Verschlüsselungsschlüssel rotieren

Sie können die Masterverschlüsselungsschlüssel, die mit einer Autonomous AI Database on Dedicated Exadata Infrastructure verknüpft sind, mit der Oracle Cloud Infrastructure-Konsole rotieren.

Verschlüsselungsschlüssel einer autonomen Containerdatenbank rotieren

Erforderliche IAM-Policys

manage autonomous-container-databases

Prozedur

1. Gehen Sie zur Seite Details der autonomen Containerdatenbank, deren Verschlüsselungsschlüssel Sie rotieren möchten.

   Anweisungen finden Sie unter Details einer autonomen Containerdatenbank anzeigen.

2. Klicken Sie unter Aktionen auf Verschlüsselungsschlüssel rotieren.
3. (Optional) Um einen Kundenverschlüsselungsschlüssel (BYOK) zu verwenden, wählen Sie Mit dem vom Kunden bereitgestellten Schlüssel (BYOK) rotieren aus. BYOK wird nur in Oracle Public Cloud unterstützt.
   • Für externes KMS: Jedem Schlüssel eines Drittanbieters wird automatisch eine Schlüsselversion im externen HSM zugewiesen.
     • Drehen Sie die Schlüssel von Drittanbietern im externen HSM, damit das externe HSM eine neue Schlüsselversion generiert.
     • Kopieren Sie die Versions-ID des rotierten Schlüssels, und rotieren Sie damit die Schlüsselreferenz in OCI Key Management (EKMS), damit OCI Key Management (EKMS) eine neue Schlüsselversions-OCID erstellen kann.
     • Kopieren Sie die neu erstellte Schlüsselversions-OCID aus EKMS.
   • Für OCI-Vaults: Geben Sie die OCID des importierten Kundenverschlüsselungsschlüssels in der Schlüsselversions-OCID ein. Die eingegebene Schlüsselversions-OCID muss mit dem aktuellen Verschlüsselungsschlüssel der autonomen Containerdatenbank verknüpft sein.
4. Klicken Sie auf Verschlüsselungsschlüssel rotieren.

Die autonome Containerdatenbank geht in den Status Aktualisieren über, der Verschlüsselungsschlüssel wird rotiert, und die autonome Containerdatenbank wird wieder in den Status Aktiv versetzt. Wie der Verschlüsselungsschlüssel rotiert wird, hängt davon ab, ob er von Oracle oder vom Kunden verwaltet wird:

• Von Oracle verwalteter Schlüssel: Autonome KI-Datenbank rotiert den Verschlüsselungsschlüssel, und speichert den neuen Wert im sicheren Keystore in dem Exadata-System, in dem sich die autonome Containerdatenbank befindet.
• Vom Kunden verwalteter Schlüssel: Autonomous AI Database verwendet die zugrunde liegende Technologie (Oracle Cloud Infrastructure Vault für autonome Containerdatenbanken in Oracle Public Cloud- und Multicloud-Deployments oder Oracle Key Vault (OKV) für autonome Containerdatenbanken in Oracle Public Cloud oder Exadata Cloud@Customer, oder AWS KMS für Autonomous AI Database on Oracle Database@AWS), um den Schlüssel zu rotieren und den neuen Wert als neue Version des Schlüssels in der zugrunde liegenden Technologie zu speichern. Anschließend wird diese neue Version mit der autonomen Containerdatenbank verknüpft.

  Durch Drehen des AWS KMS-Schlüssels wird ein neuer Verschlüsselungskontext für denselben Schlüssel generiert.

  Sie können die neueste Schlüsselversion-OCID und die gesamte Schlüsselhistorie auf der Detailseite der autonomen Containerdatenbank anzeigen. Dies gilt nicht für AWS KMS-Schlüssel.

  Hinweis:

  Bei regionsübergreifenden Data Guard-Instanzen mit vom Kunden verwalteten Schlüsseln ist der von der Standbydatenbank verwendete replizierte Vault schreibgeschützt. Wenn also die Standbydatenbank die primäre Rolle bei einem Failover übernimmt, können Sie den Schlüssel nicht rotieren.

