Acerca de la gestión de claves de cifrado maestras en Autonomous Database
Autonomous Database proporciona dos opciones para el cifrado de datos transparente (TDE) para cifrar la base de datos: claves de cifrado gestionadas por Oracle y claves de cifrado gestionadas por el cliente.
Autonomous Database utiliza el cifrado de datos transparente, incluidas una clave maestra de TDE y claves de tablespace de TDE para cifrar los datos de la base de datos. Como se muestra en la siguiente figura, la clave maestra de TDE genera y cifra o descifra las claves de tablespace de TDE, y las claves de tablespace de TDE cifran los archivos de datos.
- Claves de cifrado maestras gestionadas por Oracle en Autonomous Database
Por defecto, Autonomous Database utiliza claves de cifrado gestionadas por Oracle. - Claves de cifrado gestionadas por el cliente en Autonomous Database
Si las políticas de seguridad de su organización requieren claves de cifrado gestionadas por el cliente, puede configurar Autonomous Database para que utilice una clave de cifrado maestra de Oracle Cloud Infrastructure Vault. Con las claves de cifrado maestras gestionadas por el cliente, Autonomous Database utiliza la clave de cifrado maestra para generar la clave maestra de TDE. - Acerca de la rotación de claves de cifrado gestionadas por el cliente en Autonomous Database
Describe cómo rotar claves de cifrado gestionadas por el cliente en Autonomous Database.
Tema principal: Gestión de claves de cifrado en Autonomous Database
Claves de cifrado maestras gestionadas por Oracle en Autonomous Database
Por defecto, Autonomous Database utiliza claves de cifrado gestionadas por Oracle.
Con las claves gestionadas por Oracle, Autonomous Database crea y gestiona las claves de cifrado que protegen los datos y Oracle gestiona la rotación de la clave maestra de TDE.
Claves de cifrado gestionadas por el cliente en Autonomous Database
Si las políticas de seguridad de su organización requieren claves de cifrado gestionadas por el cliente, puede configurar Autonomous Database para utilizar una clave de cifrado maestra de Oracle Cloud Infrastructure Vault. Con las claves de cifrado maestras gestionadas por el cliente, Autonomous Database utiliza la clave de cifrado maestra para generar la clave maestra de TDE.
Atención:
La clave de cifrado gestionada por el cliente se almacena en Oracle Cloud Infrastructure Vault, de forma externa al host de la base de datos. Si la clave de cifrado gestionada por el cliente está desactivada o se ha suprimido, no se podrá acceder a la base de datos.Utilice claves de cifrado gestionadas por el cliente realizando los siguientes pasos:
-
Cree una clave de cifrado maestra en Oracle Cloud Infrastructure Vault.
Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Autonomous Database para obtener más información.
-
Seleccione claves de cifrado gestionadas por el cliente en la consola de Oracle Cloud Infrastructure:
-
Para una base de datos existente, seleccione Gestionar clave de cifrado en la consola de Oracle Cloud Infrastructure.
-
Durante el aprovisionamiento, en Opciones avanzadas, en el separador Clave de cifrado, seleccione Encriptar utilizando una clave gestionada por el cliente en este arrendamiento o Encriptar utilizando una clave gestionada por el cliente ubicada en un arrendamiento remoto.
-
While cloning, under Advanced Options, on the Encryption Key tab select either Encrypt using customer-managed key in this tenancy or Encrypt using a customer-managed key located in a remote tenancy.
-
Acerca de la rotación de claves de cifrado gestionadas por el cliente en Autonomous Database
Describe cómo rotar claves de cifrado gestionadas por el cliente en Autonomous Database.
Al rotar la clave de cifrado maestra gestionada por el cliente, Autonomous Database genera una nueva clave maestra de TDE y utiliza la nueva clave maestra de TDE para volver a cifrar las claves de cifrado de tablespace que cifran y descifran los datos. Esta operación se lleva a cabo de forma rápida y no requiere tiempo de inactividad de la base de datos. No cambia las claves de tablespace ni vuelve a cifrar los datos del cliente.
Con la consola de Oracle Cloud Infrastructure, puede rotar una clave de cifrado maestra de Oracle Cloud Infrastructure Vault con el comando Rotar clave. Esta es una acción independiente y no genera una nueva clave de cifrado maestra para la instancia de Autonomous Database. Para rotar la clave de cifrado maestra de la instancia de Autonomous Database, cree una nueva clave de cifrado maestra en Oracle Cloud Infrastructure Vault y siga los siguientes pasos.
Para rotar las claves de cifrado gestionadas por el cliente:
-
Cree una nueva clave de cifrado maestra en Oracle Cloud Infrastructure Vault. Si ya tiene varias claves de cifrado maestras, seleccione una clave de cifrado maestra que sea diferente de la clave que está utilizando como clave de cifrado maestra para la instancia de Autonomous Database.
Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Autonomous Database para obtener más información.
-
Rote la clave de cifrado maestra desde la consola de Oracle Cloud Infrastructure:
Consulte Uso de claves de cifrado gestionadas por el cliente con el almacén ubicado en el arrendamiento local para obtener más información.