Documentation Oracle Cloud Infrastructure

Rotation des portefeuilles pour Autonomous Database

La rotation de portefeuille vous permet d'invalider les clés de certification client existantes pour une instance de base de données ou pour toutes les instances Autonomous Database détenues par un compte cloud dans une région.
  • A propos de la rotation de portefeuille
    Vous pouvez effectuer l'un des deux types de rotation de portefeuille suivants : immédiat ou avec une période de grâce.
  • Rotation des portefeuilles avec rotation immédiate
    La rotation immédiate des portefeuilles vous permet d'invalider les clés de certification client existantes pour une instance Autonomous Database ou pour toutes les instances Autonomous Database dont un compte cloud est propriétaire dans une région.
  • Rotation des portefeuilles avec délai de grâce
    Autonomous Database vous permet de faire pivoter les portefeuilles pour une instance Autonomous Database ou pour toutes les instances détenues par un compte cloud dans une région, avec un délai de grâce de 1 heure à 24 heures.

Rubrique parent : Sécurité

A propos de la rotation de portefeuille

Vous pouvez effectuer l'un des deux types de rotation de portefeuille suivants : immédiat ou avec une période de grâce.

  • La rotation du portefeuille Immédiat démarre immédiatement, sans délai.

  • Après une période de grâce, la rotation du portefeuille se produit avec une période de grâce. Pendant la période de grâce, les anciennes clés de certification client restent valides pendant une période sélectionnée de 1 heure à 24 heures. Une fois la période de grâce expirée, seules les nouvelles clés de certification client sont valides.

Vous pouvez effectuer la rotation des portefeuilles pour l'une des raisons suivantes :

  • Si les stratégies de votre organisation nécessitent une rotation régulière des clés de certification client.

  • Lorsqu'une clé de certification client ou un ensemble de clés est suspecté d'être compromis.

Rotation des portefeuilles avec rotation immédiate

La rotation immédiate du portefeuille vous permet d'invalider les clés de certification client existantes pour une instance Autonomous Database ou pour toutes les instances Autonomous Database détenues par un compte cloud dans une région.

Il existe deux options pour la rotation immédiate des clés de certification client :

  • Par base de données avec l'option Portefeuille d'instance sélectionnée :
    • Pour la base de données dont la clé de certification fait l'objet d'une rotation, tous les portefeuilles d'instance propres à la base de données existants seront annulés. Après avoir effectué la rotation d'un portefeuille, vous devez télécharger un nouveau portefeuille pour vous connecter à la base de données.
    • Les portefeuilles régionaux contenant toutes les clés de certification de base de données continuent de fonctionner.
    • Toutes les sessions utilisateur sont interrompues pour la base de données dont le portefeuille fait l'objet d'une rotation. La terminaison de la session utilisateur commence une fois la rotation du portefeuille terminée. Toutefois, ce processus ne se produit pas immédiatement.
    Remarque

    Si vous voulez mettre fin à toutes les connexions immédiatement après la rotation du portefeuille, Oracle vous recommande de redémarrer l'instance Autonomous Database. Cela fournit le niveau de sécurité le plus élevé pour votre base de données.
  • Niveau régional avec l'option Portefeuille régional sélectionnée :
    • Pour la région dont la clé de certification fait l'objet d'une rotation, les portefeuilles d'instances régionaux et spécifiques à la base de données seront annulés. Une fois que vous avez effectué la rotation d'un portefeuille, vous devez télécharger de nouveaux portefeuilles régionaux ou d'instance pour vous connecter à n'importe quelle base de données de la région.
    • Toutes les sessions utilisateur sont interrompues pour les bases de données de la région dont le portefeuille fait l'objet d'une rotation. La terminaison de la session utilisateur commence une fois la rotation du portefeuille terminée. Toutefois, ce processus ne se produit pas immédiatement.
    Remarque

    Si vous voulez mettre fin à toutes les connexions immédiatement après la rotation du portefeuille, Oracle vous recommande de redémarrer les instances Autonomous Database dans la région. Cela fournit le niveau de sécurité le plus élevé pour votre base de données.

Pour effectuer une rotation immédiate de la clé de certification client pour une base de données donnée ou pour toutes les instances Autonomous Database détenues par un compte cloud dans une région, procédez comme suit :

  1. Accédez à la page de détails sur la base de données autonome.
  2. Cliquez sur Connexion à la base des données.
  3. Sur la page Connexion à la base de données, sélectionnez le type de portefeuille :
    • Portefeuille d'instance : rotation de portefeuille pour une seule base de données ; il s'agit d'un portefeuille propre à la base de données rotation.
    • Portefeuille régional : rotation de portefeuille pour toutes les bases de données autonomes d'un locataire et d'une région donnés (cette option effectue la rotation de la clé de certification client pour toutes les instances de service dont un compte cloud est propriétaire).
  4. Cliquez sur Effectuer une permutation de portefeuille.
  5. Entrez le nom indiqué dans la boîte de dialogue pour confirmer la rotation du portefeuille.
  6. Dans la boîte de dialogue Rotation du portefeuille, cliquez sur Effectuer une rotation.

La page Connexion à la base de données affiche : Rotation en cours.

Une fois la rotation terminée, le champ Dernière rotation du portefeuille affiche la date et l'heure de la dernière rotation.

