Verschlüsselungsschlüssel Rotieren

Mit der Oracle Cloud Infrastructure-Konsole können Sie die Masterverschlüsselungsschlüssel rotieren, die mit einer autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur verknüpft sind.

Verschlüsselungsschlüssel einer autonomen Containerdatenbank rotieren

Erforderliche IAM-Policys

manage autonomous-container-databases

Vorgehensweise

1. Gehen Sie zur Seite Details der autonomen Containerdatenbank, deren Verschlüsselungsschlüssel Sie rotieren möchten.

   Anweisungen finden Sie unter Details einer autonomen Containerdatenbank anzeigen.

2. Klicken Sie unter Aktionen auf Verschlüsselungsschlüssel rotieren.

3. (Optional) Um einen Kundenverschlüsselungsschlüssel (BYOK) zu verwenden, wählen Sie Mit dem vom Kunden bereitgestellten Schlüssel (BYOK) rotieren aus. BYOK wird nur in Oracle Public Cloud unterstützt.

   • Für externes KMS: Jedem Fremdschlüssel wird automatisch eine Schlüsselversion im externen HSM zugewiesen.

     • Drehen Sie die Fremdschlüssel im externen HSM, sodass vom externen HSM eine neue Schlüsselversion generiert wird.

     • Kopieren Sie die Versions-ID des rotierten Schlüssels, und rotieren Sie damit die Schlüsselreferenz in OCI Key Management (EKMS), sodass OCI Key Management (EKMS) eine neue Schlüsselversions-OCID erstellen kann.

     • Kopieren Sie die neu erstellte Schlüsselversions-OCID aus EKMS.

   • Für OCI-Vaults: Geben Sie die OCID des importierten Kundenverschlüsselungsschlüssels in der Schlüsselversions-OCID ein. Die eingegebene Schlüsselversions-OCID muss mit dem aktuellen Verschlüsselungsschlüssel der autonomen Containerdatenbank verknüpft sein.

4. Klicken Sie auf Verschlüsselungsschlüssel drehen.

Die autonome Containerdatenbank geht in den Status Wird aktualisiert über, der Verschlüsselungsschlüssel wird rotiert, und die autonome Containerdatenbank kehrt wieder in den Status Aktiv zurück. Wie der Verschlüsselungsschlüssel rotiert wird, hängt davon ab, ob er von Oracle oder dem Kunden verwaltet wird:

• Von Oracle verwalteter Schlüssel: Autonome KI-Datenbank rotiert den Verschlüsselungsschlüssel, in dem der neue Wert im sicheren Keystore auf dem Exadata-System gespeichert wird, in dem sich die autonome Containerdatenbank befindet.

• Vom Kunden verwalteter Schlüssel: Autonomous AI Database verwendet die zugrunde liegende Technologie (Oracle Cloud Infrastructure Vault für autonome Containerdatenbanken auf Oracle Public Cloud- und Multicloud-Deployments oder Oracle Key Vault (OKV) für autonome Containerdatenbanken auf Oracle Public Cloud oder Exadata Cloud@Customer) oder AWS KMS for Autonomous AI Database auf Oracle Database@AWS), um den Schlüssel zu rotieren und den neuen Wert als neue Version des Schlüssels in der zugrunde liegenden Technologie zu speichern. Anschließend wird diese neue Version mit der autonomen Containerdatenbank verknüpft.

  Durch Drehen des AWS KMS-Schlüssels wird ein neuer Verschlüsselungskontext für denselben Schlüssel generiert.

  Sie können die neueste Schlüsselversion-OCID und die gesamte Schlüsselhistorie auf der Detailseite der autonomen Containerdatenbank anzeigen. Dies gilt nicht für AWS KMS-Schlüssel.

  Hinweis: Bei regionsübergreifendem Data Guard mit von Kunden verwalteten Schlüsseln ist der von der Standbydatenbank verwendete replizierte Vault schreibgeschützt. Wenn also die Standbydatenbank die primäre Rolle bei einem Failover übernimmt, können Sie den Schlüssel nicht rotieren.

