Documentation Oracle Cloud Infrastructure

Intégration d'AWS Key Management Service pour Exadata Database Service sur Oracle Database@AWS

Exadata Database Service on Oracle Database@AWS prend en charge l'intégration avec AWS Key Management Service (KMS). Cette amélioration permet aux utilisateurs de gérer les clés de cryptage maître (MEK) Transparent Data Encryption (TDE) à l'aide des clés gérées par le client AWS.

Pour Exadata Database Service on Oracle Database@AWS, les clés MEK TDE peuvent être stockées dans un Oracle Wallet basé sur des fichiers, Oracle Cloud Infrastructure (OCI) Vault, Oracle Key Vault (OKV) ou AWS KMS, fournissant des options pour s'aligner sur les stratégies de sécurité propres à l'entreprise. L'intégration à AWS KMS permet aux applications, aux services AWS et aux bases de données sur les clusters de machines virtuelles Exadata de tirer parti d'une solution de gestion des clés centralisée unique.

Rubrique parent : Guides pratiques

Prérequis

Avant d'utiliser AWS KMS comme solution de gestion des clés pour vos bases de données, vous devez effectuer les étapes suivantes.

Le domaine d'identité OCI est configuré automatiquement lors du processus d'intégration d'Oracle Database@AWS, et aucune action n'est requise. Pour les comptes qui étaient liés avant la disponibilité générale de l'intégration AWS KMS (18 novembre 2025), procédez comme suit uniquement.

Configurez un domaine d'identité OCI pour activer l'intégration AWS pour vos clusters de machines virtuelles Exadata. Il vous permet d'associer un rôle de service AWS Identity and Access Management (IAM) aux intégrations AWS.

  1. Dans la console AWS, sélectionnez Oracle Database@AWS, puis Paramètres.
  2. Sélectionnez le bouton Configurer pour configurer le domaine d'identité OCI.
  3. Une fois l'opération terminée, vous pouvez consulter les informations de statut, d'ID de domaine d'identité OCI et d'URL de domaine d'identité OCI sur la page Paramètres.

Rubrique parent : Prérequis

  1. Si vous ne disposez pas d'un réseau ODB existant, vous pouvez en provisionner un en suivant les instructions détaillées du réseau ODB. Si vous disposez d'un réseau ODB existant, vous pouvez le modifier en cliquant sur le bouton Modifier, puis en suivant Modifier un réseau ODB pour obtenir des instructions détaillées.
  2. Dans la section Configurer les intégrations de service,
    1. Sélectionnez l'option Service de jeton de sécurité (STS) pour configurer la mise en réseau de l'accès AWS KMS et AWS STS à partir de la base de données.
    2. Cochez la case AWS KMS pour permettre à AWS KMS d'utiliser des clés KMS dans vos stratégies d'authentification.

Rubrique parent : Prérequis

La création de cluster de machines virtuelles Exadata est uniquement disponible via la console AWS et la CLI AWS. Pour plus d'informations, reportez-vous à Cluster de machines virtuelles Exadata.

Rubrique parent : Prérequis

Créez une couche pour chaque cluster. Pour créer une pile CloudFormation, procédez comme suit : Cette opération doit être effectuée pour chaque cluster de machines virtuelles Exadata.

Lorsque votre pile CloudFormation crée un fournisseur OIDC (OpenID Connect), elle établit une relation de confiance afin qu'une source d'identité externe (comme OCI) puisse s'authentifier auprès d'AWS. Le rôle IAM associé définit ce que cette identité sécurisée est autorisée à faire.

  1. Sélectionnez votre cluster de machines virtuelles Exadata existant dans la liste pour ouvrir sa page de détails dans la console de gestion AWS.
    Remarque

    Si vous ne disposez pas d'un cluster de machines virtuelles Exadata existant, vous pouvez le provisionner en suivant les instructions pas à pas du cluster de machines virtuelles Exadata.

