Effectuer la rotation des clés de chiffrement
Vous pouvez effectuer la rotation des clés de chiffrement principales associées à une infrastructure Autonomous Database sur une infrastructure Exadata dédiée à l'aide de la console Oracle Cloud Infrastructure.
Effectuer une rotation de la clé de chiffrement pour une base de données conteneur autonome
Politiques GIA requises
manage autonomous-container-databases
Procédure
- Allez à la page Détails de la base de données conteneur autonome dont la rotation de la clé doit être effectuée.
Pour obtenir des instructions, voir Voir les détails d'une base de données conteneur autonome.
- Sous Actions, cliquez sur Effectuer la rotation de la clé de chiffrement.
- (Facultatif) Pour utiliser une clé de chiffrement de client (BYOK), sélectionnez Effectuer la rotation à l'aide de la clé fournie par le client (BYOK). BYOK n'est pris en charge que dans Oracle Public Cloud.
- Pour un système de gestion des clés externe : Une version de clé est automatiquement affectée à chaque clé de tierce partie dans le module de sécurité matériel externe.
- Effectuez une rotation des clés de tierce partie dans le module de sécurité matériel externe afin que celui-ci génère une nouvelle version de clé.
- Copiez l'ID version de la clé pivotée et utilisez-la pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin que OCI Key Management (EKMS) puisse créer un nouvel OCID de version de clé.
- Copiez l'OCID de la nouvelle version de clé depuis EKMS.
- Pour les chambres fortes OCI : Entrez l'OCID de la clé de chiffrement de client importée dans OCID de la version de clé. L'OCID de la version de clé que vous entrez doit être associé à la clé de chiffrement courante de la base de données conteneur autonome.
- Pour un système de gestion des clés externe : Une version de clé est automatiquement affectée à chaque clé de tierce partie dans le module de sécurité matériel externe.
- Cliquez sur Effectuer la rotation de la clé de chiffrement.
La base de données conteneur autonome passe au statut Mise à jour, la rotation de la clé de chiffrement est effectuée et la base de données conteneur autonome reprend le statut Active. La façon dont la rotation de la clé de chiffrement varie selon que la clé est gérée par Oracle ou par le client :
- Clé gérée par Oracle : Autonomous Database effectue la rotation de la clé de chiffrement et stocke la nouvelle valeur dans le magasin de clés sécurisé du système Exadata où réside la base de données conteneur autonome.
- Clé gérée par le client : Autonomous Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données conteneur autonomes sur Oracle Public Cloud ou Oracle Key Vault (OKV) pour les bases de données conteneur autonomes sur Oracle Public Cloud ou Exadata Cloud@Customer) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données conteneur autonome.
Vous pouvez voir l'OCID de la dernière version de la clé et l'historique complet de la clé dans la page des détails de la base de données conteneur autonome.
Note :
En cas d'association Data Guard inter-région avec clés gérées par le client, la chambre forte répliquée utilisée par la base de secours est en lecture seule. Ainsi, lorsque la base de secours prend le rôle de base principale après un basculement, vous ne pouvez pas effectuer la rotation de la clé.
Effectuer une rotation de la clé de chiffrement pour une base de données Autonomous Database
Vous effectuez la rotation de la clé de chiffrement d'une base de données Autonomous Database à partir de sa page Détails.
- Allez à la page Détails de Autonomous Database dont la clé de chiffrement doit faire l'objet d'une rotation.
Pour obtenir des instructions, voir Voir les détails d'une base de données autonome dédiée.
-
Dans Oracle Public Cloud, cliquez sur Effectuer la rotation de la clé de chiffrement sous Actions supplémentaires et sur Exadata Cloud@Customer, cliquez sur Effectuer la rotation de la clé de chiffrement sous Actions.
- (Facultatif) Pour utiliser une clé de chiffrement de client (BYOK), sélectionnez Effectuer la rotation à l'aide de la clé fournie par le client (BYOK). BYOK n'est pris en charge que dans Oracle Public Cloud.
- Pour un système de gestion des clés externe : Une version de clé est automatiquement affectée à chaque clé de tierce partie dans le module de sécurité matériel externe.
- Effectuez une rotation des clés de tierce partie dans le module de sécurité matériel externe afin que celui-ci génère une nouvelle version de clé.
- Copiez l'ID version de la clé pivotée et utilisez-la pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin que OCI Key Management (EKMS) puisse créer un nouvel OCID de version de clé.
- Copiez l'OCID de la nouvelle version de clé depuis EKMS.
- Pour les chambres fortes OCI : Entrez l'OCID de la clé de chiffrement de client importée dans OCID de la version de clé. L'OCID de la version de clé que vous entrez doit être associé à la clé de chiffrement courante de la base de données conteneur autonome.
- Pour un système de gestion des clés externe : Une version de clé est automatiquement affectée à chaque clé de tierce partie dans le module de sécurité matériel externe.
- Cliquez sur Effectuer la rotation de la clé de chiffrement.
Autonomous Database passe au statut Mise à jour, la rotation de la clé de chiffrement est effectuée et Autonomous Database revient au statut Actif. La façon dont la rotation de la clé de chiffrement est effectuée est différente selon que la clé est gérée par Oracle ou par le client :
- Clé gérée par Oracle : Autonomous Database effectue la rotation de la clé de chiffrement et stocke la nouvelle valeur dans le magasin de clés sécurisé du système Exadata où réside Autonomous Database.
- Customer-managed key: Autonomous Database uses the underlying technology (Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud or Oracle Key Vault (OKV) for Autonomous Container Databases on either Oracle Public Cloud or Exadata Cloud@Customer) to rotate the key and store the new value as a new version of the key in underlying technology, and then associates this new version with the Autonomous Database.
Vous pouvez voir l'OCID de la dernière version de la clé et l'historique complet de la clé dans la page des détails de la base de données autonome.
Note :
En cas d'association Data Guard inter-région avec clés gérées par le client, la chambre forte répliquée utilisée par la base de secours est en lecture seule. Ainsi, lorsque la base de secours prend le rôle de base principale après un basculement, vous ne pouvez pas effectuer la rotation de la clé.