Protección de la base de datos de IA autónoma (dedicada)

Obtén más información sobre los diversos métodos de protección de datos disponibles para Autonomous AI Database.

Cifrado de datos en tránsito

La base de datos de IA autónoma está protegida con cifrado de datos en tránsito por defecto. Esto garantiza que los datos que se mueven entre la aplicación y la base de datos estén protegidos contra la interceptación o la manipulación no autorizadas. Oracle Net Services soporta varios algoritmos de cifrado estándar del sector, como AES, DES, 3DES y RC4, para proteger los datos en tránsito. También ofrece algoritmos de hash MD5, SHA-1 y SHA-2 para verificar la integridad de los datos.

Todas las comunicaciones entre los clientes y la base de datos se cifran mediante Oracle Net Services (SQL*Net). Se admiten dos tipos de servicios de conexión:

Conexiones TCPS (TCP seguro)
- Utiliza TLS 1.2 o TLS 1.3.
- Requiere una cartera de conexión descargable.
- Garantiza el cifrado simétrico mediante un establecimiento de comunicación seguro mediante la cartera.
- La compatibilidad con TLS 1.3 está disponible a partir de Oracle AI Database 26ai.
Conexiones TCP con cifrado de red nativo
- Utiliza el protocolo de cifrado incorporado de Oracle.
- Negocia el cifrado durante la conexión (AES-256, AES-192, AES-128).
- No se necesita ninguna cartera, pero se deben conocer detalles de conexión como tnsnames.ora.

Los clientes (aplicaciones y herramientas) se conectan a una base de datos de IA autónoma mediante Oracle Net Services (también conocido como SQL*Net) y servicios de conexión de base de datos predefinidos. Oracle Autonomous AI Database proporciona dos tipos de servicios de conexión a base de información, cada uno con su propio método para cifrar datos en tránsito entre la base de información y el cliente.

Servicios de conexión de base de datos TCPS (TCP seguro)
- Utiliza el protocolo estándar del sector TLS 1.2 y TLS 1.3 (seguridad de capa de transporte) para las conexiones. Sin embargo, TLS 1.3 solo se admite en Oracle AI Database 23ai o posterior.
- Al crear una base de datos de IA autónoma, se genera una cartera de conexión que contiene todos la archivos necesarios para la conexión de un cliente mediante TCPS. Debe distribuir esta cartera solo a los clientes que necesitan acceso a la base de datos. La configuración del cliente utiliza información de la cartera para realizar el cifrado de datos de clave simétrica.
Servicios de conexión de base de datos TCP
- Utiliza el sistema criptográfico de cifrado de red nativa incorporado en Oracle Net Services para negociar y cifrar datos durante la transmisión. Para esta negociación, las bases de datos de IA autónomas se configuran para requerir cifrado mediante criptografía AES256, AES192 o AES128.
- Dado que el cifrado se negocia cuando se realiza la conexión, las conexiones TCP no necesitan la cartera de conexión necesaria para las conexiones TCPS. Sin embargo, el cliente seguirá necesitando información sobre los Servicios de Conexión a la Base de Datos. Esta información está disponible seleccionando Conexión de base de datos en la página Detalles de base de datos de IA autónoma de la base de datos en la consola de OCI y en el archivo tnsnames.ora incluido en el mismo archivo ZIP descargable que contiene los archivos necesarios para conectarse mediante TCPS.

Estos servicios se han diseñado para soportar distintos tipos de operaciones de base de datos:

tpurgent_tls y tpurgent: para operaciones de procesamiento de transacciones de prioridad alta, de tiempo crítico.
tp_tls y tp: para operaciones de procesamiento de transacciones típicas.
high_tls y high: para operaciones por lotes y de generación de informes de alta prioridad.
medium_tls y medium: para operaciones de generación de informes y lotes típicas.
low_tls y low: para operaciones por lotes y generación de informes de baja prioridad.

Esta captura de pantalla muestra la conexión a la base de datos.

Cifrado estático para Oracle AI Database@AWS

Oracle AI Database@AWS soporta el cifrado estático para proteger los datos confidenciales que residen en archivos de base de datos, copias de seguridad y archivos de configuración. Esta protección está activada por el cifrado de datos transparente (TDE), que garantiza que los datos se cifren siempre que se escriban en el almacenamiento persistente y se descifren de forma transparente cuando los procesos de Oracle autorizados acceden sin necesidad de configuración de cliente. La clave maestra cifra las claves de tablespace, que a su vez cifran los datos.

