Effectuer la rotation des clés de chiffrement

Vous pouvez effectuer la rotation des clés de chiffrement principales associées à une base de données du service d'intelligence artificielle autonome sur une infrastructure Exadata dédiée à l'aide de la console Oracle Cloud Infrastructure.

Effectuer une rotation de la clé de chiffrement pour une base de données conteneur autonome

Politiques GIA requises

manage autonomous-container-databases

Procédure

1. Allez à la page Détails de la base de données conteneur autonome dont vous voulez effectuer la rotation de la clé de chiffrement.

   Pour obtenir des instructions, voir Voir les détails d'une base de données conteneur autonome.

2. Sous Actions, cliquez sur Effectuer la rotation de la clé de chiffrement.

3. (Facultatif) Pour utiliser une clé de chiffrement de client (BYOK), sélectionnez Effectuer une rotation à l'aide de la clé fournie par le client (BYOK). BYOK n'est pris en charge que dans Oracle Public Cloud.

   • Pour le service de gestion de clés externe : Une version de clé du module de sécurité matériel externe est automatiquement affectée à chaque clé de tierce partie.

     • Effectuez une rotation des clés de tierce partie dans le module de sécurité matériel externe afin que ce dernier génère une nouvelle version de clé.

     • Copiez l'ID version de la clé pivotée et utilisez-la pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin que OCI Key Management (EKMS) puisse créer un nouvel OCID de version de clé.

     • Copiez l'OCID de la nouvelle version de clé à partir d'EKMS.

   • Pour les chambres fortes OCI : Entrez l'OCID de la clé de chiffrement de client importée dans OCID de la version de clé. L'OCID de la version de clé que vous entrez doit être associé à la clé de chiffrement courante de la base de données conteneur autonome.

4. Cliquez sur Effectuer la rotation de la clé de chiffrement.

La base de données conteneur autonome passe au statut Mise à jour, la clé de chiffrement est pivotée et la base de données conteneur autonome revient au statut Actif. La rotation de la clé de chiffrement dépend du fait qu'elle soit gérée par Oracle ou par le client :

• Clé gérée par Oracle : La base de données autonome d'IA fait pivoter la clé de chiffrement, stockant la nouvelle valeur dans le magasin de clés sécurisé sur le système Exadata où réside la base de données conteneur autonome.

• Clé gérée par le client : Autonomous AI Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données conteneur autonomes sur les déploiements Oracle Public Cloud et multinuages, ou Oracle Key Vault (OKV) pour les bases de données conteneur autonomes sur Oracle Public Cloud ou Exadata Cloud@Customer, ou AWS KMS pour Autonomous AI Database sur Oracle Database@AWS) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données conteneur autonome.

  La rotation de la clé AWS KMS génère un nouveau contexte de chiffrement pour la même clé.

  Vous pouvez voir l'OCID de la dernière version de la clé et l'historique complet de la clé dans la page des détails de la base de données conteneur autonome. Cela ne s'applique pas aux clés AWS KMS.

  Note : Dans le cas de Data Guard inter-région avec des clés gérées par le client, la chambre forte répliquée utilisée par la base de données de secours est en lecture seule. Ainsi, lorsque la base de secours prend le rôle de base principale après un basculement, vous ne pouvez pas effectuer la rotation de la clé.

Effectuer la rotation de la clé de chiffrement d'une base de données autonome avec intelligence artificielle

Vous pouvez effectuer la rotation de la clé de chiffrement d'une base de données d'IA autonome à partir de sa page Détails.

1. Allez à la page Détails de la base de données d'IA autonome dont vous voulez effectuer la rotation de la clé de chiffrement.

   Pour obtenir des instructions, voir Voir les détails d'une base de données dédiée à l'IA autonome.

2. Dans Oracle Public Cloud, cliquez sur Effectuer la rotation de la clé de chiffrement sous Actions supplémentaires et sur Exadata Cloud@Customer, cliquez sur Effectuer la rotation de la clé de chiffrement sous Actions.

3. (Facultatif) Pour utiliser une clé de chiffrement de client (BYOK), sélectionnez Effectuer une rotation à l'aide de la clé fournie par le client (BYOK). BYOK n'est pris en charge que dans Oracle Public Cloud.

   • Pour le service de gestion de clés externe : Une version de clé du module de sécurité matériel externe est automatiquement affectée à chaque clé de tierce partie.

     • Effectuez une rotation des clés de tierce partie dans le module de sécurité matériel externe afin que ce dernier génère une nouvelle version de clé.

     • Copiez l'ID version de la clé pivotée et utilisez-la pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin que OCI Key Management (EKMS) puisse créer un nouvel OCID de version de clé.

     • Copiez l'OCID de la nouvelle version de clé à partir d'EKMS.

   • Pour les chambres fortes OCI : Entrez l'OCID de la clé de chiffrement de client importée dans OCID de la version de clé. L'OCID de la version de clé que vous entrez doit être associé à la clé de chiffrement courante de la base de données conteneur autonome.

4. Cliquez sur Effectuer la rotation de la clé de chiffrement.

La base de données d'IA autonome passe au statut Mise à jour, la clé de chiffrement est pivotée et la base de données d'IA autonome revient au statut Actif. La façon dont la rotation de la clé de chiffrement est effectuée est différente selon que la clé est gérée par Oracle ou par le client :

• Clé gérée par Oracle : La base de données autonome d'IA fait pivoter la clé de chiffrement, stockant la nouvelle valeur dans le magasin de clés sécurisé sur le système Exadata où réside la base de données autonome d'IA.

• Clé gérée par le client : Autonomous AI Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données conteneur autonomes sur les déploiements Oracle Public Cloud et multinuages, ou Oracle Key Vault (OKV) pour les bases de données conteneur autonomes sur Oracle Public Cloud ou Exadata Cloud@Customer, ou AWS KMS pour Autonomous AI Database sur Oracle Database@AWS) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données conteneur autonome.

  La rotation de la clé AWS KMS génère un nouveau contexte de chiffrement pour la même clé.

  Vous pouvez voir l'OCID de la dernière version de la clé et l'historique complet de la clé dans la page des détails de la base de données conteneur autonome. Cela ne s'applique pas aux clés AWS KMS.

  Note : Dans le cas de Data Guard inter-région avec des clés gérées par le client, la chambre forte répliquée utilisée par la base de données de secours est en lecture seule. Ainsi, lorsque la base de secours prend le rôle de base principale après un basculement, vous ne pouvez pas effectuer la rotation de la clé.

Contenu connexe

Principales clés de chiffrement dans une base de données dédiée à l'IA autonome