Documentação do Oracle Cloud Infrastructure

Recriptografando um Objeto do Serviço Object Storage

Recriptografe as chaves de criptografia de dados de um objeto com outra chave principal de criptografia em um bucket do serviço Object Storage.

Você pode criptografar novamente as chaves de criptografia de dados que criptografam um objeto criptografando novamente as chaves de criptografia de dados do objeto com a versão mais recente da chave de criptografia principal designada ao bucket. Essa recriptografia é possível, seja uma chave gerenciada pela Oracle ou uma chave em um vault que você gerencia. Você também pode criptografar novamente as chaves de criptografia de dados do objeto com outra chave de um Vault ou outra chave SSE-C. Se você usar chaves SSE-C, informe a chave SSE-C durante o processo de decriptografia e nova criptografia subsequente do objeto, conforme apropriado.

Para criptografar novamente um objeto, você precisa das permissões OBJECT_READ e OBJECT_OVERWRITE. Para criptografar novamente um objeto criptografado com uma chave SSE-C, use a CLI para fornecer a chave SSE-C ao serviço Object Storage para uso durante a decriptografia e a nova criptografia, conforme apropriado.

Se você receber um erro, verifique se tem as permissões corretas. Se você tiver acesso ao objeto, confirme se o objeto existe e não foi excluído recentemente. Se você tiver permissões e o objeto existir, confirme também se o objeto está criptografado com uma chave SSE-C.

Para obter mais informações, consulte Criptografia de Dados do Object Storage.

    1. Abra o menu de navegação e clique em Armazenamento. Em Object Storage & Archive Storage, clique em Buckets.
    2. Selecione o compartimento na lista em Escopo da Lista. Todos os buckets desse compartimento são listados em formato tabular.
    3. Clique no bucket cujo objeto você deseja criptografar novamente. A página Detalhes do bucket é exibida.
    4. Clique em Objetos, em Recursos. A lista Objetos é exibida. Todas as pastas e objetos são listados em formato tabular.
    5. Clique no menu Ações (Menu Ações) ao lado do nome do objeto e selecione Recriptografar. Será exibida a caixa de diálogo Recriptografar Objeto.
    6. Execute uma das seguintes tarefas, dependendo se a chave designada ao bucket é uma chave gerenciada pela Oracle ou uma chave em um vault que você gerencia:

      • Para buckets criptografados com uma chave gerenciada pela Oracle, você pode criptografar novamente o objeto com a versão mais recente dessa chave clicando em Usar a chave designada ao bucket. Ou você pode criptografar novamente o objeto com uma chave em um vault clicando em Usar uma chave gerenciada pelo cliente e, em seguida, escolhendo uma chave de um compartimento e vault aos quais tenha acesso.

      • Para buckets criptografados com uma chave gerenciada pelo cliente, você pode criptografar novamente o objeto com a versão mais recente dessa chave clicando em Usar a chave designada ao bucket. Ou você pode criptografar novamente o objeto com outra chave do serviço Vault clicando em Usar outra chave gerenciada pelo cliente e escolhendo outra chave de um compartimento e vault aos quais tenha acesso.

    7. Clique em Recriptografar.

  • Use o comando oci os object reencrypt e os parâmetros necessários para recriptografar as chaves de criptografia de dados de um objeto com a versão mais recente da chave designada ao bucket:

    oci os object reencrypt --bucket-name bucket_name --name object_name

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt

    As chaves de criptografia de dados do objeto são criptografadas novamente sem informações adicionais retornadas.

    Criptografia Usando uma Chave SSE-C

    Você pode criptografar novamente as chaves de criptografia de dados de um objeto com uma chave SSE-C.

    oci os object reencrypt --bucket-name bucket_name --name object_name --encryption-key-file file_containing_base64-encoded_AES-256_key

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --encryption-key-file MySSE-CKey

    Se as chaves de criptografia de dados do objeto estiverem criptografadas no momento com uma chave SSE-C, inclua o parâmetro source-encryption-key-file para fornecer também o nome do arquivo que contém a string codificada por base64 da chave de criptografia de origem AES-256 para decriptografar o objeto primeiro.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey

    Se o objeto estiver criptografado no momento com uma chave SSE-C e você quiser criptografar as chaves de criptografia de dados do objeto com outra chave SSE-C, forneça o nome do arquivo de cada chave.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key_currently_assigned --encryption-key-file file_containing_base64-encoded_AES-256_key_desired

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --encryption-key-file MyNewSSE-CKey

    Criptografia Usando uma Chave do Serviço Vault

    Para criptografar novamente as chaves de criptografia de dados de um objeto com uma chave Vault específica, inclua o parâmetro kms-key-id.

    oci os object reencrypt --bucket-name bucket_name --name object_name --kms-key-id kms_key_OCID

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Criptografia Usando Chaves SSE-C e Vault

    Se a chave for criptografada com uma chave SSE-C e você estiver recriptografando as chaves de criptografia de dados de um objeto com uma chave Vault específica, inclua o parâmetro source-encryption-key-file que fornece o nome do arquivo que contém a string codificada por base64 da chave de criptografia de origem AES-256 para decriptografar o objeto primeiro.

    oci os object reencrypt --bucket-name bucket_name --name object_name --source-encryption-key-file file_containing_base64-encoded_AES-256_key --kms-key-id kms_key_OCID

    Por exemplo:

    oci os object reencrypt --bucket-name MyBucket --name MyFile.txt --source-encryption-key-file MySSE-CKey --kms-key-id ocid1.key.region1.sea.exampleaaacu2..exampleuniqueID

    Para obter uma lista completa de parâmetros e valores para comandos da CLI, consulte a Referência de Comando da CLI.

  • Execute a operação ReencryptObject para criptografar novamente as chaves de criptografia de dados de um objeto com a versão mais recente da chave designada ao bucket.

    O serviço Object Storage pré-anexa a string de namespace do Object Storage e o nome do bucket ao nome do objeto ao construir um URL para uso com a API:

    /n/object_storage_namespace/b/bucket/o/object_name

    O nome do objeto é tudo após /o/, o que pode incluir níveis de hierarquia e strings de prefixo.