Verschlüsselungsschlüssel einer autonomen KI-Datenbank rotieren

Sie rotieren den Verschlüsselungsschlüssel einer autonomen KI-Datenbank auf der Seite Details.

1. Gehen Sie zur Seite Details der autonomen KI-Datenbank, deren Verschlüsselungsschlüssel Sie rotieren möchten.

   Anweisungen finden Sie unter Details einer dedizierten autonomen KI-Datenbank anzeigen.

2. Klicken Sie in Oracle Public Cloud unter Weitere Aktionen auf Verschlüsselungsschlüssel rotieren, und klicken Sie auf Exadata Cloud@Customer unter Aktionen auf Verschlüsselungsschlüssel rotieren.

3. (Optional) Um einen Kundenverschlüsselungsschlüssel (BYOK) zu verwenden, wählen Sie Mit dem vom Kunden bereitgestellten Schlüssel (BYOK) rotieren aus. BYOK wird nur in Oracle Public Cloud unterstützt.

   • Für externes KMS: Jedem Fremdschlüssel wird automatisch eine Schlüsselversion im externen HSM zugewiesen.

     • Drehen Sie die Fremdschlüssel im externen HSM, sodass vom externen HSM eine neue Schlüsselversion generiert wird.

     • Kopieren Sie die Versions-ID des rotierten Schlüssels, und rotieren Sie damit die Schlüsselreferenz in OCI Key Management (EKMS), sodass OCI Key Management (EKMS) eine neue Schlüsselversions-OCID erstellen kann.

     • Kopieren Sie die neu erstellte Schlüsselversions-OCID aus EKMS.

   • Für OCI-Vaults: Geben Sie die OCID des importierten Kundenverschlüsselungsschlüssels in der Schlüsselversions-OCID ein. Die eingegebene Schlüsselversions-OCID muss mit dem aktuellen Verschlüsselungsschlüssel der autonomen Containerdatenbank verknüpft sein.

4. Klicken Sie auf Verschlüsselungsschlüssel drehen.

Die autonome KI-Datenbank wechselt zum Status Wird aktualisiert, der Verschlüsselungsschlüssel wird rotiert, und die autonome KI-Datenbank kehrt in den Status Aktiv zurück. Wie der Verschlüsselungsschlüssel rotiert wird, hängt davon ab, ob er von Oracle oder vom Kunden verwaltet wird:

• Von Oracle verwalteter Schlüssel: Autonome KI-Datenbank rotiert den Verschlüsselungsschlüssel, in dem der neue Wert im sicheren Keystore auf dem Exadata-System gespeichert wird, in dem sich die autonome KI-Datenbank befindet

• Vom Kunden verwalteter Schlüssel: Autonomous AI Database verwendet die zugrunde liegende Technologie (Oracle Cloud Infrastructure Vault für autonome Containerdatenbanken in Oracle Public Cloud- und Multicloud-Deployments oder Oracle Key Vault (OKV) für autonome Containerdatenbanken in Oracle Public Cloud oder Exadata Cloud@Customer) oder AWS KMS for Autonomous AI Database auf Oracle Database@AWS), um den Schlüssel zu rotieren und den neuen Wert als neue Version des Schlüssels in der zugrunde liegenden Technologie zu speichern. Anschließend wird diese neue Version mit der autonomen Containerdatenbank verknüpft.

  Durch Drehen des AWS KMS-Schlüssels wird ein neuer Verschlüsselungskontext für denselben Schlüssel generiert.

  Sie können die neueste Schlüsselversion-OCID und die gesamte Schlüsselhistorie auf der Detailseite der autonomen Containerdatenbank anzeigen. Dies gilt nicht für AWS KMS-Schlüssel.

  Hinweis: Bei regionsübergreifendem Data Guard mit von Kunden verwalteten Schlüsseln ist der von der Standbydatenbank verwendete replizierte Vault schreibgeschützt. Wenn also die Standbydatenbank die primäre Rolle bei einem Failover übernimmt, können Sie den Schlüssel nicht rotieren.

Verwandte Inhalte

Masterverschlüsselungsschlüssel in dedizierter autonomer KI-Datenbank