço Object Storage para uso durante a decriptografia e a nova criptografia, conforme apropriado.
Se você receber um erro, verifique se tem as permissões corretas. Se você tiver acesso ao objeto, confirme se o objeto existe e não foi excluído recentemente. Se você tiver permissões e o objeto existir, confirme também se o objeto está criptografado com uma chave SSE-C.
Para obter mais informações, consulte Criptografia de Dados do Object Storage.
Use o comando oci os object reencrypt e os parâmetros necessários para recriptografar as chaves de criptografia de dados de um objeto com a versão mais recente da chave designada ao bucket:
oci os object reencrypt --bucket-name bucket_name --name object_name
Por exemplo:
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt
As chaves de criptografia de dados do objeto são criptografadas novamente sem informações adicionais retornadas.
Criptografia Usando uma Chave SSE-C
Você pode criptografar novamente as chaves de criptografia de dados de um objeto com uma chave SSE-C.
oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key
Por exemplo:
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey
Se as chaves de criptografia de dados do objeto estiverem criptografadas no momento com uma chave SSE-C, inclua o parâmetro
source-encryption-key-file
para fornecer também o nome do arquivo que contém a string codificada por base64 da chave de criptografia de origem AES-256 para decriptografar o objeto primeiro.oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key
Por exemplo:
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey
Se o objeto estiver criptografado no momento com uma chave SSE-C e você quiser criptografar as chaves de criptografia de dados do objeto com outra chave SSE-C, forneça o nome do arquivo de cada chave.
oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired
Por exemplo:
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey
Criptografia Usando uma Chave do Serviço Vault
Para criptografar novamente as chaves de criptografia de dados de um objeto com uma chave Vault específica, inclua o parâmetro
kms-key-id
.oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID
Por exemplo:
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID
Criptografia Usando Chaves SSE-C e Vault
Se a chave for criptografada com uma chave SSE-C e você estiver recriptografando as chaves de criptografia de dados de um objeto com uma chave Vault específica, inclua o parâmetro
source-encryption-key-file
que fornece o nome do arquivo que contém a string codificada por base64 da chave de criptografia de origem AES-256 para decriptografar o objeto primeiro.oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID
Por exemplo:
oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID
Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comando da CLI.
Execute a operação ReencryptObject para criptografar novamente as chaves de criptografia de dados de um objeto com a versão mais recente da chave designada ao bucket.
O serviço Object Storage pré-anexa a string de namespace do Object Storage e o nome do bucket ao nome do objeto ao construir um URL para uso com a API:
/n/object_storage_namespace/b/bucket/o/object_name
O nome do objeto é tudo após
/o/
, o que pode incluir níveis de hierarquia e strings de prefixo.