Cifrado de datos transparente (TDE)

El cifrado estático se proporciona a través de TDE, una función incluida en Oracle Advanced Security. TDE cifra automáticamente tablespaces, redo logs y logs de deshacer, lo que garantiza que todos los datos de la base de datos se escriban en el disco de forma cifrada y se descifren de forma transparente para usuarios y aplicaciones autorizados. Las copias de seguridad de bases de datos creadas mediante Oracle Recovery Manager (RMAN) o soluciones de copia de seguridad gestionadas adoptan estos valores de cifrado, lo que protege todas las copias de bases de datos almacenadas en medios físicos persistentes.

Gestión de claves

TDE utiliza una clave de cifrado maestra para proteger los tablespaces y las columnas. Para Oracle AI Database@AWS, hay dos opciones de gestión clave:

Claves gestionadas por Oracle: la clave de cifrado maestra se genera y almacena automáticamente en una instancia de Oracle Wallet, que está protegida en el entorno de base de datos. Oracle gestiona todas las tareas clave del ciclo de vida, incluidas las copias de seguridad y restauraciones.
Claves gestionadas por el cliente: puede integrarse con OCI Vault para generar y almacenar la clave de cifrado maestra fuera de la base de datos, lo que permite el control centralizado de claves, la gestión del ciclo de vida, la rotación y la auditoría de eventos de uso de claves. Con las claves gestionadas por el cliente, puede controlar las claves de cifrado utilizadas para proteger los datos. Puede activar claves gestionadas por el cliente al crear bases de datos, cambiar de claves gestionadas por Oracle a claves gestionadas por el cliente y rotar claves para cumplir los requisitos de seguridad y conformidad.

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure ofrece los siguientes métodos de cifrado de datos estáticos:

Clave Gestionada por Oracle (OMK)
Clave gestionada por cliente (CMK)
- Almacén de OCI
- Oracle Key Vault (OKV)
- Servicio de gestión de claves de AWS (AWS KMS)

La clave gestionada por Oracle (OMK) es el método por defecto para proteger el cifrado de datos en Oracle AI Database@AWS. En Oracle AI Database, el cifrado de datos estático se basa en TDE. Al seleccionar OMK, el sistema de base de datos maneja automáticamente toda la gestión de claves, incluida la generación de claves, el almacenamiento seguro y la rotación que requiere TDE. No se necesitan requisitos ni pasos de configuración adicionales para utilizar la clave gestionada por Oracle en Oracle AI Database@AWS.

Ver detalles de cifrado
Base de datos de contenedores autónoma
1. En el panel de control de Oracle AI Database@AWS, seleccione clusters de VM autónomos y, a continuación, seleccione la base de datos de IA autónoma que está utilizando.
2. Seleccione el botón Gestionar en OCI, que lo redirige a la consola de OCI.
3. En la consola de OCI, seleccione el separador Bases de datos de contenedores autónomas y, a continuación, seleccione la base de datos de contenedores autónoma en la que desea comprobar la gestión de claves.
4. En el separador Información de base de datos de contenedores autónoma, vaya a la sección Cifrado para ver los detalles de la clave de cifrado. Por defecto, la clave de cifrado se define en clave gestionada por Oracle.
Base de datos de IA autónoma
1. En el panel de control de Oracle AI Database@AWS, seleccione clusters de VM autónomos y, a continuación, seleccione el cluster de VM autónomo que está utilizando.
2. Seleccione el botón Gestionar en OCI, que le redirige a la consola de OCI.
3. En la consola de OCI, seleccione el separador Bases de datos de IA autónomas y, a continuación, seleccione la base de datos de IA autónoma en la que desea comprobar la gestión de claves.
4. En el separador Información de base de datos de IA autónoma, vaya a la sección Cifrado para ver los detalles de la clave de cifrado. Por defecto, la clave de cifrado se define en clave gestionada por Oracle.
Actualmente no hay contenido para esta página. El equipo de Oracle AI Database@AWS tiene la intención de agregar contenido aquí, y este texto de marcador de posición se proporciona hasta que se agrega ese texto.

