Effectuer la rotation des clés de chiffrement
Vous pouvez effectuer la rotation des clés de chiffrement principales associées à une base de données avec intelligence artificielle autonome sur une infrastructure Exadata dédiée à l'aide de la console Oracle Cloud Infrastructure.
Effectuer une rotation de la clé de chiffrement pour une base de données conteneur autonome
Politiques GIA requises
manage autonomous-container-databases
Procédure
- Allez à la page Détails de la base de données conteneur autonome dont la rotation de la clé doit être effectuée.
Pour obtenir des instructions, voir Voir les détails d'une base de données conteneur autonome.
- Sous Actions, cliquez sur Effectuer la rotation de la clé de chiffrement.
- (Facultatif) Pour utiliser une clé de chiffrement de client (BYOK), sélectionnez Effectuer la rotation à l'aide de la clé fournie par le client (BYOK). BYOK n'est pris en charge que dans Oracle Public Cloud.
- Pour un système de gestion des clés externe : Une version de clé est automatiquement affectée à chaque clé de tierce partie dans le module de sécurité matériel externe.
- Effectuez une rotation des clés de tierce partie dans le module de sécurité matériel externe afin que celui-ci génère une nouvelle version de clé.
- Copiez l'ID version de la clé pivotée et utilisez-la pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin que OCI Key Management (EKMS) puisse créer un nouvel OCID de version de clé.
- Copiez l'OCID de la nouvelle version de clé depuis EKMS.
- Pour les chambres fortes OCI : Entrez l'OCID de la clé de chiffrement de client importée dans OCID de la version de clé. L'OCID de la version de clé que vous entrez doit être associé à la clé de chiffrement courante de la base de données conteneur autonome.
- Pour un système de gestion des clés externe : Une version de clé est automatiquement affectée à chaque clé de tierce partie dans le module de sécurité matériel externe.
- Cliquez sur Effectuer la rotation de la clé de chiffrement.
La base de données conteneur autonome passe au statut Mise à jour, la rotation de la clé de chiffrement est effectuée et la base de données conteneur autonome reprend le statut Active. La façon dont la rotation de la clé de chiffrement varie selon que la clé est gérée par Oracle ou par le client :
- Clé gérée par Oracle : Base de données d'intelligence artificielle autonome effectue la rotation de la clé de chiffrement et stocke la nouvelle valeur dans le magasin de clés sécurisé du système Exadata où réside la base de données conteneur autonome.
- Clé gérée par le client : Base de données d'IA autonome utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données conteneur autonomes sur Oracle Public Cloud ou Oracle Key Vault (OKV) pour les bases de données conteneur autonomes sur Oracle Public Cloud ou Exadata Cloud@Customer) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données conteneur autonome.
Vous pouvez voir l'OCID de la dernière version de la clé et l'historique complet de la clé dans la page des détails de la base de données conteneur autonome.
Note :
En cas d'association Data Guard inter-région avec clés gérées par le client, la chambre forte répliquée utilisée par la base de secours est en lecture seule. Ainsi, lorsque la base de secours prend le rôle de base principale après un basculement, vous ne pouvez pas effectuer la rotation de la clé.
Effectuer la rotation de la clé de chiffrement d'une base de données d'IA autonome
Vous pouvez effectuer la rotation de la clé de chiffrement d'une base de données d'IA autonome à partir de sa page Détails.
- Allez à la page Détails de la base de données d'intelligence artificielle autonome dont la clé de chiffrement doit faire l'objet d'une rotation.
Pour obtenir des instructions, voir Voir les détails d'une base de données autonome d'IA dédiée.
-
Dans Oracle Public Cloud, cliquez sur Effectuer la rotation de la clé de chiffrement sous Actions supplémentaires et sur Exadata Cloud@Customer, cliquez sur Effectuer la rotation de la clé de chiffrement sous Actions.
- (Facultatif) Pour utiliser une clé de chiffrement de client (BYOK), sélectionnez Effectuer la rotation à l'aide de la clé fournie par le client (BYOK). BYOK n'est pris en charge que dans Oracle Public Cloud.
- Pour un système de gestion des clés externe : Une version de clé est automatiquement affectée à chaque clé de tierce partie dans le module de sécurité matériel externe.
- Effectuez une rotation des clés de tierce partie dans le module de sécurité matériel externe afin que celui-ci génère une nouvelle version de clé.
- Copiez l'ID version de la clé pivotée et utilisez-la pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin que OCI Key Management (EKMS) puisse créer un nouvel OCID de version de clé.
- Copiez l'OCID de la nouvelle version de clé depuis EKMS.
- Pour les chambres fortes OCI : Entrez l'OCID de la clé de chiffrement de client importée dans OCID de la version de clé. L'OCID de la version de clé que vous entrez doit être associé à la clé de chiffrement courante de la base de données conteneur autonome.
- Pour un système de gestion des clés externe : Une version de clé est automatiquement affectée à chaque clé de tierce partie dans le module de sécurité matériel externe.
- Cliquez sur Effectuer la rotation de la clé de chiffrement.
La base de données d'IA autonome passe au statut Mise à jour, la clé de chiffrement est pivotée et la base de données d'IA autonome revient au statut Actif. La façon dont la rotation de la clé de chiffrement est effectuée est différente selon que la clé est gérée par Oracle ou par le client :
- Clé gérée par Oracle : Base de données d'intelligence artificielle autonome effectue la rotation de la clé de chiffrement et stocke la nouvelle valeur dans le magasin de clés sécurisé du système Exadata où réside la base de données d'intelligence artificielle autonome.
- Customer-managed key: Autonomous AI Database uses the underlying technology (Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud or Oracle Key Vault (OKV) for Autonomous Container Databases on either Oracle Public Cloud or Exadata Cloud@Customer) to rotate the key and store the new value as a new version of the key in underlying technology, and then associates this new version with the Autonomous AI Database.
Vous pouvez voir l'OCID de la dernière version de clé et l'historique complet des clés à partir de la page de détails de la base de données d'intelligence artificielle autonome.
Note :
En cas d'association Data Guard inter-région avec clés gérées par le client, la chambre forte répliquée utilisée par la base de secours est en lecture seule. Ainsi, lorsque la base de secours prend le rôle de base principale après un basculement, vous ne pouvez pas effectuer la rotation de la clé.