  2. Sélectionnez l'onglet Rôles de service IAM, puis cliquez sur le lien CloudFormation.
  3. Dans la page Création rapide de pile, vérifiez les informations préremplies.
    1. Sous la section Paramètres, les paramètres sont définis dans votre modèle et vous permettent de saisir des valeurs personnalisées lorsque vous créez ou mettez à jour une pile.
      1. Vérifiez vos informations OCIIdentityDomainUrl préremplies.
      2. Le champ OIDCProviderArn est facultatif. Lorsque vous créez la pile CloudFormation pour la première fois, un fournisseur OIDC et un rôle IAM associé sont créés. Si vous exécutez la pile pour la première fois, vous n'avez pas besoin de fournir de valeur pour le champ OIDCProviderArn.
      3. Pour toute durée d'exécution supplémentaire, vous devez indiquer le numéro ARN du fournisseur OIDC existant et l'indiquer dans le champ OIDCProviderArn. Pour obtenir vos informations sur OIDCProviderArn, procédez comme suit :
        1. A partir de la console AWS, accédez à IAM, puis sélectionnez Fournisseurs d'identités.
        2. Dans la liste Fournisseurs d'identités, vous pouvez filtrer votre fournisseur en sélectionnant Type comme OpenID Connect.
        3. Sélectionnez le lien Fournisseur qui a été créé lors de la création initiale de la pile CloudFormation.
        4. A partir de la page Récapitulatif, copiez les informations ARN.
        5. Collez les informations ARN dans le champ OIDCProviderArn.
    2. Dans la section Droits d'accès, sélectionnez le nom du rôle IAM dans la liste déroulante, puis sélectionnez le rôle IAM que CloudFormation doit utiliser pour toutes les opérations effectuées sur la pile.
    3. Cliquez sur le bouton Créer une pile pour appliquer les modifications.
  4. Une fois le déploiement de pile CloudFormation terminé, accédez à la section Ressources de la pile et vérifiez les ressources de rôle IdP et IAM créées. Copiez le nom ARN du rôle IAM pour une utilisation ultérieure.

Rubrique parent : Prérequis

Vous devez attacher un rôle IAM que vous avez créé précédemment au cluster de machines virtuelles Exadata pour affecter un connecteur d'identité permettant d'accéder aux ressources AWS.

  1. Dans la console AWS, sélectionnez Oracle Database@AWS.
  2. Dans le menu de gauche, sélectionnez Clusters de machines virtuelles Exadata, puis le cluster de machines virtuelles Exadata dans la liste.
  3. Sélectionnez l'onglet Rôles IAM, puis le bouton Associer.
    1. Le champ Intégration AWS est en lecture seule.
    2. Entrez le nom de ressource Amazon (ARN) du rôle IAM à associer au cluster de machines virtuelles dans le champ ARN de rôle. Vous pouvez obtenir les informations d'ARN dans la section Récapitulatif du rôle que vous avez créé précédemment.
    3. Cliquez sur le bouton Associer pour associer le rôle.
      Remarque

      Une fois que vous avez associé un rôle IAM à votre cluster de machines virtuelles, un connecteur d'identité est attaché à votre cluster de machines virtuelles Exadata.

Une fois que vous avez terminé la section des prérequis, passez aux actions suivantes :

  1. A partir de la console AWS, créez une clé gérée par le client dans AWS KMS.
  2. Dans la console OCI, activez les bases de données et les clusters de machines virtuelles Exadata pour utiliser la clé AWS KMS créée à l'étape 1.