El equipo de Oracle AI Database@AWS está entusiasmado con las nuevas funciones, mejoras y correcciones futuras de este producto y esta documentación adjunta. Le recomendamos encarecidamente que vea esta página para ver esas actualizaciones.
Actualmente no hay contenido para esta página. El equipo de Oracle AI Database@AWS tiene la intención de agregar contenido aquí, y este texto de marcador de posición se proporciona hasta que se agrega ese texto.

El equipo de Oracle AI Database@AWS está entusiasmado con las nuevas funciones, mejoras y correcciones futuras de este producto y esta documentación adjunta. Le recomendamos encarecidamente que vea esta página para ver esas actualizaciones.
Oracle Autonomous AI Database on Dedicated Infrastructure en Oracle AI Database@AWS admite la integración con AWS Key Management Service (KMS). Esta capacidad permite a los usuarios gestionar claves de cifrado maestras (MEK) de cifrado de datos transparente (TDE) mediante claves gestionadas por el cliente de AWS.

Para Oracle Autonomous AI Database on Dedicated Infrastructure en Oracle AI Database@AWS, las MEK de TDE se pueden almacenar en Oracle Wallet, Oracle Cloud Infrastructure (OCI) Vault, Oracle Key Vault (OKV) o AWS KMS basados en archivos, lo que proporciona opciones para alinearse con las políticas de seguridad específicas de la organización. La integración con AWS KMS permite que las aplicaciones, los servicios de AWS y las bases de datos en clusters de VM autónomos aprovechen una única solución centralizada de gestión de claves.
Para configurar AWS KMS para cifrar su base de datos, complete los pasos siguientes:
1. Crear o verificar el dominio de identidad de OCI
2. Activación del servicio de token de seguridad (STS) y AWS KMS en la red ODB
3. Configurar Proveedor de Identidad
4. Asociación de un rol de IAM a un cluster de VM autónomo
5. Crear una clave gestionada por el cliente
6. Registrar clave de KMS de AWS
7. Activar AWS KMS Management
8. Uso de AWS KMS como solución de gestión de claves durante la creación de la base de datos
1. Crear o verificar el dominio de identidad de OCI
  El dominio de identidad de OCI es un requisito previo antes de utilizar AWS KMS como solución de gestión de claves para sus bases de datos. El dominio de identidad de OCI actúa como proveedor de identidad y autentica la base de datos para permitir el acceso a AWS KMS.
  Nota
  
  La integración de AWS KMS suele estar disponible (GA) para los clientes de Oracle AI Database@AWS a partir del 20 de enero de 2026. Si ha completado los pasos de incorporación después de que la integración de AWS KMS se convirtiera en GA, el dominio de identidad de OCI ya se ha creado para usted. Siga los pasos de Verificación de dominio de identidad de OCI para confirmar su existencia. De lo contrario, siga los pasos de Configuración de dominio de identidad de OCI para completar este requisito.
  - Verificar dominio de identidad de OCI
    1. En la consola de AWS, seleccione Oracle Database@AWS y, a continuación, seleccione Configuración.
    2. Asegúrese de que el estado del dominio de identidad de OCI esté disponible.
  - Configurar dominio de identidad de OCI
    1. En la consola de AWS, seleccione Oracle Database@AWS y, a continuación, seleccione Configuración.
    2. Seleccione el botón Configurar. Aparecerá un mensaje de confirmación como Configuración del dominio de identidad de OCI iniciada correctamente.
    3. Verifique que el estado del dominio de identidad de OCI se haya actualizado a Disponible. También puede ver información adicional, incluidos el ID de dominio de identidad de OCI y la URL de dominio de identidad de OCI.
2. Activación del servicio de token de seguridad (STS) y AWS KMS en la red ODB
  Para utilizar AWS KMS para el cifrado de datos estáticos, la red de ODB debe tener activadas las integraciones Security Token Service (STS) y AWS KMS. Para obtener más información, siga los pasos Crear red de ODB o Modificar red de ODB.
  
