Verschlüsselungsschlüssel verwalten

Dieser Artikel enthält Details zu Verschlüsselungs- und Verschlüsselungsschlüsseln.

Oracle Base Database Service verschlüsselt Daten, die in Tabellen und Tablespaces gespeichert sind, mit Transparent Data Encryption (TDE).

Transparente Datenverschlüsselung
Base Database Service verschlüsselt und entschlüsselt alle vom Benutzer erstellten Tablespaces mit TDE.
Verschlüsselungsschlüssel
Sie können die Datenbank mit Ihren eigenen Verschlüsselungsschlüsseln ("kundenverwaltete Schlüssel") verschlüsseln oder von Oracle verwaltete Schlüssel verwenden. Standardmäßig verwendet Base Database Service von Oracle verwaltete Schlüssel. Der vom Kunden verwaltete Schlüssel wird im OCI Vault gespeichert, der sich außerhalb des Datenbankhosts befindet.
OCI Vault-Schlüssel
Im OCI Vault sind die Verschlüsselungsschlüssel logische Entitys, die mindestens eine Schlüsselversion enthalten, die für die Verschlüsselung und Entschlüsselung verwendet wird. Diese Schlüsselversionen können automatisch von OCI Vault generiert oder aus einer externen Quelle importiert werden (Bring-Your-Own-Key).

Weitere Informationen finden Sie unter Einführung in transparente Datenverschlüsselung und OCI Vault-Schlüsselverwaltung.

Erforderliche IAM-Policy

Wenn Sie eine Datenbank mit Ihren eigenen Verschlüsselungsschlüsseln verschlüsseln möchten, müssen Sie eine dynamische Gruppe erstellen und der Gruppe bestimmte Policys für vom Kunden verwaltete Verschlüsselungsschlüssel zuweisen. Siehe Thema Dynamische Gruppen verwalten und Verwalten von Vaults, Schlüsseln und Secrets durch Sicherheitsadministratoren zulassen unter Allgemeine Policys.

Verwandte Themen

Allgemeine Informationen

Beim Erstellen eines neuen DB-Systems wird der Containerdatenbank und der integrierbaren Datenbank ein Schlüssel zugewiesen.

Die Schlüsselversion wird, sofern angegeben, nur für die Containerdatenbank und nicht für die integrierbare Datenbank verwendet. Der integrierbaren Datenbank wird eine automatisch generierte neue Schlüsselversion zugewiesen. Bestimmte Schlüsselversionen können den integrierbaren Datenbanken während der Erstellung nicht zugewiesen werden.

Die integrierbare Datenbank verwendet immer denselben Schlüssel wie die Containerdatenbank, jedoch mit derselben oder einer anderen Schlüsselversion.

Sie können eine beliebige Schlüsselversion angeben, einschließlich der neuesten Version des ausgewählten Schlüssels.

Standardmäßig wird die Datenbank mit von Oracle verwalteten Schlüsseln konfiguriert. Sie können sie jedoch mit vom Kunden verwalteten Schlüsseln konfigurieren.

Verschlüsselungsschlüssel rotieren

Der Vorgang "Verschlüsselungsschlüssel rotieren" generiert eine neue Schlüsselversion für denselben Schlüssel.

Sie können beliebig viele Schlüsselrotationen ausführen. Durch regelmäßiges Rotieren der Schlüssel wird die Datenmenge begrenzt, die von einer einzelnen Schlüsselversion verschlüsselt oder signiert wird. Die Historie der pensionierten Schlüssel wird ebenfalls beibehalten, sodass Sie den Schlüssel rotieren und weiterhin Daten entschlüsseln können, die von einem früheren Schlüssel verschlüsselt wurden.

Der Rotationsschlüssel auf Containerdatenbank- und integrierbaren Datenbankebenen funktioniert unabhängig voneinander. Beim Rotieren des Schlüssels in einer Containerdatenbank werden Schlüssel in den integrierbaren Datenbanken nicht rotiert. Ebenso rotiert das Rotieren von Schlüsseln in einer integrierbaren Datenbank keine Schlüssel in anderen integrierbaren Datenbanken oder ihrer Containerdatenbank.

Um sicherzustellen, dass Sie die neueste Version verwenden, rotieren Sie Schlüssel auf der Seite mit den Datenbankdetails in der OCI-Konsole anstelle der Konsolenseite des Vault-Service.

Hinweis:

Das Rotieren der Verschlüsselungsschlüssel ist für Datenbanken, die eine von Oracle verwaltete Verschlüsselung verwenden, nicht verfügbar.

Informationen zum Rotieren eines Verschlüsselungsschlüssels mit der OCI-Konsole finden Sie unter Verschlüsselungsschlüssel für eine Datenbank rotieren und Verschlüsselungsschlüssel für eine integrierbare Datenbank rotieren.

Schlüsselversion zuweisen

Sie können neue Schlüsselversionen sowohl für Containerdatenbanken als auch für integrierbare Datenbanken erstellen und zuweisen. Nur die Schlüsselversion kann geändert werden. Der Schlüssel kann nicht geändert werden.

Informationen zum Zuweisen der Schlüsselversion mit der OCI-Konsole finden Sie unter Neue Schlüsselversion für eine Datenbank zuweisen und Neue Schlüsselversion für eine integrierbare Datenbank zuweisen.

Schlüsselverwaltung ändern

Sie können von von von Oracle verwalteten Schlüsseln zu vom Kunden verwalteten Schlüsseln in vorhandenen Datenbanken wechseln. Der Wechsel von benutzerdefinierten Schlüsseln zu Oracle-managed Keys wird jedoch nicht unterstützt.

Wenn ein Schlüssel für eine Containerdatenbank geändert wird, wird er auch automatisch auf eine integrierbare Datenbank angewendet. Der Schlüssel einer integrierbaren Datenbank kann nicht unabhängig geändert werden. Die integrierbare Datenbank verwendet immer denselben Schlüssel wie die Containerdatenbank, kann jedoch dieselbe oder eine andere Schlüsselversion verwenden.

Wenn Sie zu vom Kunden verwalteten Schlüsseln wechseln, müssen die Containerdatenbank und alle ihre integrierbaren Datenbanken geöffnet sein. Außerdem müssen sich alle Tablespaces im Lese-/Schreibmodus befinden.

Informationen zum Ändern des Schlüsselverwaltungstyps mit der OCI-Konsole finden Sie unter Schlüsselverwaltungstyp für eine Datenbank ändern.

Integrierbare Datenbank klonen, remote klonen und umspeichern

Die geklonte Datenbank verwendet beim Klonen eines DB-Systems, das vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, dieselbe Schlüsselversion wie die Quelldatenbank.

Die Quell- und Zieldatenbank müssen denselben Schlüssel verwenden, können jedoch eine andere Schlüsselversion aufweisen. Der Remoteklon- oder -umspeicherungsvorgang ist nicht erfolgreich, wenn die Quell- und Zieldatenbank unterschiedliche Schlüssel verwenden.

Die Schlüssel werden nach Remoteklon- und -umspeicherungsvorgängen im Zielschlüssel-Vault rotiert. Daher werden neue Schlüsselversionen für die entfernte geklonte oder umgespeicherte integrierbare Datenbank in der Zieldatenbank generiert.