Rotation von Verschlüsselungsschlüsseln

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

4 Minuten Lesedauer

Führen Sie die Rotation von Verschlüsselungsschlüsseln aus der Instanz aus. Fügen Sie einen neuen Schlüssel hinzu, ändern Sie die Standardschlüsselzuweisung, und planen Sie dann eine Massenschlüsselrotation oder eine einzelne Schlüsselrotation.

Bevor Sie einen Verschlüsselungsschlüssel als Standardschlüssel festlegen, stellen Sie den Schlüssel für jeden Proxy zur Verfügung. Dadurch wird sichergestellt, dass die Proxys den Schlüssel zur Verschlüsselung von Daten haben, wenn der Schlüssel als Standardschlüssel zugewiesen wird. Alle Proxys müssen Zugriff auf einen Schlüssel haben, bevor dieser Schlüssel als Standardschlüssel zugewiesen werden kann.

Warnung:

Richten Sie vor dem Löschen eines Schlüssels aus dem Proxy einen Massenschlüssel-Rotationsauftrag ein, und führen Sie ihn aus, um sicherzustellen, dass der Schlüssel nicht von Daten in der Instanz verwendet wird. Wenn Informationen noch mit diesem Schlüssel verschlüsselt sind, können Sie die Informationen nach dem Löschen des Schlüssels nicht entschlüsseln.

Verhalten von Edge-Filterung und -Sortierung

Wenn Sie Standardschlüssel ändern, achten Sie darauf, eine Schlüsselrotation durchzuführen (entweder Massen- oder Einzelschlüsselrotation). Andernfalls erhalten Sie beim Sortieren und Filtern von Datensätzen möglicherweise unerwartete Ergebnisse. Stellen Sie sich zum Beispiel das folgende Szenario vor:

Sie erstellen verschlüsselte Datensätze mit einem Verschlüsselungsschlüssel.
Sie erstellen einen neuen Schlüssel und legen ihn als Standard fest.
Sie erstellen einen neuen Satz verschlüsselter Datensätze mit dem neuen Verschlüsselungsschlüssel.

Wenn Sie bei der Verbindung über den Edge-Proxy nach einem verschlüsselten Feld filtern, werden möglicherweise nicht alle Datensätze korrekt herausgefiltert, oder Datensätze werden unerwartet angezeigt. Der Filter funktioniert nur für Datensätze, die mit dem aktuellen Standardschlüssel verschlüsselt wurden. Die mit dem vorherigen Standardschlüssel verschlüsselten Datensätze werden weiterhin in der Listenansicht angezeigt.

Wenn Sie bei der Verbindung über den Edge-Proxy nach einem verschlüsselten Feld sortieren, werden im verschlüsselten Feld zwei Gruppen von Datensätzen mit demselben visuell lesbaren Text angezeigt.

Planen Sie einen einzelnen Schlüsselrotationsauftrag

Planen Sie einen Auftrag, um Daten zu finden, die mit einem bestimmten Schlüsselalias verschlüsselt sind, und verschlüsseln Sie die Daten dann erneut mit dem aktuellen Standardverschlüsselungsschlüssel. Die Daten werden entschlüsselt, bevor sie mit dem Standardschlüssel erneut verschlüsselt werden.

Vorbereitungen

Erforderliche Rolle: security_admin

Aktualisieren Sie den Standardschlüssel in, bevor Sie diesen Auftrag planen Konfiguration der Edge Encryption > Konfiguration des Verschlüsselungsschlüssels > Standardschlüssel festlegenan.

Prozedur

Navigieren zu Konfiguration der Edge Encryption > Reserviert > Einzelschlüsselrotation planenan.

Füllen Sie die entsprechenden Felder im Formular aus.