  Nota
  
  Durante la creación o modificación de la red de ODB, la integración crea automáticamente reglas de seguridad de red que permiten la comunicación entre OCI y los servicios de AWS KMS y STS. Debe verificar estas reglas. Para obtener más información, consulte Verify Network Security Rules y Create Network Security Rules.
3. Configurar Proveedor de Identidad
  Para completar la configuración del proveedor de identidad, complete los pasos siguientes.
  1. En el panel de control de Oracle AI Database@AWS, seleccione clusters de VM autónomos y, a continuación, seleccione el cluster de VM autónomo correspondiente a la base de datos de IA autónoma para la que desea activar AWS KMS.
  2. En la página de detalles del cluster de VM, seleccione el separador Roles de servicio de IAM y, a continuación, seleccione el enlace CloudFormation. Esto abre la página Página de pila de creación rápida de AWS en un nuevo separador, rellenado previamente con la información de configuración necesaria.
  3. En la página Creación rápida de pila, la información rellenada previamente, como Nombre de pila, URL de dominio de identidad de OCI, OIDCProviderArn, ResourceOcid y RoleName. Acepte la casilla de control Acepto que AWS CloudFormation puede crear recursos de IAM con nombres de cliente y, a continuación, seleccione el botón Crear pila.
    Nota
    
    La pila CloudFormation crea un proveedor de OIDC ((OpenID Connect)) y un rol de IAM asociado. El proveedor de OIDC es único por cuenta.
    
    Si ejecuta la pila por primera vez, no es necesario que proporcione un valor para el campo OIDCProviderArn.
    
    Para cualquier tiempo de ejecución adicional, debe proporcionar el ARN del proveedor de OIDC existente y especificarlo en el campo OIDCProviderArn. Para obtener su ARN de proveedor de OIDC existente en su cuenta de AWS, complete los pasos siguientes.
    
    En la consola de AWS, vaya a IAM y, a continuación, seleccione Proveedores de identidad.
    
    En la lista Proveedores de identidad, puede filtrar el proveedor seleccionando Tipo como OpenID Connect.
    
    Seleccione el enlace Proveedor que se creó cuando se creó inicialmente la pila de CloudFormation.
    
    En la página Resumen, copie la información de ARN.
    
    Pegue la información de ARN en el campo OIDCProviderArn.
    
    Oracle AI Database utilizará el rol de proveedor de OIDC e IAM para acceder a las claves de AWS KMS para el cifrado y el descifrado. El rol proporciona aislamiento de nivel de recurso de OCI.
    
    Si no es necesario el aislamiento para los recursos de base de datos, los valores ResourceOcid y RoleName se deben dejar en blanco.
  4. Una vez completado el despliegue de pila de CloudFormation, vaya a la sección Recursos de la pila y verifique que se hayan creado los recursos IdP y Rol de IAM. Copie ARN de rol de IAM para los siguientes pasos.
4. Asociación de un rol de IAM a un cluster de VM autónomo
  Complete los siguientes pasos para asociar el rol de IAM a un cluster de VM autónomo. Este paso creará un conector de identidad que permita el acceso a los recursos de AWS.
  1. En la consola de AWS, seleccione Oracle AI Database@AWS.
  2. En el menú de la izquierda, seleccione Cluster de VM autónomo y, a continuación, seleccione el cluster de VM autónomo en la lista.
  3. Seleccione el separador Roles de servicio de IAM y, a continuación, seleccione el botón Asociar.
    1. El campo Integración de AWS es de solo lectura.
    2. Introduzca el nombre de recurso de Amazon (ARN) del rol de IAM que desea asociar al cluster de VM autónomo en el campo ARN de rol. Puede obtener la información de ARN de la sección Resumen del rol que creó anteriormente.
    3. Seleccione el botón Asociar para asociar el rol.
  4. Una vez completado el proceso de asociación, el estado de ARN de rol de servicio cambiará a Conectado.
    Nota
    
    Una vez que asocia un rol de IAM a su cluster de VM autónomo, se asocia un conector de identidad a él.
5. Crear una clave gestionada por el cliente
  1. En la consola de AWS, seleccione Key Management Service (KMS).
  2. En el menú de la izquierda, seleccione Claves gestionadas por el cliente y, a continuación, seleccione el botón Crear clave.
  3. En la sección Configurar clave, introduzca la siguiente información.
    1. Seleccione la opción Simétrica como Tipo de clave.
    2. Seleccione la opción Cifrar y descifrar como Uso de claves.
    3. Expanda la sección Opciones avanzadas. Se admiten KMS de AWS y AWS CloudHSM .
      
