Gérer les clés de chiffrement

Cet article fournit des détails sur le chiffrement et les clés de chiffrement.

Oracle Base Database Service chiffre les données stockées dans des tables et des tablespaces à l'aide de Transparent Data Encryption (TDE).

Chiffrement transparent des données
Le service de base de données de base utilise TDE pour chiffrer et déchiffrer tous les espaces-tables créés par l'utilisateur.
Clés de chiffrement
Vous pouvez choisir de chiffrer la base de données à l'aide de vos propres clés de chiffrement ("clés gérées par le client") ou d'utiliser des clés gérées par Oracle. Par défaut, le service de base de données de base utilise des clés gérées par Oracle. La clé gérée par le client est stockée dans le service de chambre forte OCI, qui est externe à l'hôte de la base de données.
Clé de chambre forte OCI
Dans le service de chambre forte OCI, les clés de chiffrement sont des entités logiques qui contiennent une ou plusieurs versions de clé utilisées pour le chiffrement et le déchiffrement. Ces versions de clé peuvent être générées automatiquement par le service de chambre forte OCI ou importées à partir d'une source externe (Bring-Your-Own-Key).

Pour plus d'informations, voir Présentation du chiffrement transparent des données et Gestion des clés de chambre forte OCI.

Politique GIA requise

Si vous souhaitez utiliser vos propres clés pour chiffrer une base de données, vous devez créer un groupe dynamique et lui affecter des politiques spécifiques aux clés de chiffrement gérées par le client. Voir Gestion des groupes dynamiques et Permettre aux administrateurs de la sécurité de gérer les chambres fortes, les clés et les clés secrètes dans la rubrique Politiques communes.

Informations générales

Lors de la création d'un nouveau système de base de données, une clé sera affectée à la fois à la base de données conteneur et à la base de données enfichable.

La version de clé, si elle est fournie, ne sera utilisée que pour la base de données conteneur et non pour sa base de données enfichable. Une nouvelle version de clé générée automatiquement sera affectée à la base de données enfichable. Impossible d'affecter des versions de clé spécifiques aux bases de données enfichables lors de la création.

La base de données enfichable utilise toujours la même clé que la base de données conteneur, mais avec la même version de clé ou une version différente.

Vous pouvez spécifier n'importe quelle version de clé, y compris la dernière version de la clé sélectionnée.

Par défaut, la base de données est configurée pour utiliser des clés gérées par Oracle. Toutefois, vous pouvez choisir de le configurer à l'aide de clés gérées par le client.

Effectuer la rotation de la clé de chiffrement

L'opération de rotation de clé de chiffrement génère une nouvelle version de clé pour la même clé.

Vous pouvez effectuer n'importe quel nombre de rotations de clé. Une rotation régulière permet de limiter le volume des données chiffrées ou signées avec une version de clé. L'historique des clés mises hors service est également maintenu, ce qui vous permet de faire pivoter la clé tout en pouvant déchiffrer les données chiffrées par une clé antérieure.

La rotation de la clé au niveau de la base de données conteneur et de la base de données enfichable fonctionne indépendamment l'une de l'autre. L'opération de rotation de clé sur une base de données conteneur n'entraînera pas la rotation des clés dans les bases de données enfichables. De même, la rotation des clés dans une base de données enfichable n'entraînera pas la rotation des clés dans d'autres bases de données enfichables ou dans sa base de données conteneur.

Pour vous assurer d'utiliser la dernière version, effectuez la rotation des clés à partir de la page des détails de la base de données dans la console OCI au lieu de la page de la console du service de chambre forte.

Note :

La rotation des clés de chiffrement n'est pas disponible pour les bases de données qui utilisent le chiffrement géré par Oracle.

Affecter une version de clé

Vous pouvez créer et affecter de nouvelles versions de clé pour les bases de données conteneur et les bases de données enfichables. Seule la version de clé peut être modifiée. La clé ne peut pas être modifiée.

Modifier la gestion des clés

Vous pouvez passer de clés gérées par Oracle à des clés gérées par le client dans les bases de données existantes. Toutefois, le passage de clés gérées par le client à des clés gérées par Oracle n'est pas pris en charge.

Lorsqu'une clé est modifiée pour une base de données conteneur, elle est également appliquée automatiquement à une base de données enfichable. La clé d'une base de données enfichable ne peut pas être modifiée indépendamment. La base de données enfichable utilise toujours la même clé que celle de la base de données conteneur, mais elle peut utiliser la même version de clé ou une version différente.

Lorsque vous passez à des clés gérées par le client, la base de données conteneur et toutes ses bases de données enfichables doivent être ouvertes et tous les espaces-table doivent être en mode lecture/écriture.

Pour modifier le type de gestion des clés à l'aide de la console OCI, voir Modifier le type de gestion des clés pour une base de données.

Cloner, cloner à distance et déplacer une base de données enfichable

La base de données clonée utilisera la même version de clé que la base de données source lors du clonage d'un système de base de données qui utilise des clés de chiffrement gérées par le client.

Les bases de données source et cible doivent utiliser la même clé, mais peuvent avoir une version de clé différente. L'opération de clonage ou de déplacement à distance échoue si les bases de données source et cible utilisent des clés différentes.

La rotation des clés est effectuée dans la chambre forte de clés cible après les opérations de clonage et de déplacement distantes. Ainsi, de nouvelles versions de clé seront générées pour la base de données enfichable clonée ou déplacée distante dans la base de données cible.