Effectuer une rotation des clés de cryptage

Vous pouvez effectuer la rotation des clés de cryptage maître associées à une base de données Autonomous AI sur une infrastructure Exadata dédiée à l'aide de la console Oracle Cloud Infrastructure.

Rotation de la clé de cryptage d'une base de données Conteneur Autonomous

Stratégies IAM requises

manage autonomous-container-databases

Procédure

1. Accédez à la page Détails de la base de données Conteneur Autonomous dont vous voulez effectuer une rotation de clé.

   Pour obtenir des instructions, reportez-vous à Affichage des détails d'une base de données Conteneur Autonomous.

2. Sous Actions, cliquez sur Effectuer une rotation de la clé de cryptage.

3. (Facultatif) Pour utiliser une clé de cryptage client (BYOK), sélectionnez Effectuer une rotation à l'aide de la clé fournie par le client (BYOK). BYOK est pris en charge dans Oracle Public Cloud uniquement.

   • Pour un KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le module HSM externe.

     • Faites pivoter les clés tierces dans le module HSM externe afin que le module HSM externe génère une nouvelle version de clé.

     • Copiez l'ID de version de la clé faisant l'objet d'une rotation et utilisez-le pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin qu'OCI Key Management (EKMS) puisse créer un OCID de version de clé.

     • Copiez l'OCID de version de clé nouvellement créé à partir d'EKMS.

   • Pour les coffres OCI : entrez l'OCID de la clé de cryptage client importée dans OCID de version de clé. L'OCID de version de clé que vous entrez doit être associé à la clé de cryptage en cours de la base de données Conteneur Autonomous.

4. Cliquez sur Effectuer une rotation la clé de chiffrement.

La base de données Conteneur Autonomous a le statut Mise à jour, la clé de cryptage a fait l'objet d'une rotation et la base de données Conteneur Autonomous reprend le statut Actif. La rotation de la clé de cryptage varie selon qu'elle est gérée par Oracle ou par le client :

• Clé gérée par Oracle : la base de données Autonomous AI effectue la rotation des clés de cryptage en stockant la nouvelle valeur dans la banque de clés sécurisée sur le système Exadata sur lequel réside la base de données Conteneur Autonomous.

• Clé gérée par un client : la base de données Autonomous AI utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données Conteneur Autonomous sur les déploiements Oracle Public Cloud et multicloud, ou Oracle Key Vault (OKV) pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Exadata Cloud@Customer, ou AWS KMS pour la base de données Autonomous AI sur Oracle Database@AWS) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associer cette nouvelle version à la base de données Conteneur Autonomous

  La rotation de la clé KMS AWS génère un nouveau contexte de chiffrement pour la même clé.

  Vous pouvez visualiser le dernier OCID de version de clé et l'intégralité de l'historique de clé à partir de la page de détails de la base de données Conteneur Autonomous. Ceci n'est pas applicable pour les clés KMS AWS.

  Remarque : dans un contexte Data Guard inter-région avec des clés gérées par un client, le coffre répliqué utilisé par la base de donnée de secours est en lecture seule. Par conséquent, lorsque la base de données de secours assume le rôle principal suite à un basculement, vous ne pouvez pas effectuer de rotation de la clé.

Rotation de la clé de cryptage d'une base de données d'IA autonome

Vous effectuez la rotation de la clé de cryptage d'une base de données Autonomous AI à partir de sa page Détails.

1. Accédez à la page Détails de la base de données Autonomous AI dont vous voulez effectuer une rotation de clé.

   Pour obtenir des instructions, reportez-vous à Affichage des détails d'une base de données d'IA autonome dédiée.

2. Dans Oracle Public Cloud, cliquez sur Effectuer une rotation de la clé de cryptage sous Actions supplémentaires, puis sur Exadata Cloud@Customer, cliquez sur Effectuer une rotation de la clé de cryptage sous Actions.

3. (Facultatif) Pour utiliser une clé de cryptage client (BYOK), sélectionnez Effectuer une rotation à l'aide de la clé fournie par le client (BYOK). BYOK est pris en charge dans Oracle Public Cloud uniquement.

   • Pour un KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le module HSM externe.

     • Faites pivoter les clés tierces dans le module HSM externe afin que le module HSM externe génère une nouvelle version de clé.

     • Copiez l'ID de version de la clé faisant l'objet d'une rotation et utilisez-le pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin qu'OCI Key Management (EKMS) puisse créer un OCID de version de clé.

     • Copiez l'OCID de version de clé nouvellement créé à partir d'EKMS.

   • Pour les coffres OCI : entrez l'OCID de la clé de cryptage client importée dans OCID de version de clé. L'OCID de version de clé que vous entrez doit être associé à la clé de cryptage en cours de la base de données Conteneur Autonomous.

4. Cliquez sur Effectuer une rotation la clé de chiffrement.

La base de données Autonomous AI passe au statut Mise à jour, la clé de cryptage fait l'objet d'une rotation et la base de données Autonomous AI revient au statut Actif. Le mode de rotation de la clé de cryptage varie selon qu'elle est gérée par Oracle ou par le client :

• Clé gérée par Oracle : la base de données Autonomous AI effectue la rotation des clés de cryptage en stockant la nouvelle valeur dans la banque de clés sécurisée sur le système Exadata sur lequel réside la base de données Autonomous AI.

• Clé gérée par un client : la base de données Autonomous AI utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données Conteneur Autonomous sur les déploiements Oracle Public Cloud et multicloud, ou Oracle Key Vault (OKV) pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Exadata Cloud@Customer, ou AWS KMS pour la base de données Autonomous AI sur Oracle Database@AWS) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associer cette nouvelle version à la base de données Conteneur Autonomous

  La rotation de la clé KMS AWS génère un nouveau contexte de chiffrement pour la même clé.

  Vous pouvez visualiser le dernier OCID de version de clé et l'intégralité de l'historique de clé à partir de la page de détails de la base de données Conteneur Autonomous. Ceci n'est pas applicable pour les clés KMS AWS.

  Remarque : dans un contexte Data Guard inter-région avec des clés gérées par un client, le coffre répliqué utilisé par la base de donnée de secours est en lecture seule. Par conséquent, lorsque la base de données de secours assume le rôle principal suite à un basculement, vous ne pouvez pas effectuer de rotation de la clé.

Contenu connexe

Clés de cryptage maître dans une base de données d'IA autonome dédiée