      Si desea utilizar KMS, seleccione la opción KMS: recomendado como origen de material clave y, a continuación, seleccione la opción Clave de una sola región o la opción Clave de varias regiones de la sección Regionalidad.
      Nota
      
      Actualmente, Data Guard entre regiones y la restauración de bases de datos en una región diferente no están soportadas para bases de datos que utilizan claves gestionadas por el cliente de AWS para la gestión de claves.
      
      Si desea utilizar AWS CloudHSM , seleccione la opción Almacén de claves de AWS CloudHSM como Origen de material clave.
    4. Seleccione el botón Siguiente para continuar con el proceso de creación.
  4. En la sección Agregar etiquetas, introduzca la siguiente información.
    1. Introduzca un nombre para mostrar descriptivo en el campo Alias. 256 caracteres como máximo. Utilice los caracteres alfanuméricos y '_-/'.
      Nota
      
      El nombre de alias no puede empezar por aws/. AWS reserva el prefijo aws/ para representar las claves gestionadas de AWS en su cuenta.
      
      Un alias es un nombre mostrado que se puede utilizar para identificar la clave de KMS. Le recomendamos que elija un alias que indique el tipo de datos que planea proteger o la aplicación que planea usar con KMSkey.
      
      Los alias son necesarios cuando se crea una clave de KMS en la consola AWS.
    2. El campo Descripción es opcional. Puede introducir una breve descripción de la clave.
    3. La sección Etiquetas es opcional. Puede utilizar etiquetas para clasificar e identificar sus claves de KMS y ayudarle a realizar un seguimiento de los costos de AWS.
    4. Seleccione el botón Siguiente para continuar con el proceso de creación.
  5. En la sección Definir permisos administrativos de claves, complete los siguientes pasos secundarios.
    1. Busque el rol que ha creado anteriormente y, a continuación, seleccione la casilla de control. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
      Nota
      
      Esta política clave proporciona a la cuenta de AWS el control total de esta clave de KMS. Permite a los administradores de cuentas utilizar políticas de IAM para otorgar permisos a otros principales para gestionar la clave de KMS.
    2. En la sección Supresión de claves, la casilla de control Permitir a los administradores de claves suprimir esta clave está seleccionada por defecto. Para evitar que los usuarios y roles de IAM seleccionados supriman la clave de KMS, puede anular la selección de la casilla de control.
    3. Seleccione el botón Siguiente para continuar con el proceso de creación.
  6. En la sección Definir permisos de uso de claves, complete los siguientes pasos secundarios.
    1. Busque el rol que ha creado anteriormente y, a continuación, seleccione la casilla de control.
    2. Seleccione el botón Siguiente para continuar con el proceso de creación.
  7. En la sección Editar política de claves, complete los siguientes pasos secundarios.
    1. En la sección Vista previa, puede revisar la política de claves. Si desea realizar un cambio, seleccione el separador Editar.
      { "Version": "2012-10-17", "Statement": [ { "Sid": "KMSKeyMetadata", "Effect": "Allow", "Principal": { "AWS": "<arn>" }, "Action": [ "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "KeyUsage", "Effect": "Allow", "Principal": { "AWS": "<arn>" }, "Action": [ "kms:Encrypt", "kms:Decrypt" ], "Resource": "*" } ] }
    2. Seleccione el botón Siguiente para continuar con el proceso de creación.
  8. En la sección Revisar, revise la información y, a continuación, seleccione el botón Terminar.
6. Registrar clave de KMS de AWS
  Para activar AWS KMS para su cluster de VM autónomo, primero debe registrar la clave de AWS KMS en la consola de OCI.
  1. En la consola de OCI, seleccione Oracle AI Database y, a continuación, seleccione Integraciones multinube de base de datos.
  2. Después de seleccionar Integraciones de bases de datos multinube, se abre la página por defecto.
  3. En el menú de la izquierda, seleccione el botón Anterior para desplazarse a Integración de AWS y, a continuación, seleccione Claves de AWS.
  4. Seleccione el botón Registrar claves de AWS y, a continuación, complete los siguientes pasos secundarios.
    
    En la lista desplegable, seleccione el compartimento en el que reside el cluster de VM autónomo.
    
    En la sección Claves de AWS, seleccione el conector de identidad en la lista desplegable.
    Nota
    
    Asegúrese de que el rol asociado al conector tenga el permiso DescribeKey en la clave. Este permiso es necesario para realizar correctamente la detección.
    
    El campo ARN clave es opcional.
    