Rubrique parent : Prérequis

  1. Dans la console AWS, sélectionnez KMS (Key Management Service).
  2. Dans le menu de gauche, sélectionnez Clés gérées par le client, puis cliquez sur le bouton Créer une clé.
  3. Dans la section Configurer la clé, entrez les informations suivantes :
    1. Choisissez l'option Symétrique en tant que type de clé.
    2. Sélectionnez l'option Chiffrer et déchiffrer comme utilisation des clés.
    3. Développez la section Options avancées. Les services AWS KMS et AWS CloudHSM sont pris en charge.
      1. Si vous souhaitez utiliser le fichier de clés standard KMS, sélectionnez l'option KMS - recommandé comme Origine du matériel de clé, puis choisissez l'option Clé à région unique ou l'option Clé multi-région dans la section Régionalité.
      2. Si vous souhaitez utiliser AWS CloudHSM , choisissez l'option Magasin de clés AWS CloudHSM comme origine des matières clés.
    4. Cliquez sur le bouton Suivant pour poursuivre le processus de création.
  4. Dans la section Ajouter des libellés, entrez les informations suivantes.
    1. Entrez le nom d'affichage descriptif dans le champ Alias. 256 caractères au maximum. Utilisez des caractères alphanumériques et '_-/'.
      Remarque

      • Le nom d'alias ne peut pas commencer par aws/. Le préfixe aws/ est réservé par AWS pour représenter les clés gérées AWS dans votre compte.
      • Un alias est un nom d'affichage que vous pouvez utiliser pour identifier la clé KMS. Nous vous recommandons de choisir un alias indiquant le type de données que vous prévoyez de protéger ou l'application que vous prévoyez d'utiliser avec la clé KMS
      • Des alias sont requis lorsque vous créez une clé KMS dans la console AWS.
    2. Le champ Description est facultatif.
    3. La section Balises est facultative. Vous pouvez utiliser des balises pour catégoriser et identifier vos clés KMS et vous aider à suivre vos coûts AWS.
    4. Cliquez sur le bouton Suivant pour poursuivre le processus de création ou sur le bouton Précédent pour revenir à la page précédente.
  5. Dans la section Définir les autorisations d'administration des clés, effectuez les sous-étapes suivantes.
    1. Recherchez le rôle que vous avez créé précédemment, puis cochez la case. Sélectionnez les utilisateurs et rôles IAM pouvant administrer la clé KMS.
      Remarque

      Cette stratégie de clé donne au compte AWS le contrôle total de cette clé KMS. Elle permet aux administrateurs de compte d'utiliser des stratégies IAM pour autoriser d'autres principaux à gérer la clé KMS.

    2. Dans la section Suppression de clé, la case Autoriser les administrateurs de clé à supprimer cette clé est cochée par défaut. Pour empêcher les utilisateurs et rôles IAM sélectionnés de supprimer la clé KMS, vous pouvez désélectionner la case à cocher.
    3. Cliquez sur le bouton Suivant pour poursuivre le processus de création ou sur le bouton Précédent pour revenir à la page précédente.
  6. Dans la section Définir les autorisations d'utilisation des clés, effectuez les sous-étapes suivantes.
    1. Recherchez le rôle que vous avez créé précédemment, puis cochez la case.
    2. Cliquez sur le bouton Suivant pour poursuivre le processus de création ou sur le bouton Précédent pour revenir à la page précédente.
  7. Dans la section Modifier la stratégie de clé, effectuez les sous-étapes suivantes.
    1. Dans la section Aperçu, vous pouvez vérifier la stratégie de clés. Si vous souhaitez effectuer une modification, sélectionnez l'onglet Modifier.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KMSKeyMetadata",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn>"
            },
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KeyUsage",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn>"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}
    2. Cliquez sur le bouton Suivant pour poursuivre le processus de création ou sur le bouton Précédent pour revenir à la page précédente.
  8. Dans la section Vérifier, vérifiez vos informations, puis cliquez sur le bouton Terminer.

Pour plus d'informations, reportez-vous à Création d'une clé KMS de cryptage symétrique.

Rubrique parent : Prérequis

Pour activer AWS KMS pour vos clusters de machines virtuelles Exadata, vous devez d'abord inscrire la clé AWS KMS dans OCI.

