Documentation Oracle Cloud Infrastructure

Rotation des portefeuilles pour Autonomous Database

La rotation de portefeuille permet d'annuler les clés de certification de client existantes pour une instance de base de données ou pour toutes les instances Autonomous Database dont un compte cloud est propriétaire dans une région.
  • A propos de la rotation de portefeuille
    Vous pouvez effectuer l'un des deux types de rotation de portefeuille : immédiate ou avec un délai de grâce.
  • Rotation des portefeuilles avec rotation immédiate
    La rotation immédiate du portefeuille vous permet d'annuler les clés de certification de client existantes pour une instance Autonomous Database ou pour toutes les instances Autonomous Database dont un compte cloud est propriétaire dans une région.
  • Rotation des portefeuilles avec délai de grâce
    Autonomous Database vous permet d'effectuer la rotation des portefeuilles pour une instance Autonomous Database ou pour toutes les instances appartenant à un compte cloud dans une région, avec un délai de grâce compris entre 1 heure et 24 heures.

Remarque parent : Sécurité

A propos de la rotation de portefeuille

Vous avez la possibilité d'effectuer l'un des deux types de rotation de portefeuille : immédiate ou avec un délai de grâce.

  • La rotation de portefeuille immédiat est lancée immédiatement, sans délai.

  • La rotation de portefeuille après un délai de grâce se produit avec un délai de grâce. Pendant le délai de grâce, les anciennes clés de certification de client restent valides pendant une durée sélectionnée comprise entre 1 heure et 24 heures. Après l'expiration du délai de grâce, seules les nouvelles clés de certification de client sont valides.

Vous pouvez effectuer la rotation des portefeuilles pour les raisons suivantes :

  • Si les stratégies de votre organisation nécessitent une rotation régulière de la clé de certification de client.

  • Lorsqu'une clé ou un ensemble de clés de certification de client est suspecté d'être compromis.

Rotation des portefeuilles avec rotation immédiate

La rotation immédiate du portefeuille vous permet d'annuler des clés de certification de client existantes pour une instance Autonomous Database ou pour toutes les instances Autonomous Database dont un compte cloud est propriétaire dans une région.

Deux options sont disponibles pour la rotation immédiate de clé de certification de client :

  • Par base de données avec l'option Portefeuille d'instance sélectionnée :
    • Pour la base de données dont la clé de certification fait l'objet d'une rotation, tous les portefeuilles d'instance propres à la base de données existants sont invalidés. Une fois la rotation d'un portefeuille effectuée, vous devez en télécharger un nouveau pour la connexion à la base de données.
    • Les portefeuilles régionaux contenant toutes les clés de certification de base de données continuent de fonctionner.
    • Toutes les sessions utilisateur prennent fin pour la base de données dont le portefeuille fait l'objet d'une rotation. La terminaison des sessions utilisateur commence une fois la rotation du portefeuille terminée. Toutefois, ce processus ne se produit pas immédiatement.
    Remarque

    Si vous voulez mettre fin à toutes les connexions immédiatement après la fin de la rotation du portefeuille, Oracle vous recommande de redémarrer l'instance Autonomous Database. Cela fournit le niveau de sécurité le plus élevé pour votre base de données.
  • Au niveau régional avec l'wallet régional sélectionné :
    • Pour la région dont la clé de certification est modifiée, les portefeuilles d'instance régionaux et propres à la base de données sont invalidés. Une fois la rotation d'un portefeuille effectuée, vous devez télécharger un nouveau portefeuille régional ou d'instance pour la connexion à une base de données de la région.
    • Toutes les sessions utilisateur prennent fin pour les bases de données de la région dont le portefeuille fait l'objet d'une rotation. La terminaison des sessions utilisateur commence une fois la rotation du portefeuille terminée. Toutefois, ce processus ne se produit pas immédiatement.
    Remarque

    Si vous voulez mettre fin à toutes les connexions immédiatement après la fin de la rotation du portefeuille, Oracle vous recommande de redémarrer les instances Autonomous Database de la région. Cela fournit le niveau de sécurité le plus élevé pour votre base de données.

Afin d'effectuer une rotation immédiate de la clé de certification de client pour une base de données spécifique ou pour toutes les instances Autonomous Database appartenant à un compte cloud dans une région, procédez comme suit :

  1. Accédez à la page de détails sur la base de données autonome.
  2. Cliquez sur Connexion à la base de données.
  3. Sur la page Connexion à la base de données, sélectionnez le type de portefeuille :
    • wallet d'instance : rotation de portefeuille pour une seule base de données. Il s'agit alors d'une rotation de portefeuille propre à la base de données.
    • Portefeuille régional : rotation de portefeuille pour toutes les bases de données autonomes d'un locataire et d'une région donnés (cette option entraîne la rotation de la clé de certification client pour toutes les instances de service appartenant à un compte cloud).
  4. Cliquez sur Effectuer une rotation du portefeuille.
  5. Entrez le nom comme indiqué dans la boîte de dialogue pour confirmer la rotation du portefeuille.
  6. Dans la boîte de dialogue Effectuer une rotation du portefeuille, cliquez sur Effectuer une rotation.

La page Connexion à la base de données affiche : Rotation en cours.

Une fois la rotation terminée, le champ dernière rotation du portefeuille affiche la date et l'heure de la dernière rotation.