    Haga clic en el botón Detectar.
  5. Una vez detectada la clave, seleccione el botón Registrar para registrar la clave en OCI.
7. Activar la gestión de claves de AWS
  1. En la consola de OCI, seleccione Oracle AI Database y, a continuación, seleccione Autonomous AI Database on Dedicated Infrastructure.
  2. En el menú de la izquierda, seleccione Clusters de VM de Exadadata autónomos.
  3. Seleccione el compartimento en el que desea ver la lista de clusters de VM de Exadata autónomos.
  4. Seleccione el cluster de VM de Exadata autónomo para ver los detalles.
  5. En la página Información general, vaya a la sección Información multinube y, a continuación, seleccione el botón Activar junto a AWS KMS.
    Nota
    
    Si no desea utilizar AWS KMS, puede desactivarla seleccionando el botón Desactivar. Esta acción desactivará la gestión de claves de AWS en el nivel de cluster de VM. La desactivación afectará a la disponibilidad de las bases de datos mediante la gestión de claves de AWS. Asegúrese de que ninguna base de datos esté utilizando actualmente la gestión de claves de AWS.
8. Uso de AWS KMS como solución de gestión de claves durante la creación de la base de datos
  Nota
  - Para ver la clave en el nivel de cluster de VM autónomo, debe ejecutar la siguiente política.
    Allow any-user to read oracle-db-aws-keys in compartment id <your-compartment-OCID> where all { request.principal.type = 'cloudautonomousvmcluster'}
  - Si AWS KMS está activado en el cluster de VM autónomo, solo puede crear bases de datos con cifrado de AWS KMS o cifrado de Oracle Wallet. No está soportada la creación de bases de datos con cifrado de Oracle Key Vault u OCI Vault.
  1. Complete los siguientes pasos descritos en la documentación de la base de datos de contenedores autónoma para crear una base de datos de contenedores autónoma.
  2. Vaya a la sección Clave de cifrado, que proporciona dos opciones. Estas opciones incluyen Cifrar con la clave gestionada por Oracle y Cifrar con la clave gestionada por el usuario en este arrendamiento.
  3. Seleccione el KMS de AWS como tipo de clave. Seleccione el compartimento y la clave en la lista desplegable.
  4. La sección Etiquetas es opcional.
  5. Revise la información y, a continuación, seleccione el botón Crear.
AWS KMS le permite rotar la clave en los niveles de base de datos de contenedores (CDB) y base de datos conectable (PDB) para cumplir con sus requisitos de conformidad de seguridad. Complete los siguientes pasos para rotar la clave:
1. 1. Rotación de la clave de KMS de AWS de una base de datos de contenedores (CDB)
    1. En la consola de OCI, seleccione Oracle AI Database y, a continuación, seleccione Autonomous AI Database on Dedicated Infrastructure.
    2. En el menú de la izquierda, seleccione Clusters de VM de Exadata autónomos y, a continuación, seleccione el cluster de VM de Exadata autónomo. Seleccione el separador Bases de datos de contenedores autónomas y, a continuación, seleccione la base de datos de contenedores autónoma que desea rotar las claves de cifrado.
    3. En la sección Información de base de datos de contenedores autónoma, verifique que Gestión de claves esté definido en KMS de AWS y, a continuación, seleccione el botón Acciones. En la lista, seleccione la opción Rotar clave de cifrado.
    4. Seleccione el botón Rotar clave de cifrado para confirmar los cambios.
    5. Puede ver el estado del proceso seleccionando el separador Solicitudes de trabajo.
  2. Rotación de la clave de KMS de AWS de una base de datos conectable (PDB)
    1. En la consola de OCI, seleccione Oracle AI Database y, a continuación, seleccione Autonomous AI Database on Dedicated Infrastructure.
    2. En el menú de la izquierda, seleccione base de datos de IA autónoma y, a continuación, seleccione el campo Nombre mostrado de la base de datos conectable que desea utilizar.
    3. Vaya a la sección Cifrado. La sección Cifrado muestra que la gestión de claves está definida como KMS de AWS. Seleccione el botón Acciones y, a continuación, seleccione la opción Rotar clave de cifrado.
    4. Seleccione el botón Rotar clave de cifrado para confirmar los cambios.
    5. Puede ver el estado del proceso seleccionando el separador Solicitudes de trabajo.