  1. Dans la console OCI, sélectionnez Oracle AI Database, puis Intégrations multicloud de base de données.
  2. Sélectionnez Intégration AWS, puis Clés AWS.
  3. Sélectionnez le bouton Enregistrer les clés AWS, puis effectuez les sous-étapes suivantes.
    1. Dans la liste déroulante, sélectionnez le compartiment dans lequel réside le cluster de machines virtuelles Exadata.
    2. Sous la section Clés AWS, sélectionnez votre connecteur d'identité dans la liste déroulante.
      Remarque

      Assurez-vous que le rôle associé au connecteur dispose du droit d'accès DescribeKey sur la clé. Cette autorisation est requise pour effectuer le repérage.

    3. Le champ Numéro ARN clé est facultatif.
    4. Cliquez sur le bouton Repérer.
  4. Une fois la clé repérée, cliquez sur le bouton Inscrire pour inscrire la clé dans OCI.

Rubrique parent : Prérequis

Allow any-user to read oracle-db-aws-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster'}

Cette stratégie permet aux clusters de machines virtuelles cloud gérés par Oracle de lire la ressource oracle-db-aws-keys dans votre compartiment. Il accorde les droits d'accès nécessaires au cluster de machines virtuelles (principal de type cloudvmcluster) pour accéder aux métadonnées de clé AWS requises pour l'intégration à la gestion de clés externes ou l'exécution d'opérations inter-cloud. Sans cette stratégie, le cluster de machines virtuelles ne pourrait pas extraire les clés nécessaires pour terminer la configuration.

Rubrique parent : Prérequis

Utilisation de la console pour gérer l'intégration AWS KMS pour Exadata Database Service sur Oracle Database@AWS

Découvrez comment gérer l'intégration d'AWS KMS pour Exadata Database Service sur Oracle Database@AWS.

Lorsque vous activez la gestion des clés AWS pour votre base de données, seules les clés AWS autorisées à être utilisées avec un cluster de machines virtuelles Exadata et inscrites auprès d'OCI peuvent être utilisées.

  1. Dans la console OCI, sélectionnez Oracle AI Database, puis Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Dans le menu de gauche, sélectionnez Clusters de machines virtuelles Exadata, puis le cluster de machines virtuelles Exadata.
  3. Sélectionnez l'onglet Informations sur le cluster de machines virtuelles, puis cliquez sur le bouton Activer en regard de Clé de cryptage gérée par le client AWS.
Remarque

Une fois que vous avez activé AWS Key Management pour votre cluster de machines virtuelles Exadata, vous pouvez le désactiver à l'aide du bouton Désactiver. La désactivation de cette fonctionnalité affectera la disponibilité des bases de données qui utilisent AWS Key Management Service pour les opérations de cryptage et de décryptage. Assurez-vous qu'aucune base de données n'utilise actuellement AWS Key Management avant de la désactiver au niveau du cluster de machines virtuelles Exadata.

Cette rubrique décrit uniquement les étapes de création d'une base de données et d'utilisation d'AWS KMS comme solution de gestion des clés.

Pour connaître la procédure de création de base de données générique, reportez-vous à Procédure de création d'une base de données dans un cluster de machines virtuelles existant.

Conditions préalables

Reportez-vous à la section Prérequis.

Etapes

Si la gestion des clés AWS KMS est activée au niveau du cluster de machines virtuelles, vous disposez de deux options de gestion des clés : Oracle Wallet et Gestion des clés AWS.

  1. Dans la section Cryptage, sélectionnez Gestion des clés AWS.
  2. Sélectionnez la clé de cryptage disponible dans le compartiment.
    Remarque

    • Seules les clés enregistrées sont répertoriées.
    • Si la clé souhaitée n'est pas visible, elle n'a peut-être pas encore été enregistrée. Cliquez sur Inscrire des clés AWS pour les repérer et les enregistrer.