Verschlüsselungsschlüssel einer autonomen KI-Datenbank rotieren

Sie rotieren den Verschlüsselungsschlüssel einer autonomen KI-Datenbank auf der Seite Details.

1. Gehen Sie zur Seite Details der autonomen KI-Datenbank, deren Verschlüsselungsschlüssel Sie rotieren möchten.

   Anweisungen finden Sie unter Details einer dedizierten autonomen KI-Datenbank anzeigen.

2. On Oracle Public Cloud, click Rotate Encryption Key under More actions, and on Exadata Cloud@Customer, click Rotate Encryption Key under Actions.

3. (Optional) Um einen Kundenverschlüsselungsschlüssel (BYOK) zu verwenden, wählen Sie Mit dem vom Kunden bereitgestellten Schlüssel (BYOK) rotieren aus. BYOK wird nur in Oracle Public Cloud unterstützt.
   • Für externes KMS: Jedem Schlüssel eines Drittanbieters wird automatisch eine Schlüsselversion im externen HSM zugewiesen.
     • Drehen Sie die Schlüssel von Drittanbietern im externen HSM, damit das externe HSM eine neue Schlüsselversion generiert.
     • Kopieren Sie die Versions-ID des rotierten Schlüssels, und rotieren Sie damit die Schlüsselreferenz in OCI Key Management (EKMS), damit OCI Key Management (EKMS) eine neue Schlüsselversions-OCID erstellen kann.
     • Kopieren Sie die neu erstellte Schlüsselversions-OCID aus EKMS.
   • Für OCI-Vaults: Geben Sie die OCID des importierten Kundenverschlüsselungsschlüssels in der Schlüsselversions-OCID ein. Die eingegebene Schlüsselversions-OCID muss mit dem aktuellen Verschlüsselungsschlüssel der autonomen Containerdatenbank verknüpft sein.
4. Klicken Sie auf Verschlüsselungsschlüssel rotieren.

Die autonome KI-Datenbank wechselt zum Status Wird aktualisiert, der Verschlüsselungsschlüssel wird rotiert, und die autonome KI-Datenbank kehrt zum Status Aktiv zurück. Wie der Verschlüsselungsschlüssel rotiert wird, hängt davon ab, ob er von Oracle oder vom Kunden verwaltet wird:

• Von Oracle verwalteter Schlüssel: Autonomous AI Database rotiert den Verschlüsselungsschlüssel, und speichert den neuen Wert im sicheren Keystore in dem Exadata-System, in dem sich die autonome KI-Datenbank befindet.
• Vom Kunden verwalteter Schlüssel: Autonomous AI Database verwendet die zugrunde liegende Technologie (Oracle Cloud Infrastructure Vault für autonome Containerdatenbanken in Oracle Public Cloud- und Multicloud-Deployments oder Oracle Key Vault (OKV) für autonome Containerdatenbanken in Oracle Public Cloud oder Exadata Cloud@Customer, oder AWS KMS für Autonomous AI Database on Oracle Database@AWS), um den Schlüssel zu rotieren und den neuen Wert als neue Version des Schlüssels in der zugrunde liegenden Technologie zu speichern. Anschließend wird diese neue Version mit der autonomen Containerdatenbank verknüpft.

  Durch Drehen des AWS KMS-Schlüssels wird ein neuer Verschlüsselungskontext für denselben Schlüssel generiert.

  Sie können die neueste Schlüsselversion-OCID und die gesamte Schlüsselhistorie auf der Detailseite der autonomen Containerdatenbank anzeigen. Dies gilt nicht für AWS KMS-Schlüssel.

  Hinweis:

  Bei regionsübergreifenden Data Guard-Instanzen mit vom Kunden verwalteten Schlüsseln ist der von der Standbydatenbank verwendete replizierte Vault schreibgeschützt. Wenn also die Standbydatenbank die primäre Rolle bei einem Failover übernimmt, können Sie den Schlüssel nicht rotieren.

---

Titel und Copyright-Informationen

Copyright ©2021,2026,

Oracle und/oder verbundene Unternehmen.