Rotación de claves de cifrado

Puede rotar las claves de cifrado maestras asociadas a una base de datos de IA autónoma en una infraestructura de Exadata dedicada mediante la consola de Oracle Cloud Infrastructure.

Rotación de la clave de cifrado de una base de datos de contenedores autónoma

Políticas de IAM necesarias

manage autonomous-container-databases

Procedimiento

1. Vaya a la página Detalles de la base de datos de contenedores autónoma cuya clave de cifrado desea rotar.

   Para obtener instrucciones, consulte Visualización de detalles de una base de datos de contenedores autónoma.

2. En Acciones, haga clic en Rotar clave de cifrado.

3. (Opcional) Para usar una clave de cifrado de cliente (BYOK), seleccione Rotar con la clave proporcionada por el cliente (BYOK). BYOK solo está soportado en Oracle Public Cloud.

   • Para KMS externo: a cada clave de terceros se le asigna automáticamente una versión de clave en el HSM externo.

     • Rote las claves de terceros en el HSM externo para que el HSM externo genere una nueva versión de clave.

     • Copie el ID de versión de la clave girada y utilícelo para rotar la referencia de clave en OCI Key Management (EKMS) para que OCI Key Management (EKMS) pueda crear un nuevo OCID de versión de clave.

     • Copie el OCID de versión de clave recién creado de EKMS.

   • Para OCI Vaults: introduzca el OCID de la clave de cifrado de cliente importada en OCID de versión de clave. El OCID de versión de clave que introduzca debe estar asociado a la clave de cifrado actual de la base de datos de contenedores autónoma.

4. Haga clic en Rotar clave de cifrado.

La base de datos de contenedores autónoma pasa al estado Actualizando, se rota la clave del cifrado y la base de datos de contenedores autónoma vuelve al estado Activo. El modo en el que se rotan las claves de cifrado depende si están gestionadas por Oracle o por el cliente:

• Clave gestionada por Oracle: la base de datos de IA autónoma rota la clave encriptada, almacenando el nuevo valor en el almacén del sistema de claves seguras del sistema Exadata en el que reside la base de datos de contenedores autónoma.

• Clave gestionada por el cliente: la base de datos de IA autónoma utiliza la tecnología subyacente (Oracle Cloud Infrastructure Vault para bases de datos de contenedores autónomas en implementaciones de Oracle Public Cloud y multinube, u Oracle Key Vault (OKV) para bases de datos de contenedores autónomas en Oracle Public Cloud o Exadata Cloud@Customer, o AWS KMS for Autonomous AI Database on Oracle Database@AWS) para rotar la clave y almacenar el nuevo valor como una nueva versión de la clave en la tecnología subyacente y, a continuación, asociar esta nueva versión a la base de datos de contenedores autónoma.

  La rotación de la clave de AWS KMS genera un nuevo contexto de cifrado para la misma clave.

  Puede ver el OCID de la versión de clave más reciente y el historial de claves completo en la página de detalles de la base de datos de contenedores autónoma. Esto no se aplica a las claves de AWS KMS.

  Nota: en el caso de Data Guard entre distintas regiones con claves gestionadas por la cliente, el almacén replicado utilizado por la base de datos en espera es de solo lectura. Por lo tanto, cuando la base de datos en espera asume el rol principal en un failover, no puede rotar la clave.

Rotación de la clave de cifrado de una base de datos de IA autónoma

Puede rotar la clave de cifrado de una base de datos de IA autónoma desde su página Detalles.

1. Vaya a la página Detalles de la base de datos de IA autónoma cuya clave de cifrado desea rotar.

   Para obtener instrucciones, consulte Visualización de detalles de una base de datos de IA autónoma dedicada.

2. En Oracle Public Cloud, haga clic en Rotar clave de cifrado en Más acciones y, en Exadata Cloud@Customer, haga clic en Rotar clave de cifrado en Acciones.

3. (Opcional) Para usar una clave de cifrado de cliente (BYOK), seleccione Rotar mediante la clave proporcionada por el cliente (BYOK). BYOK solo está soportado en Oracle Public Cloud.

   • Para KMS externo: a cada clave de terceros se le asigna automáticamente una versión de clave en el HSM externo.

     • Rote las claves de terceros en el HSM externo para que el HSM externo genere una nueva versión de clave.

     • Copie el ID de versión de la clave girada y utilícelo para rotar la referencia de clave en OCI Key Management (EKMS) para que OCI Key Management (EKMS) pueda crear un nuevo OCID de versión de clave.

     • Copie el OCID de versión de clave recién creado de EKMS.

   • Para OCI Vaults: introduzca el OCID de la clave de cifrado de cliente importada en OCID de versión de clave. El OCID de versión de clave que introduzca debe estar asociado a la clave de cifrado actual de la base de datos de contenedores autónoma.

4. Haga clic en Rotar clave de cifrado.

La base de datos de IA autónoma pasará al estado Actualizando, se rotará la clave del cifrado y la base de datos de IA autónoma volverá al estado Activo. La forma en la que se rota la clave de cifrado depende de si está gestionada por Oracle o por el cliente:

• Clave gestionada por Oracle: la base de datos de IA autónoma rota la clave encriptada, almacenando el nuevo valor en el almacén en el que reside la base de datos de IA autónoma del sistema de Exadata.

• Clave gestionada por el cliente: la base de datos de IA autónoma utiliza la tecnología subyacente (Oracle Cloud Infrastructure Vault para bases de datos de contenedores autónomas en implementaciones de Oracle Public Cloud y multinube, u Oracle Key Vault (OKV) para bases de datos de contenedores autónomas en Oracle Public Cloud o Exadata Cloud@Customer, o AWS KMS for Autonomous AI Database on Oracle Database@AWS) para rotar la clave y almacenar el nuevo valor como una nueva versión de la clave en la tecnología subyacente y, a continuación, asociar esta nueva versión a la base de datos de contenedores autónoma.

  La rotación de la clave de AWS KMS genera un nuevo contexto de cifrado para la misma clave.

  Puede ver el OCID de la versión de clave más reciente y el historial de claves completo en la página de detalles de la base de datos de contenedores autónoma. Esto no se aplica a las claves de AWS KMS.

  Nota: en el caso de Data Guard entre distintas regiones con claves gestionadas por la cliente, el almacén replicado utilizado por la base de datos en espera es de solo lectura. Por lo tanto, cuando la base de datos en espera asume el rol principal en un failover, no puede rotar la clave.

Contenido relacionado

Claves de cifrado maestras en base de datos de IA autónoma dedicada