Keine Ergebnisse gefunden

Ihre Suche ergab keine Treffer.

Beachten Sie die folgenden Tipps, um das Gesuchte zu finden:

  • Prüfen Sie die Schreibweise des Suchbegriffs.
  • Verwenden Sie Synonyme für das eingegebene Stichwort, z. B. “Anwendung” statt “Software.”
  • Testen Sie eine der unten gezeigten beliebten Suchen.
  • Beginnen Sie eine neue Suche.
Aktuelle Fragen

Häufig gestellte Fragen

Alle öffnen Alle schließen

    Allgemeine Fragen

  • Was ist Oracle Cloud Infrastructure Key Management?

    Oracle Cloud Infrastructure Key Management ist ein verwalteter Dienst, mit dem Sie als Kunde symmetrische AES-Schlüssel verwalten und steuern können, die zum Verschlüsseln Ihrer Daten im Ruhezustand verwendet werden. Die Schlüssel werden in einem FIPS 140-2, Level-3-zertifizierten Hardware Security Module (HSM) gespeichert, das langlebig und hochverfügbar ist. Der Schlüsselverwaltungsdienst ist in viele Oracle Cloud Infrastructure-Dienste integriert, einschließlich Block Volumes, File Storage, Oracle Container Engine for Kubernetes und Object Storage.

  • Was ist ein Vault?

    Oracle Vault ist eine logische Gruppierung von Schlüsseln. Das Vault muss erstellt werden, bevor Schlüssel generiert oder importiert werden können. Es gibt zwei Arten von Vaults: Privat und virtuell, die unterschiedliche Ebenen der Isolation, Preisgestaltung und Datenverarbeitung aufweisen.

  • Wie werden Oracle Cloud Infrastructure-Tenants im HSM getrennt?

    Jeder Tenant kann keine bis zahlreiche Vaults haben. Ein privater Vault reserviert 3.000 Schlüssel und verfügt über eine dedizierte Partition auf HSM. Eine Partition ist eine physische Grenze des HSM, sodass private Vaults einen hohen Grad an Isolation aufweisen. Ein virtueller Vault verwendet eine Partition mit mehreren Tenants, sodass er eine moderate Isolationsstufe aufweist, die von der Software auf dem HSM verwaltet wird.

  • Wann sollte ich den Schlüsselverwaltungsdienst verwenden?

    Verwenden Sie den Schlüsselverwaltungsdienst, wenn Sie Ihre Hauptverschlüsselungsschlüssel in einem HSM speichern müssen, um die Governance- und gesetzlichen Compliance-Anforderungen zu erfüllen, oder wenn Sie mehr Kontrolle über die Kryptoperiode der für Ihre Daten verwendeten Verschlüsselungsschlüssel wünschen.

  • Was sind die Standardgrenzwerte für die Schlüsselverwaltung?

    Die Standardeinstellung ist 10 virtuelle Vaults mit 100 Schlüsseln pro Vault.

    Die Standardeinstellung für private Vaults ist 0 mit 1000 Schlüsseln pro Vault.

    Weitere Informationen über das Überprüfen und Aktualisieren der Grenzwerte für den Schlüsselverwaltungsdienst finden Sie unter Service-Limits. Sie können jederzeit ein Ticket einreichen, um eine Erhöhung des Limits anzufordern.

  • Was sind die ersten Schritte mit dem Schlüsselverwaltungsdienst?

    Stellen Sie sicher, dass die Limits für Ihre Tenancy die Erstellung des Vault-Typs ermöglichen, den Sie erstellen möchten.

    Stellen Sie sicher, dass die IAM-Richtlinien für das Nutzerkonto über die erforderlichen Berechtigungen zum Erstellen eines Vaults verfügen. Weitere Informationen über das Konstruieren einer Anweisung finden Sie in der IAM-Richtlinienreferenz.