Oracle vous recommande de fournir un portefeuille d'instance propre à la base de données aux utilisateurs finaux et à l'application chaque fois que cela est possible, avec le type de portefeuille défini sur Portefeuille d'instance lorsque vous utilisez l'option Télécharger le portefeuille. Utilisez les portefeuilles régionaux uniquement à des fins d'administration nécessitant un accès potentiel à toutes les bases de données autonomes d'une région.

Vous pouvez également utiliser l'API Autonomous Database pour effectuer la rotation des portefeuilles à l'aide de UpdateAutonomousDatabaseRegionalWallet et de UpdateAutonomousDatabaseWallet. Pour plus d'informations, reportez-vous à Référence de portefeuille Autonomous Database.

Faire pivoter les portefeuilles avec un délai de grâce

Autonomous Database vous permet d'effectuer la rotation des portefeuilles pour une instance Autonomous Database ou pour toutes les instances appartenant à un compte cloud dans une région, avec un délai de grâce compris entre 1 heure et 24 heures.

La définition d'un délai de grâce permet d'effectuer la rotation de portefeuille sans temps d'arrêt. Pendant le délai de grâce, vous pouvez indiquer aux utilisateurs de télécharger le nouveau portefeuille et de mettre à jour leurs applications afin d'utiliser le nouveau portefeuille. Pendant le délai de grâce, les anciennes et les nouvelles clés de certification de client sont valides. Lorsque le délai de grâce expire, Autonomous Database invalide les anciennes clés de certification de client et seules les nouvelles clés de certification de client sont valides.

Deux options sont disponibles pour la rotation de clé de certification de client avec un délai de grâce :

  • Par base de données avec l'option Portefeuille d'instance sélectionnée :

    • Pour la base de données dont la clé de certification fait l'objet d'une rotation, les portefeuilles d'instance propres à la base de données qui étaient utilisés avant la rotation du portefeuille sont invalidés après l'expiration du délai de grâce.

    • Une fois la rotation de clé de certification de client effectuée avec un délai de grâce, vous pouvez télécharger immédiatement un portefeuille et utiliser le nouveau portefeuille pour la connexion à la base de données.

    • Les portefeuilles régionaux contenant toutes les clés de certification de base de données continuent de fonctionner.

    • Après l'expiration du délai de grâce, les connexions existantes utilisant l'ancien portefeuille continuent de fonctionner.

    Remarque

    Une fois le délai de grâce terminé, si vous voulez mettre fin à des connexions utilisant l'ancien portefeuille, Oracle vous recommande de redémarrer l'instance Autonomous Database.
  • Au niveau régional avec l'wallet régional sélectionné :

    • Pour la région dont la clé de certification est modifiée, les portefeuilles d'instance régionaux et propres à la base de données sont invalidés. Après l'expiration du délai de grâce, vous devez télécharger un nouveau portefeuille régional ou d'instance pour la connexion à une base de données de la région.

    • Après l'expiration du délai de grâce, les connexions existantes utilisant l'ancien portefeuille continuent de fonctionner.

    Remarque

    Une fois le délai de grâce terminé, si vous voulez mettre fin à des connexions utilisant l'ancien portefeuille, Oracle recommande de redémarrer toutes les instances Autonomous Database de la région.

Afin d'effectuer une rotation de la clé de certification de client avec un délai de grâce pour une base de données spécifique ou pour toutes les instances Autonomous Database appartenant à un compte cloud dans une région, procédez comme suit :

  1. Accédez à la page de détails sur la base de données autonome.
  2. Cliquez sur Connexion à la base de données.
  3. Sur la page Connexion à la base de données, sélectionnez le type de portefeuille :
    • wallet d'instance : rotation de portefeuille pour une seule base de données. Il s'agit alors d'une rotation de portefeuille propre à la base de données.
    • Portefeuille régional : rotation de portefeuille pour toutes les bases de données autonomes d'un locataire et d'une région donnés (cette option entraîne la rotation de la clé de certification client pour toutes les instances de service de la région appartenant à un compte cloud).
  4. Cliquez sur Effectuer une rotation du portefeuille.
  5. Sélectionnez Après un délai de grâce.
  6. Dans la zone Délai de grâce (en heures), saisissez une valeur dans le champ de texte ou utilisez le curseur pour sélectionner une valeur.
  7. Entrez le nom comme indiqué dans la boîte de dialogue pour confirmer la rotation du portefeuille.
  8. Dans la boîte de dialogue Effectuer une rotation du portefeuille, cliquez sur Effectuer une rotation.

La page Connexion à la base de données affiche : Rotation en cours.

Une fois la rotation terminée, le champ dernière rotation du portefeuille affiche la date et l'heure de la dernière rotation.

Remarques relatives à la rotation de portefeuille avec un délai de grâce :

  • Les bases de données autonomes Toujours gratuit ne prennent en charge que la rotation de portefeuille immédiate (non prise en charge.

  • Oracle vous recommande de fournir un portefeuille d'instance propre à la base de données aux utilisateurs finaux et à l'application chaque fois que cela est possible, avec le type de portefeuille défini sur Portefeuille d'instance lorsque vous utilisez l'option Télécharger le portefeuille. Utilisez les portefeuilles régionaux uniquement à des fins d'administration nécessitant un accès potentiel à toutes les bases de données autonomes d'une région.

Vous pouvez également utiliser l'API Autonomous Database pour effectuer la rotation des portefeuilles à l'aide de UpdateAutonomousDatabaseRegionalWallet et de UpdateAutonomousDatabaseWallet. Pour plus d'informations, reportez-vous à Référence de portefeuille Autonomous Database.