      Pour obtenir des instructions détaillées, reportez-vous à la section Register AWS KMS Key.

    • Vous pouvez sélectionner un alias de clé dans la liste déroulante. Si aucun alias de clé n'est disponible, la liste déroulante affiche l'ID de clé.

Si vous souhaitez remplacer la gestion des clés de vos bases de données existantes dans le cluster de machines virtuelles Exadata d'Oracle Wallet par AWS KMS, procédez comme suit.

  1. Dans l'onglet Clusters de machines virtuelles Exadata, accédez à l'onglet Bases de données, puis sélectionnez la base de données que vous utilisez.
  2. Dans la section Cryptage, vérifiez que la gestion des clés est définie sur Oracle Wallet, puis sélectionnez le lien Modifier.
  3. Sur la page Gestion des clés de modification, entrez les informations suivantes.
    1. Sélectionnez la gestion des clés gestion des clés AWS dans la liste déroulante.
    2. Sélectionnez le compartiment de clé que vous utilisez, puis la clé souhaitée dans la liste déroulante.
    3. Cliquez sur le bouton Enregistrer les modifications.

Pour effectuer la rotation de la clé KMS AWS d'une base de données Conteneur, suivez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle AI Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Choisissez votre compartiment.

    La liste des clusters de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des cluster de machines virtuelles, cliquez sur le nom du cluster de machines virtuelles qui contient la base de données dont vous voulez effectuer la rotation des clés de cryptage.
  4. Cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données pour laquelle effectuer la rotation des clés de cryptage.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la section Cryptage, vérifiez que la gestion des clés est définie sur gestion des clés AWS, puis cliquez sur le lien Effectuer une rotation.
  7. Dans la boîte de dialogue Effectuer une rotation de la clé qui apparaît, cliquez sur Effectuer une rotation pour confirmer l'action.
    Remarque

    La rotation de la clé KMS AWS génère un nouveau contexte de chiffrement pour la même clé.

Pour effectuer la rotation de la clé KMS AWS d'une base de données pluggable, suivez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle AI Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Choisissez votre compartiment.

    La liste des clusters de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des clusters de machines virtuelles, cliquez sur le nom de celui qui contient la base de données pluggable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous bases de données, recherchez la base de donnée contenant la base de donnée pluggable dont vous voulez effectuer la rotation des clés de cryptage.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données pluggables dans la section Ressources de la page.

    La liste des bases de données pluggables existantes dans cette base de données apparaît.

  7. Cliquez sur le nom de la bases de données pluggables pour laquelle effectuer la rotation des clés de cryptage.

    La page de détails de la base de données pluggable est affichée.

  8. Dans la section Cryptage, la gestion des clés est définie en tant que gestion des clés AWS.
  9. Cliquez sur le lien Faire pivoter.
  10. Dans la boîte de dialogue Effectuer une rotation de la clé qui apparaît, cliquez sur Effectuer une rotation pour confirmer l'action.
    Remarque

    La rotation de la clé KMS AWS génère un nouveau contexte de chiffrement pour la même clé.

Vous pouvez éventuellement désactiver une clé de base de données Conteneur ou de base de données pluggable spécifique.

  1. Accédez à la console AWS et sélectionnez KMS (Key Management Service).
  2. Dans le menu de gauche, sélectionnez Clés gérées par le client, puis l'ID de clé de la clé à modifier.
  3. Cliquez sur le bouton Modifier la stratégie.
  4. Exécutez la requête suivante pour obtenir le EncryptionContext MKID de la clé.