    Sie erstellen zunächst einen Schlüsselverwaltungs-Schlüssel-Vault, indem Sie über die Oracle Cloud Infrastructure-Konsole Sicherheit und dann Schlüsselverwaltung auswählen

    Erstellen Sie einen Vault und wählen Sie einen der beiden verfügbaren Vault-Typen aus, die Ihren Isolations- und Verarbeitungsanforderungen am ehesten entsprechen:

    • Privat (VIRTUAL_PRIVATE): Wählen Sie einen privaten Vault, wenn Sie eine erhöhte Isolation im HSM-Cluster und eine dedizierte Verarbeitung von Verschlüsselungs-/Entschlüsselungsvorgängen benötigen. Der private Vault verwendet Universal Credits mit einer höheren Rate.
    • Virtuell (VIRTUAL): Wählen Sie einen virtuellen Vault, wenn Sie eine günstigere Variante basierend auf Schlüsselversionen wünschen und bereit sind, eine moderate Isolation (Partition mit mehreren Tenants in HSM) und eine gemeinsame Verarbeitung für Verschlüsselungs-/Entschlüsselungsvorgänge zu akzeptieren.

    Erstellen Sie die Hauptverschlüsselungsschlüssel [Master Encryption] in Ihrem Vault. Schlüssel können nach Bedarf versioniert werden.

    Stellen Sie sicher, dass die IAM-Richtlinien für den Dienst oder die Entität, der bzw. die die Schlüsselverwaltung aufruft, über die erforderlichen Berechtigungen verfügen. Beispiel: Ermöglichen Sie dem Dienst „objectstorage-us-ashburn-1“, Schlüssel in Abteilung zu verwenden

    Verwenden Sie die Schlüssel:

    • Mit nativem Oracle Cloud Infrastructure-Speicher: Markieren Sie beim Erstellen des Speichers (Bucket, Datei, Volume) mit „ENCRYPT USING CUSTOMER-MANAGED KEYS“, und wählen Sie dann den Vault und den Hauptverschlüsselungsschlüssel aus. Daten in diesem Bucket-, Volume- oder Dateispeicher werden mit einem Datenverschlüsselungsschlüssel verschlüsselt, der im Hauptverschlüsselungsschlüssel im Vault verpackt ist.
    • Verwenden Sie bei Kryptooperationen die Befehlszeilenschnittstelle (Command Line Interface, CLI) als Beispiel:
      oci kms crypto encrypt --key-id --plaintext

    Kryptooperationen sind auch in der SDK und API verfügbar. Weitere Informationen finden Sie in der Übersicht über die Schlüsselverwaltung in der Dokumentation.

    Überwachen Sie Ihre Nutzung von Vorgängen mit Metriken in der Konsole und im Überwachungsdienst. Metriken und Dimensionen finden Sie hier: https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm

  • Welche Oracle Cloud Infrastructure-Dienste lassen sich in die Schlüsselverwaltung integrieren?

    Derzeit sind die folgenden Dienste in die Schlüsselverwaltung integriert:

    • Block Volumes (einschließlich regionsübergreifender Sicherungen/Wiederherstellungen und Oracle Cloud Infrastructure Compute-Startvolumes)
    • Object Storage
    • File Storage-Dienst
    • Oracle Container Engine for Kubernetes

    Einige Angebote auf dem Markt sind ebenfalls nativ in den Schlüsselverwaltungsdienst integriert.

  • Was ist der Unterschied zwischen der von Oracle und der vom Kunden verwalteten Verschlüsselung?

    Vom Kunden verwaltet bedeutet, dass im Speicherdienst verschlüsselte Daten transparent durch Datenverschlüsselungsschlüssel geschützt sind, die in Ihren Schlüsselverwaltungs-Hauptverschlüsselungsschlüsseln verpackt sind.

    Von Oracle verwaltet bedeutet, dass Daten mit einem Verschlüsselungsschlüssel verschlüsselt werden, den Oracle verwaltet und für alle von Oracle verwalteten Speicher in der Region gemeinsam nutzt.

    In beiden Fällen werden die Daten im Ruhezustand verschlüsselt. Kundenverwaltung bietet mehr Kontrolle über Isolation, Versionierung und Kryptoperiode.

  • Muss ich die Schlüsselverwaltung verwenden, damit meine Daten dort geschützt werden, wo sie gespeichert sind?

