Sandbox 组织中 EKM

当您创建、刷新或复制 Sandbox 时，Sandbox 会保留对用于加密 Sandbox 继承的数据的密钥的有限（只读）访问权限。这是为了您可以解密内容。

提供有限的 EKM 密钥访问权限对于确保您的 Sandbox 组织获得一致的体验至关重要。我们强烈建议您在新创建的 Sandbox 组织中轮换密钥，并立即通过加密统计信息同步数据。通过轮换密钥，您可以避免在原始加密密钥停用或销毁时可能发生的复杂情况。更具体地说：

• 为了访问源组织的密钥，Sandbox 必须在使用 EKM 时共享源组织的区域。
• 考虑源组织的外部 KMS 密钥策略中的更改，这些更改限制了源组织对数据加密密钥的访问。这些更改会传播到 Sandbox 组织，这些组织在更改时仍然依赖于这些密钥。如果您轮换密钥，您的 Sandbox 不会受到源组织密钥策略更改的影响。
• 我们建议您仅在轮换密钥并同步原始 Sandbox 中的所有加密数据后复制 Sandbox。
• 对密钥的访问权限会在 Sandbox 创建、刷新或复制时自动扩展。在永久 Sandbox 组织删除时，我们也删除对基于 EKM 的密钥的此类访问权限。
• 当您复制 Sandbox 组织（使用 EKM 密钥）时，访问权限仅扩展到属于源 Sandbox 组织的 EKM 密钥，而不是 Sandbox 组织在创建原始 Sandbox 和复制之间继承的任何密钥。