Rotar claves de cifrado

Puede rotar las claves de cifrado maestras asociadas a una base de datos de IA autónoma en una infraestructura de Exadata dedicada mediante la consola de Oracle Cloud Infrastructure.

Rotación de la clave de cifrado de una base de datos de contenedores autónoma

Políticas de IAM necesarias

manage autonomous-container-databases

Procedimiento

1. Vaya a la página Detalles de la base de datos de contenedores autónoma cuya clave de cifrado desea rotar.

   Para obtener instrucciones, consulte Visualización de detalles de una base de datos de contenedores autónoma.

2. En Acciones, haga clic en Rotar clave de cifrado.
3. (Opcional) Para utilizar una clave de cifrado de cliente (BYOK), seleccione Rotar mediante la clave proporcionada por el cliente (BYOK). BYOK solo está soportado en Oracle Public Cloud.
   • Para KMS externo: a cada clave de terceros se le asigna automáticamente una versión de clave en el HSM externo.
     • Rotar las claves de terceros en el HSM externo para que el HSM externo genere una nueva versión de clave.
     • Copie el ID de versión de la clave rotativa y utilícelo para rotar la referencia de clave en OCI Key Management (EKMS) para que OCI Key Management (EKMS) pueda crear un nuevo OCID de versión de clave.
     • Copie el OCID de versión de clave recién creado de EKMS.
   • Para almacenes de OCI: introduzca el OCID de la clave de cifrado de cliente importada en OCID de versión de clave. El OCID de versión de clave que introduzca debe estar asociado a la clave de cifrado actual de la base de datos de contenedores autónoma.
4. Haga clic en Rotar clave de cifrado.

La base de datos de contenedores autónoma pasa al estado Actualizando, se rota la clave de cifrado y la base de datos de contenedores autónoma vuelve al estado Activo. La forma en la que se rota la clave de cifrado depende de si está gestionada por Oracle o por el cliente:

• Clave gestionada por Oracle: la base de datos de IA autónoma rota la clave del cifrado, almacenando el nuevo valor en el almacén del sistema de claves seguras del sistema Exadata en el que reside la base de datos de contenedores autónoma.
• Clave gestionada por el usuario: Autonomous AI Database utiliza la tecnología subyacente (Oracle Cloud Infrastructure Vault para bases de datos de contenedores autónomas en Oracle Public Cloud u Oracle Key Vault (OKV) para bases de datos de contenedores autónomas en Oracle Public Cloud o Exadata Cloud@Customer) para rotar la clave y almacenar el nuevo valor como una nueva versión de la clave en la tecnología subyacente y, a continuación, asociar esta nueva versión a la base de datos de contenedores autónoma.

  Puede ver el OCID de la versión de clave más reciente y el historial de claves completo en la página de detalles de la base de datos de contenedores autónoma.

  Note:

  En el caso de Data Guard entre regiones con claves gestionadas por el cliente, el almacén replicado que utiliza la base de datos en espera es de solo lectura. Por lo tanto, cuando la base de datos en espera asume el rol principal en un failover, no puede rotar la clave.

Rotación de la clave de cifrado de una base de datos de IA autónoma

Puede rotar la clave de cifrado de una base de datos de IA autónoma desde su página Detalles.

1. Vaya a la página Detalles de la base de datos de IA autónoma cuya clave del cifrado desea rotar.

   Para obtener instrucciones, consulte Visualización de detalles de una base de datos de IA autónoma dedicada.

2. En Oracle Public Cloud, haga clic en Rotar clave de cifrado en Más acciones y, en Exadata Cloud@Customer, haga clic en Rotar clave de cifrado en Acciones.

3. (Opcional) Para utilizar una clave de cifrado de cliente (BYOK), seleccione Rotar mediante la clave proporcionada por el cliente (BYOK). BYOK solo está soportado en Oracle Public Cloud.
   • Para KMS externo: a cada clave de terceros se le asigna automáticamente una versión de clave en el HSM externo.
     • Rotar las claves de terceros en el HSM externo para que el HSM externo genere una nueva versión de clave.
     • Copie el ID de versión de la clave rotativa y utilícelo para rotar la referencia de clave en OCI Key Management (EKMS) para que OCI Key Management (EKMS) pueda crear un nuevo OCID de versión de clave.
     • Copie el OCID de versión de clave recién creado de EKMS.
   • Para almacenes de OCI: introduzca el OCID de la clave de cifrado de cliente importada en OCID de versión de clave. El OCID de versión de clave que introduzca debe estar asociado a la clave de cifrado actual de la base de datos de contenedores autónoma.
4. Haga clic en Rotar clave de cifrado.

La base de datos de IA autónoma pasa al estado Actualizando, se rota la clave del cifrado y la base de datos de IA autónoma vuelve al estado Activo. La forma en la que se rota la clave de cifrado depende de si está gestionada por Oracle o por el cliente:

• Clave gestionada por Oracle: Autonomous AI Database rota la clave del cifrado, almacenando el nuevo valor en el almacén del sistema de Exadata en el que reside la base de datos de IA autónoma.
• Clave gestionada por el consumidor: Autonomous AI Database utiliza la tecnología subyacente (Oracle Cloud Infrastructure Vault para bases de datos de contenedores autónomas en Oracle Public Cloud u Oracle Key Vault (OKV) para bases de datos de contenedores autónomas en Oracle Public Cloud o Exadata Cloud@Customer) para rotar la clave y almacenar el nuevo valor como una nueva versión de la clave en la tecnología subyacente y, a continuación, asociar esta nueva versión a la base de datos de IA autónoma.

  Puede ver el OCID de las versiones de clave más recientes y el historial de claves completo en la página de detalles de la base de datos de IA autónoma.

  Note:

  En el caso de Data Guard entre regiones con claves gestionadas por el cliente, el almacén replicado que utiliza la base de datos en espera es de solo lectura. Por lo tanto, cuando la base de datos en espera asume el rol principal en un failover, no puede rotar la clave.

---

Título e Información de Copyright

Copyright ©2021,2025,

Oracle y/o sus filiales.