Feld	Wert
Name	Geben Sie einen beschreibenden Namen ein.
Auftragsart	Wählen Sie Einzelschlüsselrotation.
Schlüssel	Geben Sie den Schlüssel ein, der stillgelegt werden soll. Stellen Sie sicher, dass dieser Schlüssel nicht mehr der Standardschlüssel in ist Konfiguration der Edge Encryption > Konfiguration des Verschlüsselungsschlüssels > Standardschlüssel festlegenan.
Schätzen Sie die Anzahl der Datensätze	Geschätzte Gesamtzahl der zu verarbeitenden Datensätze. Nicht verfügbar, wenn eine Einzelschlüsselrotation ausgeführt wird.
Historische Datensätze verarbeiten	Wählen Sie diese Option aus, um historische Datensätze in der Audit-Tabelle zu verarbeiten, wenn das Feld geprüft wird. Wenn Sie historische Datensätze für ein Feld in der Audit-Tabelle verschlüsseln, werden sowohl neue als auch alte Werte verschlüsselt. Dieses Feld ist schreibgeschützt und aktiv. Weitere Informationen zu geprüften Feldern finden Sie unter Auditing.
Schätzen Sie die maximale Anzahl der Audit-Datensätze	Geschätzte maximale Anzahl der Audit-Datensätze, die verarbeitet werden sollen. Nicht verfügbar, wenn eine Einzelschlüsselrotation ausgeführt wird.
Aktiv	Deaktivieren Sie dieses Kontrollkästchen, wenn Sie diesen Auftrag deaktivieren möchten.
Ausführen	Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
Wird gestartet	Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.

Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
Anzahl der Datensätze schätzen wird bei der Verarbeitung geprüfter Felder nicht unterstützt.

Einen Massenschlüssel-Rotationsauftrag planen

Planen Sie einen Auftrag, um nach mit einem vorherigen Schlüssel verschlüsselten Daten zu suchen, und verschlüsseln Sie die Daten anschließend erneut mit den aktuellen Standard-Verschlüsselungsschlüsseln. Die Daten werden entschlüsselt, bevor sie mit dem aktuellen Standardschlüssel erneut verschlüsselt werden.

Vorbereitungen

Erforderliche Rolle: security_admin

Prozedur

Navigieren zu Alle > Konfiguration der Edge Encryption > Reserviert > Schlüsselmassenrotation planenan.

Füllen Sie die entsprechenden Felder im Formular aus.


Feld	Wert
Name	Geben Sie einen beschreibenden Namen ein.
Auftragsart	Wählen Sie Massenschlüsselrotation.
Schätzen Sie die Anzahl der Datensätze	Geschätzte Gesamtzahl der zu verarbeitenden Datensätze. Nicht verfügbar, wenn eine Massenrotation ausgeführt wird.
Historische Datensätze verarbeiten	Wählen Sie diese Option aus, um historische Datensätze in der Audit-Tabelle zu verarbeiten, wenn das Feld geprüft wird. Wenn Sie historische Datensätze für ein Feld in der Audit-Tabelle verschlüsseln, werden sowohl neue als auch alte Werte verschlüsselt. Dieses Feld ist schreibgeschützt und aktiv. Weitere Informationen zu geprüften Feldern finden Sie unter Auditing.
Schätzen Sie die maximale Anzahl der Audit-Datensätze	Geschätzte maximale Anzahl der Audit-Datensätze, die verarbeitet werden sollen. Nicht verfügbar, wenn eine Massenrotation ausgeführt wird.
Aktiv	Deaktivieren Sie dieses Kontrollkästchen, um diesen Auftrag zu deaktivieren.
Ausführen	Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
Wird gestartet	Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.

Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
Anzahl der Datensätze schätzen wird bei der Verarbeitung geprüfter Felder nicht unterstützt.

Einen Rotationsauftrag für einen Anhangsschlüssel planen

Planen Sie einen Auftrag, um mit einem bestimmten Schlüsselalias verschlüsselte Anhänge zu finden, und verschlüsseln Sie die Anhänge dann erneut mit dem aktuellen Standardverschlüsselungsschlüssel. Der Anhang wird entschlüsselt, bevor er mit dem Standardschlüssel erneut verschlüsselt wird.

Vorbereitungen

Erforderliche Rolle: security_admin

Prozedur

Navigieren zu Alle > Konfiguration der Edge Encryption > Reserviert > Anhangsschlüsselrotation planenan.

Füllen Sie die entsprechenden Felder im Formular aus.


Feld	Wert
Name	Geben Sie einen beschreibenden Namen ein.
Auftragsart	Wählen Sie Anhangsschlüsselrotation.
Aktiv	Deaktivieren Sie das Häkchen, wenn Sie diesen Auftrag deaktivieren möchten.
Tabelle	Wählen Sie eine Tabelle.
Ausführen	Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
Wird gestartet	Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.

Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
Um eine geschätzte Anzahl von Datensätzen anzuzeigen, die aktualisiert werden sollen, klicken Sie auf Geschätzte Datensatzanzahl.
Um den Auftrag sofort auszuführen, klicken Sie auf Jetzt ausführen.