Rotar claves de cifrado

Puede rotar las claves de cifrado maestras asociadas a una instancia de Autonomous Database on Dedicated Exadata Infrastructure mediante la consola de Oracle Cloud Infrastructure.

Rotación de la clave de cifrado de una base de datos de contenedores autónoma

Políticas de IAM necesarias

manage autonomous-container-databases

Procedimiento

1. Vaya a la página Detalles de la base de datos de contenedores autónoma cuya clave de cifrado desea rotar.

   Para obtener instrucciones, consulte Visualización de detalles de una base de datos de contenedores autónoma.

2. En Acciones, haga clic en Rotar clave de cifrado.
3. (Opcional) Para utilizar una clave de cifrado de cliente (BYOK), seleccione Rotar mediante la clave proporcionada por el cliente (BYOK). BYOK solo está soportado en Oracle Public Cloud.
   • Para KMS externo: a cada clave de terceros se le asigna automáticamente una versión de clave en el HSM externo.
     • Rotar las claves de terceros en el HSM externo para que el HSM externo genere una nueva versión de clave.
     • Copie el ID de versión de la clave rotativa y utilícelo para rotar la referencia de clave en OCI Key Management (EKMS) para que OCI Key Management (EKMS) pueda crear un nuevo OCID de versión de clave.
     • Copie el OCID de versión de clave recién creado de EKMS.
   • Para almacenes de OCI: introduzca el OCID de la clave de cifrado de cliente importada en OCID de versión de clave. El OCID de versión de clave que introduzca debe estar asociado a la clave de cifrado actual de la base de datos de contenedores autónoma.
4. Haga clic en Rotar clave de cifrado.

La base de datos de contenedores autónoma pasa al estado Actualizando, se rota la clave de cifrado y la base de datos de contenedores autónoma vuelve al estado Activo. La forma en la que se rota la clave de cifrado depende de si está gestionada por Oracle o por el cliente:

• clave gestionada por Oracle: Autonomous Database rota la clave de cifrado, almacenando el nuevo valor en el almacén de claves seguras del sistema de Exadata en el que reside la base de datos de contenedores autónoma.
• clave gestionada por el cliente: Autonomous Database utiliza la tecnología subyacente (Oracle Cloud Infrastructure Vault para bases de datos de contenedores autónomas en Oracle Public Cloud u Oracle Key Vault (OKV) para bases de datos de contenedores autónomas en Oracle Public Cloud o Exadata Cloud@Customer) para rotar la clave y almacenar el nuevo valor como una nueva versión de la clave en la tecnología subyacente y, a continuación, asocia esta nueva versión a la base de datos de contenedores autónoma.

  Puede ver el OCID de la versión de clave más reciente y el historial de claves completo en la página de detalles de la base de datos de contenedores autónoma.

  Note:

  En el caso de Data Guard entre regiones con claves gestionadas por el cliente, el almacén replicado que utiliza la base de datos en espera es de solo lectura. Por lo tanto, cuando la base de datos en espera asume el rol principal en un failover, no puede rotar la clave.

Rotación de la clave de cifrado de una instancia de Autonomous Database

Rotación de la clave de cifrado de una instancia de Autonomous Database desde su página Detalles.

1. Vaya a la página Detalles de la Autonomous Database cuya clave de cifrado desea rotar.

   Para obtener instrucciones, consulte Visualización de detalles de una instancia de Autonomous Database dedicada.

2. En Oracle Public Cloud, haga clic en Rotar clave de cifrado en Más acciones y, en Exadata Cloud@Customer, haga clic en Rotar clave de cifrado en Acciones.

3. (Opcional) Para utilizar una clave de cifrado de cliente (BYOK), seleccione Rotar mediante la clave proporcionada por el cliente (BYOK). BYOK solo está soportado en Oracle Public Cloud.
   • Para KMS externo: a cada clave de terceros se le asigna automáticamente una versión de clave en el HSM externo.
     • Rotar las claves de terceros en el HSM externo para que el HSM externo genere una nueva versión de clave.
     • Copie el ID de versión de la clave rotativa y utilícelo para rotar la referencia de clave en OCI Key Management (EKMS) para que OCI Key Management (EKMS) pueda crear un nuevo OCID de versión de clave.
     • Copie el OCID de versión de clave recién creado de EKMS.
   • Para almacenes de OCI: introduzca el OCID de la clave de cifrado de cliente importada en OCID de versión de clave. El OCID de versión de clave que introduzca debe estar asociado a la clave de cifrado actual de la base de datos de contenedores autónoma.
4. Haga clic en Rotar clave de cifrado.

Autonomous Database pasará al estado Actualizando, se rotará la clave de cifrado y Autonomous Database volverá al estado Activo. La forma en la que se rota la clave de cifrado depende de si está gestionada por Oracle o por el cliente:

• clave gestionada por Oracle: Autonomous Database rota la clave de cifrado, almacenando el nuevo valor en el almacén de claves seguras del sistema de Exadata en el que reside Autonomous Database.
• Clave gestionada por el usuario: Autonomous Database utiliza la tecnología subyacente (Oracle Cloud Infrastructure Vault para bases de datos de contenedores autónomas en Oracle Public Cloud u Oracle Key Vault (OKV) para bases de datos de contenedores autónomas en Oracle Public Cloud o Exadata Cloud@Customer) para rotar la clave y almacenar el nuevo valor como una nueva versión de la clave en la tecnología subyacente y, a continuación, asociar esta nueva versión a Autonomous Database.

  Puede ver el OCID de la versión de clave más reciente y el historial de claves completo en la página de detalles de la instancia de Autonomous Database.

  Note:

  En el caso de Data Guard entre regiones con claves gestionadas por el cliente, el almacén replicado que utiliza la base de datos en espera es de solo lectura. Por lo tanto, cuando la base de datos en espera asume el rol principal en un failover, no puede rotar la clave.

---

Título e Información de Copyright

Copyright ©2021,2025,

Oracle y/o sus filiales.