    Nein. Wenn Sie Ihre Daten mit Oracle Cloud Infrastructure Block Volumes, File Storage-Dienst und Object Storage speichern und die Schlüsselverwaltung nicht verwenden, werden Ihre Daten mit Verschlüsselungsschlüsseln geschützt, die sicher von Oracle gespeichert und gesteuert werden.

  • Welche Funktionen bietet die Schlüsselverwaltung?

    Die folgenden Schlüsselverwaltungsfunktionen sind verfügbar, wenn Sie den Schlüsselverwaltungsdienst verwenden:

    • Erstellen hochverfügbarer Schlüssel-Vaults, um Ihre Verschlüsselungsschlüssel dauerhaft zu speichern
    • Verwenden eigener symmetrischer Schlüssel
    • Deaktivieren und erneutes Aktivieren von Schlüssels
    • Drehen und Versionieren von Schlüsseln
    • Beschränken der Berechtigungen für Vault und Schlüssel mithilfe von IAM-Richtlinien
    • Überwachen des Lebenszyklus Ihrer Schlüssel und Vaults mithilfe von Oracle Audit
    • Überwachen von Kryptooperationen mit Ihren Schlüsseln
    • Löschen von nicht mehr verwendeten Schlüsseln
    • Löschen von Schlüssel-Vaults, die Sie nicht mehr verwenden
  • Welche Funktionen zur Schlüsselverwaltung bieten Dienste, die in die Schlüsselverwaltung integriert sind?

    Dienste, die in die Schlüsselverwaltung integriert sind, bieten Ihnen die folgenden Funktionen zur Schlüsselverwaltung:

    • Zuweisen eines Schlüssels zu einer neuen Ressource
    • Hinzufügen einer Schlüsselzuweisung zu einer vorhandenen Ressource
    • Ändern der Schlüsselzuweisung für eine vorhandene Ressource
    • Entfernen der Schlüsselzuweisung
  • Welche Form/Länge von Schlüsseln kann ich in der Schlüsselverwaltung erstellen und speichern?

    Wenn Sie einen Schlüssel erstellen, können Sie eine Schlüsselform auswählen, die die Schlüssellänge und den damit verwendeten Algorithmus angibt. Alle Schlüssel sind Advanced Encryption Standard (AES), und Sie können aus drei Schlüssellängen wählen: AES-128, AES-192 und AES-256. AES-256 wird empfohlen.

  • In welchen Oracle Cloud Infrastructure-Regionen ist die Schlüsselverwaltung verfügbar?

    Schlüsselverwaltung ist in allen Oracle Cloud Infrastructure-Regionen verfügbar.

    Verwalten von Schlüsseln und Schlüssel-Vaults

  • Kann ich meine Schlüssel wechseln?

    Ja. Sie können Ihre Schlüssel regelmäßig in Übereinstimmung mit Ihren Sicherheitsrichtlinien und gemäß der Einhaltung von Vorschriften wechseln oder im Falle eines Sicherheitsvorfalls auch sofort ändern. Durch regelmäßiges Drehen der Schlüssel (z. B. alle 90 Tage) mithilfe der Konsole, der API oder der CLI wird die durch einen einzelnen Schlüssel geschützte Datenmenge begrenzt.

    Hinweis: Durch das Wechseln eines Schlüssels werden Daten, die zuvor mit der alten Schlüsselversion verschlüsselt wurden, nicht automatisch neu verschlüsselt. Diese Daten werden beim nächsten Ändern durch den Kunden erneut verschlüsselt. Wenn Sie den Verdacht haben, dass ein Schlüssel kompromittiert wurde, sollten Sie alle durch diesen Schlüssel geschützten Daten erneut verschlüsseln und die vorherige Schlüsselversion deaktivieren.

  • Kann ich Schlüssel in die Schlüsselverwaltung importieren?

    Ja. Bei Verwendung eines asymmetrischen RSA-Schlüsselpaars muss ein Kunde den symmetrischen AES-Schlüssel verpacken, der dann in den Schlüsselverwaltungsdienst importiert werden kann.

  • Kann ich einen Schlüssel-Vault aus der Schlüsselverwaltung löschen?

