Verschlüsselungsschlüssel rotieren

Sie können die Masterverschlüsselungsschlüssel, die mit einer Autonomous Database on Dedicated Exadata Infrastructure verknüpft sind, mit der Oracle Cloud Infrastructure-Konsole rotieren.

Verschlüsselungsschlüssel einer autonomen Containerdatenbank rotieren

Erforderliche IAM-Policys

manage autonomous-container-databases

Prozedur

  1. Gehen Sie zur Seite Details der autonomen Containerdatenbank, deren Verschlüsselungsschlüssel Sie rotieren möchten.

    Anweisungen finden Sie unter Details einer autonomen Containerdatenbank anzeigen.

  2. Klicken Sie unter Aktionen auf Verschlüsselungsschlüssel rotieren.
  3. (Optional) Um einen Kundenverschlüsselungsschlüssel (BYOK) zu verwenden, wählen Sie Mit dem vom Kunden bereitgestellten Schlüssel (BYOK) rotieren aus. BYOK wird nur in Oracle Public Cloud unterstützt.
    • Für externes KMS: Jedem Schlüssel eines Drittanbieters wird automatisch eine Schlüsselversion im externen HSM zugewiesen.
      • Drehen Sie die Schlüssel von Drittanbietern im externen HSM, damit das externe HSM eine neue Schlüsselversion generiert.
      • Kopieren Sie die Versions-ID des rotierten Schlüssels, und rotieren Sie damit die Schlüsselreferenz in OCI Key Management (EKMS), damit OCI Key Management (EKMS) eine neue Schlüsselversions-OCID erstellen kann.
      • Kopieren Sie die neu erstellte Schlüsselversions-OCID aus EKMS.
    • Für OCI-Vaults: Geben Sie die OCID des importierten Kundenverschlüsselungsschlüssels in der Schlüsselversions-OCID ein. Die eingegebene Schlüsselversions-OCID muss mit dem aktuellen Verschlüsselungsschlüssel der autonomen Containerdatenbank verknüpft sein.
  4. Klicken Sie auf Verschlüsselungsschlüssel rotieren.
Die autonome Containerdatenbank geht in den Status Aktualisieren über, der Verschlüsselungsschlüssel wird rotiert, und die autonome Containerdatenbank wird wieder in den Status Aktiv versetzt. Wie der Verschlüsselungsschlüssel rotiert wird, hängt davon ab, ob er von Oracle oder vom Kunden verwaltet wird:
  • Von Oracle verwalteter Schlüssel: Autonomous Database rotiert den Verschlüsselungsschlüssel und speichert den neuen Wert im sicheren Keystore im Exadata-System, in dem sich die autonome Containerdatenbank befindet.
  • Vom Kunden verwalteter Schlüssel: Autonomous Database verwendet die zugrunde liegende Technologie (Oracle Cloud Infrastructure Vault für autonome Containerdatenbanken auf Oracle Public Cloud oder Oracle Key Vault (OKV) für autonome Containerdatenbanken auf Oracle Public Cloud oder Exadata Cloud@Customer), um den Schlüssel zu rotieren und den neuen Wert als neue Version des Schlüssels in der zugrunde liegenden Technologie zu speichern. Anschließend wird diese neue Version mit der autonomen Containerdatenbank verknüpft.

    Sie können die neueste Schlüsselversion-OCID und die gesamte Schlüsselhistorie auf der Detailseite der autonomen Containerdatenbank anzeigen.

    Hinweis:

    Bei regionsübergreifenden Data Guard-Instanzen mit vom Kunden verwalteten Schlüsseln ist der von der Standbydatenbank verwendete replizierte Vault schreibgeschützt. Wenn also die Standbydatenbank die primäre Rolle bei einem Failover übernimmt, können Sie den Schlüssel nicht rotieren.

Verschlüsselungsschlüssel von Autonomous Database rotieren

Sie rotieren den Verschlüsselungsschlüssel von einer Autonomous Database auf der Seite Details.

  1. Gehen Sie zur Seite Details der Autonomous Database, deren Verschlüsselungsschlüssel Sie rotieren möchten.

    Anweisungen finden Sie unter Details einer dedizierten autonomen Datenbank anzeigen.

  2. On Oracle Public Cloud, click Rotate Encryption Key under More actions, and on Exadata Cloud@Customer, click Rotate Encryption Key under Actions.

  3. (Optional) Um einen Kundenverschlüsselungsschlüssel (BYOK) zu verwenden, wählen Sie Mit dem vom Kunden bereitgestellten Schlüssel (BYOK) rotieren aus. BYOK wird nur in Oracle Public Cloud unterstützt.
    • Für externes KMS: Jedem Schlüssel eines Drittanbieters wird automatisch eine Schlüsselversion im externen HSM zugewiesen.
      • Drehen Sie die Schlüssel von Drittanbietern im externen HSM, damit das externe HSM eine neue Schlüsselversion generiert.
      • Kopieren Sie die Versions-ID des rotierten Schlüssels, und rotieren Sie damit die Schlüsselreferenz in OCI Key Management (EKMS), damit OCI Key Management (EKMS) eine neue Schlüsselversions-OCID erstellen kann.
      • Kopieren Sie die neu erstellte Schlüsselversions-OCID aus EKMS.
    • Für OCI-Vaults: Geben Sie die OCID des importierten Kundenverschlüsselungsschlüssels in der Schlüsselversions-OCID ein. Die eingegebene Schlüsselversions-OCID muss mit dem aktuellen Verschlüsselungsschlüssel der autonomen Containerdatenbank verknüpft sein.
  4. Klicken Sie auf Verschlüsselungsschlüssel rotieren.
Autonomous Database wechselt zum Status Wird aktualisiert, der Verschlüsselungsschlüssel wird rotiert, und Autonomous Database kehrt zum Status Aktiv zurück. Wie der Verschlüsselungsschlüssel rotiert wird, hängt davon ab, ob er von Oracle oder vom Kunden verwaltet wird:
  • Von Oracle verwalteter Schlüssel: Autonomous Database rotiert den Verschlüsselungsschlüssel und speichert den neuen Wert im sicheren Keystore im Exadata-System, in dem sich die Autonomous Database befindet.
  • Vom Kunden verwalteter Schlüssel: Autonomous Database verwendet die zugrunde liegende Technologie (Oracle Cloud Infrastructure Vault für autonome Containerdatenbanken in Oracle Public Cloud oder Oracle Key Vault (OKV) für autonome Containerdatenbanken in Oracle Public Cloud oder Exadata Cloud@Customer), um den Schlüssel zu rotieren und den neuen Wert als neue Version des Schlüssels in der zugrunde liegenden Technologie zu speichern. Anschließend wird diese neue Version mit der Autonomous Database verknüpft.

    Sie können die neueste Schlüsselversion-OCID und die gesamte Schlüsselhistorie auf der Detailseite von Autonomous Database anzeigen.

    Hinweis:

    Bei regionsübergreifenden Data Guard-Instanzen mit vom Kunden verwalteten Schlüsseln ist der von der Standbydatenbank verwendete replizierte Vault schreibgeschützt. Wenn also die Standbydatenbank die primäre Rolle bei einem Failover übernimmt, können Sie den Schlüssel nicht rotieren.