    Utilisez la commande suivante pour afficher les ID de clé maître (MKID) actuels afin d'activer ou de désactiver des opérations :

    dbaascli tde getHSMKeys --dbname <DB-Name>

    Vous pouvez également exécuter la requête SQL suivante pour répertorier toutes les versions de clé :

    SELECT key_id, con_id, creation_time, key_use FROM v$encryption_keys;
  5. Ajoutez une stratégie de refus à l'aide du MKID EncryptionContext extrait, comme indiqué ci-dessous :
    {
  "Effect": "Deny",
  "Principal": "*",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt"
  ],
  "Resource": "arn:aws:kms:us-east-1:867344470629:key/7139075d-a006-4302-92d5-48ecca31d48e",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:MKID": "ORACLE.TDE.HSM.MK.06AE5EFB528D9D4F21BFEDA63C6C8738D9"
    }
  }
}
  6. Choisissez Enregistrer les modifications pour appliquer la mise à jour de stratégie.

Utilisation de l'API pour gérer l'intégration AWS KMS pour Exadata Database Service sur Oracle Database@AWS

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Les ressources suivantes seront mises à la disposition des clients via le kit SDK OCI, l'interface de ligne de commande et Terraform. Ces API seront utilisées par les clients qui souhaitent intégrer Oracle Database on Exadata à AWS KMS.

Tableau 5-14 OracleDbAwsIdentityConnector

API Description
ListOracleDbAwsIdentityConnectors Répertorie toutes les ressources AWS Identity Connector en fonction des filtres spécifiés.
GetOracleDbAwsIdentityConnector Extrait des informations détaillées sur une ressource AWS Identity Connector spécifique.
CreateOracleDbAwsIdentityConnector Crée une ressource de connecteur d'identité AWS pour le cluster de machines virtuelles ExaDB-D indiqué.
UpdateOracleDbAwsIdentityConnector Met à jour les détails de configuration d'une ressource AWS Identity Connector existante.
ChangeOracleDbAwsIdentityConnectorCompartment Déplace la ressource AWS Identity Connector vers un autre compartiment.
DeleteOracleDbAwsIdentityConnector Supprime la ressource AWS Identity Connector indiquée.
RefreshOracleDbAwsIdentityConnector Les détails de configuration de la ressource AWS Identity Connector indiquée ont été actualisés.

Tableau 5-15 OracleDbAwsKey

API Description
ListOracleDbAwsKeys Répertorie toutes les ressources de clé AWS en fonction des filtres spécifiés.
CreateOracleDbAwsKey Crée une ressource de clé AWS.
ChangeOracleDbAwsKeyCompartment Déplace la ressource de clé AWS vers un autre compartiment.
GetOracleDbAwsKey Récupère des informations détaillées sur une ressource de clé AWS spécifique.
UpdateOracleDbAwsKey Met à jour les détails de configuration d'une ressource de clé AWS existante.
DeleteOracleDbAwsKey Supprime la ressource de clé AWS spécifiée.
RefreshOracleDbAwsKey Actualise les détails de configuration d'une ressource de clé AWS.

Mise à jour du pilote PKCS#11 multicloud

Remarque

Le pilote PKCS#11 pour AWS est installé automatiquement lorsque la gestion des clés AWS est activée sur un cluster de machines virtuelles. Pour vérifier que le pilote est installé et vérifier sa version, exécutez la commande suivante :

rpm -qa | grep pkcs

Cette commande répertorie le package PKCS installé sur le cluster de machines virtuelles. Un seul pilote PKCS#11 peut être actif à la fois, correspondant à Azure, Google Cloud ou AWS.

Exemple de sortie :

pkcs-multicloud-driver-maz-0.2-250814.1708.x86_64

Cela confirme que le package pkcs-multicloud-driver-maz est installé, ainsi que sa version et son architecture.

Le pilote PKCS#11 peut être mis à jour à l'aide d'un mécanisme non simultané ou non simultané, selon les préférences du client.