    Ja, aber nicht sofort. Sie können das Löschen eines Schlüssel-Vaults aus der Schlüsselverwaltung planen, indem Sie eine Wartezeit von 7 bis 30 Tagen für das Löschen konfigurieren. Der Schlüssel-Vault und alle im Schlüssel-Vault erstellten Schlüssel werden am Ende der Wartezeit gelöscht, und auf alle Daten, die durch diese Schlüssel geschützt wurden, kann nicht mehr zugegriffen werden. Nachdem ein Schlüssel-Vault gelöscht wurde, kann er nicht wiederhergestellt werden.

  • Kann ich einen Schlüssel oder eine Schlüsselversion löschen?

    Ja, Sie können einen Schlüssel oder eine Schlüsselversion löschen. Sie können einen Schlüssel deaktivieren, wodurch Verschlüsselungs-/Entschlüsselungsvorgänge mit diesem Schlüssel verhindert werden.

  • Gibt es eine feste Grenze für die Anzahl der Schlüssel, die ich pro Schlüssel-Vault in der Schlüsselverwaltung erstellen oder speichern kann?

    Wenn Sie einen privaten Vault zum Speichern Ihrer Schlüssel verwenden, können Sie bis zu 3.000 Schlüsselversionen pro Schlüssel-Vault erstellen und speichern.

    Wenn Sie einen virtuellen Vault verwenden, um Ihre Schlüssel zu speichern, gibt es keine feste Grenze.

    Alle Schlüsselversionen, die Sie in einem Vault speichern, gelten für dieses Limit, unabhängig davon, ob der entsprechende Schlüssel aktiviert oder deaktiviert ist.

    Sie können eine Limiterhöhung für Schlüssel beantragen, die in einem Vault gespeichert sind, indem Sie die Schritte unter Anfordern einer Service-Limit-Erhöhung in der Oracle Cloud Infrastructure-Dokumentation ausführen. Da sowohl aktivierte als auch deaktivierte Schlüssel zum Limit zählen, empfiehlt Oracle, deaktivierte Schlüssel, die Sie nicht mehr verwenden, zu löschen.

    Verwenden von Schlüsseln

  • Muss ich die Schlüssel im Schlüsselverwaltungsdienst immer direkt verwenden?

    Nein, Sie können Datenverschlüsselungsschlüssel (DEK, Data Encryption Key) generieren, die mit den Hauptverschlüsselungsschlüsseln verpackt sind, und Ihre Daten mit dem DEK verschlüsseln.

  • Wie verwende ich DEKs zum Ver- und Entschlüsseln von Daten?

    Sie können jede Verschlüsselungsbibliothek verwenden (Beispiel: Bouncy Castle, OpenSSL), um die Daten zu verschlüsseln.

  • Wie protokolliere ich Kryptooperationen?

    Senden Sie eine Serviceanforderung mit Informationen zum Oracle Cloud Infrastructure-Bucket, damit Ihr Vault so konfiguriert werden kann, dass die Protokollierung an diesen Bucket gesendet wird.

    Hochverfügbarkeit und Disaster Recovery

  • Wie stellt Oracle Hochverfügbarkeit von Schlüsseln in einer Region bereit?

    Oracle verwendet einen Cluster von sechs HSMs, die im Betriebsverlauf eine Verfügbarkeit mit fünf Neunern bereitgestellt haben.

  • Kann ich meine Schlüssel in eine Region übertragen und verwenden, wenn sie dort nicht erstellt wurden?

    Derzeit können Sie die Schlüssel nur in der Region verwenden, in der Sie sie erstellt haben.

    Abrechnung

  • Wie wird mir die Verwendung der Schlüsselverwaltung in Rechnung gestellt?

    Bei Verwendung eines virtuellen Vault-Typs zahlen Sie basierend auf der Anzahl der von Ihnen erstellten Schlüsselversionen, und Ihnen wird am Monatsende die Nutzung dieses Monats in Rechnung gestellt.

    Bei Verwendung eines privaten Vault-Typs zahlen Sie eine stündliche Gebühr für jeden von Ihnen erstellten Vault und werden am Ende des Monats für die Nutzung dieses Monats belastet. Wenn Sie Ihre Schlüssel in einem privaten Vault-Typ speichern, werden Ihnen keine Schlüssel für die Schlüssel berechnet, die Sie in Ihren Schlüssel-Vaults erstellen und mit unterstützten Oracle Cloud Infrastructure-Diensten verwenden.