Oracle recommande de fournir un portefeuille d'instance propre à la base de données aux utilisateurs finals et d'utiliser l'application chaque fois que possible, avec le type de portefeuille défini sur Portefeuille d'instance lorsque vous utilisez Télécharger le portefeuille. Utilisez les portefeuilles régionaux uniquement à des fins d'administration nécessitant un accès potentiel à toutes les bases de données autonomes d'une région.

Vous pouvez également utiliser l'API Autonomous Database pour effectuer la rotation des portefeuilles à l'aide de UpdateAutonomousDatabaseRegionalWallet et UpdateAutonomousDatabaseWallet. Pour plus d'informations, reportez-vous à Référence de portefeuille Autonomous Database.

Rotation des portefeuilles avec délai de grâce

Autonomous Database vous permet de faire pivoter les portefeuilles pour une instance Autonomous Database ou pour toutes les instances détenues par un compte cloud dans une région, avec un délai de grâce de 1 heure à 24 heures.

La définition d'une période de grâce vous permet d'effectuer la rotation du portefeuille sans temps d'arrêt. Pendant la période de grâce, vous pouvez informer les utilisateurs de télécharger le nouveau portefeuille et de mettre à jour leurs applications pour qu'elles utilisent le nouveau portefeuille. Pendant la période de grâce, les anciennes et les nouvelles clés de certification client sont valides. Lorsque la période de grâce expire, Autonomous Database invalide les anciennes clés de certification client et seules les nouvelles clés de certification client sont valides.

Il existe deux options pour la rotation des clés de certification client avec un délai de grâce :

  • Par base de données avec l'option Portefeuille d'instance sélectionnée :

    • Pour la base de données dont la clé de certification fait l'objet d'une rotation, les portefeuilles d'instance propres à la base de données qui étaient en cours d'utilisation avant la rotation du portefeuille sont annulés après l'expiration du délai de grâce.

    • Une fois que vous avez effectué la rotation de la clé de certification client avec un délai de grâce, vous pouvez télécharger immédiatement un portefeuille et l'utiliser pour vous connecter à la base de données.

    • Les portefeuilles régionaux contenant toutes les clés de certification de base de données continuent de fonctionner.

    • Une fois le délai de grâce expiré, les connexions existantes utilisant l'ancien portefeuille continuent de fonctionner.

    Remarque

    Une fois le délai de grâce terminé, si vous voulez mettre fin à des connexions à l'aide de l'ancien portefeuille, Oracle vous recommande de redémarrer l'instance Autonomous Database.
  • Niveau régional avec l'option Portefeuille régional sélectionnée :

    • Pour la région dont la clé de certification fait l'objet d'une rotation, les portefeuilles d'instances régionaux et spécifiques à la base de données seront annulés. Une fois le délai de grâce expiré, vous devez télécharger de nouveaux portefeuilles régionaux ou d'instance pour vous connecter à n'importe quelle base de données de la région.

    • Une fois le délai de grâce expiré, les connexions existantes utilisant les anciens portefeuilles continuent de fonctionner.

    Remarque

    Une fois le délai de grâce terminé, si vous voulez mettre fin à des connexions à l'aide des anciens portefeuilles, Oracle vous recommande de redémarrer toutes les instances Autonomous Database de la région.

Pour effectuer la rotation de la clé de certification client avec un délai de grâce pour une base de données donnée ou pour toutes les instances Autonomous Database qu'un compte cloud possède dans une région, procédez comme suit :

  1. Accédez à la page de détails sur la base de données autonome.
  2. Cliquez sur Connexion à la base des données.
  3. Sur la page Connexion à la base de données, sélectionnez le type de portefeuille :
    • Portefeuille d'instance : rotation de portefeuille pour une seule base de données ; il s'agit d'un portefeuille propre à la base de données rotation.
    • Portefeuille régional : rotation de portefeuille pour toutes les bases de données autonomes d'un locataire et d'une région donnés (cette option effectue la rotation de la clé de certification client pour toutes les instances de service dans la région dont un compte cloud est propriétaire).
  4. Cliquez sur Effectuer une permutation de portefeuille.
  5. Sélectionnez Après un délai de grâce.
  6. Dans la zone Période de grâce (en heures), entrez une valeur dans le champ de texte ou utilisez le curseur pour sélectionner une valeur.
  7. Entrez le nom indiqué dans la boîte de dialogue pour confirmer la rotation du portefeuille.
  8. Dans la boîte de dialogue Rotation du portefeuille, cliquez sur Effectuer une rotation.

La page Connexion à la base de données affiche : Rotation en cours.

Une fois la rotation terminée, le champ Dernière rotation du portefeuille affiche la date et l'heure de la dernière rotation.

Remarques relatives à la rotation du portefeuille avec une période de grâce :

  • Les bases de données autonomes Toujours gratuit prennent uniquement en charge la rotation immédiate du portefeuille (la rotation du portefeuille avec un délai de grâce n'est pas prise en charge).

  • Oracle recommande de fournir un portefeuille d'instance propre à la base de données aux utilisateurs finals et d'utiliser l'application chaque fois que possible, avec le type de portefeuille défini sur Portefeuille d'instance lorsque vous utilisez Télécharger le portefeuille. Utilisez les portefeuilles régionaux uniquement à des fins d'administration nécessitant un accès potentiel à toutes les bases de données autonomes d'une région.

Vous pouvez également utiliser l'API Autonomous Database pour effectuer la rotation des portefeuilles à l'aide de UpdateAutonomousDatabaseRegionalWallet et UpdateAutonomousDatabaseWallet. Pour plus d'informations, reportez-vous à Référence de portefeuille Autonomous Database.