Rotação de chaves de criptografia

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Execute a rotação da chave de criptografia da instância. Adicione uma nova chave, mude a atribuição de chave padrão e programe uma rotação de chave em massa ou uma rotação de chave única.

    Antes de definir uma chave de criptografia como a chave padrão, disponibilize-a para cada proxy. Isso garante que os proxies tenham a chave para criptografar dados quando ela for atribuída como padrão. Todos os proxies devem ter acesso a uma chave antes de ela ser atribuída como padrão.

    Aviso:
    Antes de excluir uma chave do proxy, configure e execute um trabalho de rotação de chave em massa para garantir que nenhum dado na instância a use. Se alguma informação ainda estiver criptografada com essa chave, você não poderá descriptografar as informações depois de exclui-la.

    Comportamento de classificação e filtragem de borda

    Sempre que mudar as chaves padrão, certifique-se de executar uma rotação de chave (seja em massa ou única). Caso contrário, você poderá receber resultados inesperados ao classificar e filtrar registros. Como exemplo, considere o seguinte cenário:
    1. Você cria registros criptografados usando uma chave de criptografia.
    2. Você cria uma nova chave e a define como padrão.
    3. Você cria um novo conjunto de registros criptografados usando a nova chave de criptografia.
    Se filtrar por qualquer campo criptografado quando conectado por meio do proxy do Edge, todos os registros podem não ser filtrados corretamente ou podem aparecer inesperadamente. O filtro funciona somente para registros criptografados usando a chave padrão atual. Os registros criptografados usando a chave padrão anterior ainda aparecem na exibição de lista.

    Se classificar por qualquer campo criptografado quando conectado por meio do proxy do Edge, você verá dois grupos de registros com o mesmo texto legível no campo criptografado.

    Programação de trabalho de rotação de chave única

    Programe um trabalho para localizar dados criptografados usando um alias de chave especificado e, em seguida, criptografar novamente os dados com a chave de criptografia padrão atual. Os dados são descriptografados antes de serem criptografados novamente com a chave padrão.

    Antes de Iniciar

    Função necessária: security_admin

    Antes de programar este trabalho, atualize a chave padrão em Configuração de Edge Encryption > Configuração de Chave de criptografia > Definir chaves padrão.

    Procedimento

    1. Navegar até Configuração de Edge Encryption > Manutenção > Programar rotação única de chaves.
    2. Preencha os campos do formulário, conforme apropriado.
      Campo Valor
      Nome Insira um nome descritivo.
      Tipo de trabalho Selecionar Rotação de chave única.
      Chave Insira a chave a ser descontinuada. Verifique se esta chave não é mais a chave padrão em Configuração de Edge Encryption > Configuração de Chave de criptografia > Definir chaves padrão.
      Estimar contagem de registros Número estimado total de registros para processar. Indisponível ao executar uma rotação de chave única.
      Processar registros históricos

      Selecione para processar registros históricos na tabela Auditoria se o campo for auditado. Ao criptografar registros históricos para um campo na tabela Auditoria, os valores novos e antigos serão criptografados. Este campo é somente leitura e ativo.

      Para saber mais sobre os campos auditados, consulte Auditoria.
      Estimar a contagem máxima de registros de auditoria Número estimado máximo de registros auditados para processar. Indisponível ao executar uma rotação de chave única.
      Ativo Desmarque esta caixa de seleção se quiser desativar esse trabalho.
      Executar Selecione o período entre as execuções do trabalho.
      Início Insira a data e a hora para executar o trabalho pela primeira vez.
    3. Clique no ícone de menu no cabeçalho do formulário e selecione Salvar.
      O campo Estimar contagem de registros não é compatível ao processar campos auditados.

    Programação de trabalho de rotação de chave em massa

    Programe um trabalho para localizar dados criptografados com qualquer chave anterior e, em seguida, criptografar novamente os dados com as chaves de criptografia padrão atuais. Os dados são descriptografados antes de serem criptografados novamente com a chave padrão atual.

    Antes de Iniciar

    Função necessária: security_admin

    Procedimento

    1. Navegar até Tudo > Configuração de Edge Encryption > Manutenção > Programar rotação em massa de chaves.
    2. Preencha os campos do formulário, conforme apropriado.
      Campo Valor
      Nome Insira um nome descritivo.
      Tipo de trabalho Selecionar Rotação de chave em massa.
      Estimar contagem de registros Número estimado total de registros para processar. Não disponível ao executar uma rotação de chave em massa.
      Processar registros históricos

      Selecione para processar registros históricos na tabela Auditoria se o campo for auditado. Ao criptografar registros históricos para um campo na tabela Auditoria, os valores novos e antigos serão criptografados. Este campo é somente leitura e ativo.

      Para saber mais sobre os campos auditados, consulte Auditoria.
      Estimar a contagem máxima de registros de auditoria Número estimado máximo de registros auditados para processar. Não disponível ao executar uma rotação de chave em massa.
      Ativo Desmarque esta caixa de seleção para desativar esse trabalho.
      Executar Selecione o período entre as execuções do trabalho.
      Início Insira a data e a hora para executar o trabalho pela primeira vez.
    3. Clique no ícone de menu no cabeçalho do formulário e selecione Salvar.
      O campo Estimar contagem de registros não é compatível ao processar campos auditados.

    Programação de trabalho de rotação de chave de anexo

    Programe um trabalho para localizar anexos criptografados usando um alias de chave especificado e, em seguida, criptografar novamente os anexos com a chave de criptografia padrão atual. Os anexos são descriptografados antes de serem criptografados novamente com a chave padrão.

    Antes de Iniciar

    Função necessária: security_admin

    Procedimento

    1. Navegar até Tudo > Configuração de Edge Encryption > Manutenção > Programar rotação de chave com anexo.
    2. Preencha os campos do formulário, conforme apropriado.
      Campo Valor
      Nome Insira um nome descritivo.
      Tipo de trabalho Selecione Rotação de chave de anexo
      Ativo Desmarque a marca de seleção se quiser desativar esse trabalho.
      Tabela Selecione uma tabela.
      Executar Selecione o período entre as execuções do trabalho.
      Início Insira a data e a hora para executar o trabalho pela primeira vez.
    3. Clique no ícone de menu no cabeçalho do formulário e selecione Salvar.
    4. Para visualizar uma contagem de registros estimada para ser atualizada, clique em Contagem de registros estimada.
    5. Para executar o trabalho imediatamente, clique em Executar agora.