En mode non simultané, la mise à jour est appliquée à une machine virtuelle à la fois et les bases de données sur cette machine virtuelle sont redémarrées avant de passer à la suivante. En mode simultané, toutes les bases de données du cluster sont arrêtées, la mise à jour est appliquée sur tous les noeuds et les bases de données sont ensuite remises en ligne. Les utilisateurs doivent connaître la version dbaastools en cours d'utilisation, car les étapes suivantes, en particulier l'étape 3 dans les deux scénarios, nécessitent des actions différentes en fonction de la version, en particulier lors de la mise à jour du pilote PKCS#11.

La version de dbaastools peut être déterminée en exécutant la commande suivante : 

/var/opt/oracle/dbaascli/dbaascli admin showLatestStackVersion

Mise à jour non simultanée

Sur chaque machine virtuelle invitée, appliquez la mise à jour du pilote PKCS#11 comme suit (un noeud à la fois) :

  1. Arrêtez les instances de base de données qui utilisent AWS KMS.

    Toutes les bases de données qui utilisent AWS KMS pour les clés de cryptage maître (MEK) doivent être arrêtées avant la mise à jour du pilote. Utiliser :

    srvctl stop instance -d <db_unique_name> -i <instance_name> [-o <stop_option>]
    • -d <db_unique_name> : nom unique de la base de données (identique à DB_UNIQUE_NAME dans la base de données).
    • -i <instance_name> : nom de l'instance à arrêter, par exemple, orcl1.

    Pour plus d'informations sur les options supplémentaires, reportez-vous à l'aide de la ligne de commande SRVCTL ou au manuel de référence.

  2. Vérifiez que les bases de données ont été arrêtées.

    Assurez-vous que toutes les instances de base de données qui utilisent AWS KMS ont été arrêtées avant de continuer.

  3. Mettez à jour le RPM.

    En tant qu'utilisateur root, exécutez la commande suivante (pour dbaastools 25.4.1 et versions ultérieures) : 

    /var/opt/oracle/dbaascli/dbaascli admin updateMCKMS --keystoreProvider AWS --nodeList <node> --databasesStopped

    Cette commande télécharge et installe le dernier RPM sur le noeud spécifié.

  4. Vérifiez l'installation du pilote.

    Exécutez la commande suivante en tant qu'utilisateur root : 

    /bin/rpm -qa | grep -i pkcs-multicloud-driver
  5. Démarrez les instances de base de données.

    Après la mise à jour du pilote, redémarrez les instances de base de données en utilisant :

    <oracle_home>/bin/srvctl start instance -node "<node>"

Mise à jour non glissante

En mode simultané, toutes les bases de données du cluster sont arrêtées avant l'application de la mise à jour du pilote PKCS#11.

  1. Arrêtez les bases de données à l'aide du KMS AWS.

    Arrêtez toutes les bases de données qui utilisent AWS KMS pour les clés de cryptage maître (MEK) avant de mettre à jour le pilote :

    dbaascli database stop [--dbname <value>]
  2. Vérifiez que les bases de données ont été arrêtées.

    Assurez-vous que toutes les bases de données utilisant AWS KMS ont été arrêtées avant de continuer.

  3. Mettez à niveau le RPM.

    En tant qu'utilisateur root, exécutez la commande suivante (pour dbaastools 25.4.1 et versions ultérieures) : 

    /var/opt/oracle/dbaascli/dbaascli admin updateMCKMS --keystoreProvider AWS --databasesStopped

    Cette commande télécharge et installe le dernier RPM.

  4. Vérifiez l'installation du pilote.

    Exécutez la commande suivante en tant qu'utilisateur root : 

    /bin/rpm -qa | grep -i pkcs-multicloud-driver
  5. Redémarrez les bases de données.

    Une fois le pilote mis à jour, redémarrez les bases de données :

    dbaascli database start [--dbname <value>]

Notes sur la version

Passez en revue les modifications apportées aux différentes versions du pilote AWS.

Version 2.185 (251201.0551)

  • Diverses corrections de bug et améliorations en matière de stabilité.

Rubrique parent : Notes sur la version