    Aktuelle Preise finden Sie auf der Preisgestaltungsseite für die Schlüsselverwaltung.

  • Erhalte ich eine Rechnung für meinen Schlüssel-Vault, wenn er gelöscht werden soll?

    Nein, die Verwendung eines zum Löschen geplanten Schlüssel-Vaults wird Ihnen nicht in Rechnung gestellt. Wenn Sie das Löschen Ihres Schlüssel-Vaults während der Wartezeit abbrechen, wird die Abrechnung fortgesetzt.

  • Werden Schlüssel mit ausstehender Löschung noch im Kontingentlimit gezählt?

    Ja, Schlüssel mit ausstehender Löschung werden weiterhin für Ihr Kontingentlimit angerechnet.

    Sicherheit

  • Können Mitarbeiter von Oracle auf mein Schlüsselmaterial zugreifen?

    Nein.

  • Wer kann die Schlüssel verwenden und verwalten, die ich in der Schlüsselverwaltung erstelle und speichere?

    Sie haben Kontrolle über die Schlüssel, die Sie in der Schlüsselverwaltung erstellen und speichern. Sie definieren die Schlüsselnutzungs- und -verwaltungsrichtlinien und gewähren Oracle IAM-Nutzern, -Gruppen oder -Diensten die Rechte zur Nutzung, Verwaltung oder Zuordnung Ihrer Schlüssel zu Ressourcen.

  • Wie werden die Schlüssel, die ich in meinem Schlüsselverwaltungsschlüssel-Vault erstelle, gesichert?

    Wenn Sie über den Dienst in Ihrem Namen einen Schlüssel erstellen, speichert die Schlüsselverwaltung den Schlüssel und alle nachfolgenden Schlüsselversionen in von HSM unterstützten Schlüssel-Vaults.

    Wenn Sie über den Dienst in Ihrem Namen einen Schlüssel in einem privaten Vault erstellen, speichert die Schlüsselverwaltung den Schlüssel und alle nachfolgenden Schlüsselversionen in HSM-gestützten Schlüssel-Vaults unter Verwendung kundenspezifischer isolierter Partitionen in FIPS 140-2, HSMs (Security Level 3 Certified Hardware Security Module). (Sie können die FIPS 140-2-Sicherheitsrichtlinie für die Hardware, mit der Ihr Schlüssel-Vault gesichert wird, hier einsehen: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf.)

    Alle Schlüssel-Vault-Typen, die Ihre Schlüssel enthalten, werden innerhalb einer Region mehrmals repliziert, um die Haltbarkeit und Verfügbarkeit der Schlüssel sicherzustellen. Nur-Text-Schlüsselmaterial kann niemals aus dem Schlüssel-Vault angezeigt oder exportiert werden. Die Schlüssel können nur Nutzer, Gruppen oder Dienste verwenden, die Sie über eine IAM-Richtlinie autorisieren, indem diese die Schlüsselverwaltung aufrufen, um Daten zu verschlüsseln oder zu entschlüsseln.

  • Kann ich einen Schlüssel exportieren, den ich in der Schlüsselverwaltung erstellt habe?

    Nein. Ihre Verschlüsselungsschlüssel werden nur in Schlüssel-Vaults gespeichert, die in FIPS 140-2 Level 3-zertifizierten HSMs gehostet werden, und Sie können sie nicht aus den Schlüssel-Vaults exportieren.

  • Wie lauten die Best Practices für IAM-Richtlinien, die meinen Schlüsselverwaltungsdienst regeln?

    Begrenzen Sie die Berechtigungen zum Löschen von Vaults auf eine minimale Anzahl von Nutzern, indem Sie das Metaverb „Verwenden“ in IAM-Richtlinien anstelle von „Verwalten“ verwenden. Beispiel: Ermöglichen Sie der Gruppe „VaultOperators“, Vaults in der Abteilung zu verwenden

    Beschränken Sie die Zuweisung von Vault und Schlüsseln auf Speicher, um eine nicht autorisierte Ersetzung zu verhindern.

    Ein häufiges Beispielmuster finden Sie hier.