Effectuer une rotation des clés de cryptage
Vous pouvez effectuer la rotation des clés de cryptage maître associées à une base de données AI autonome sur une infrastructure Exadata dédiée à l'aide de la console Oracle Cloud Infrastructure.
Rubriques connexes
Rotation de la clé de cryptage d'une base de données Conteneur Autonomous
Stratégies IAM requises
manage autonomous-container-databases
Procédure
- Accédez à la page Détails de la base de données Conteneur Autonomous pour laquelle effectuer la rotation de la clé de cryptage.
Pour obtenir des instructions, reportez-vous à Affichage des détails d'une base de données Conteneur Autonomous.
- Sous Actions, cliquez sur Effectuer une rotation de la clé de cryptage.
- (Facultatif) Pour utiliser une clé de cryptage client (BYOK), sélectionnez Faire pivoter à l'aide de la clé fournie par le client (BYOK). BYOK est pris en charge dans Oracle Public Cloud uniquement.
- Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
- Effectuez la rotation des clés tierces dans le module HSM externe afin que ce dernier génère une nouvelle version de clé.
- Copiez l'ID de version de la clé faisant l'objet d'une rotation et utilisez-le pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin qu'OCI Key Management (EKMS) puisse créer un OCID de version de clé.
- Copiez l'OCID de version de clé nouvellement créé à partir d'EKMS.
- Pour les coffres OCI : entrez l'OCID de la clé de cryptage client importée dans OCID de version de clé. L'OCID de version de clé que vous entrez doit être associé à la clé de cryptage en cours de la base de données Conteneur Autonomous.
- Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
- Cliquez sur Effectuer une rotation de la clé de cryptage.
- Clé gérée par Oracle : Base de données Autonomous AI effectue la rotation des clés de cryptage en stockant la nouvelle valeur dans la banque de clés sécurisée sur le système Exadata sur lequel réside la base de données Conteneur Autonomous.
- Clé gérée par un client : Autonomous AI Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Oracle Key Vault (OKV) pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Exadata Cloud@Customer) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données Conteneur Autonomous.
Vous pouvez visualiser le dernier OCID de version de clé et l'intégralité de l'historique de clé à partir de la page de détails de la base de données Conteneur Autonomous.
Remarques :
Dans un cadre Data Guard inter-région avec des clés gérées par le client, le coffre répliqué utilisé par la base de données de secours est en lecture seule. Par conséquent, lorsque la base de données de secours assume le rôle principal suite à un basculement, vous ne pouvez pas effectuer de rotation de la clé.
Rotation de la clé de cryptage d'une base de données d'IA autonome
Vous effectuez la rotation de la clé de cryptage d'une base de données d'IA autonome à partir de sa page Détails.
- Accédez à la page Détails de la base de données Autonomous AI dont vous voulez effectuer une rotation de clés de cryptage.
Pour obtenir des instructions, reportez-vous à Affichage des détails d'une base de données Autonomous AI dédiée.
-
Dans Oracle Public Cloud, cliquez sur Effectuer une rotation de la clé de cryptage sous Actions supplémentaires, puis sur Exadata Cloud@Customer, cliquez sur Effectuer une rotation de la clé de cryptage sous Actions.
- (Facultatif) Pour utiliser une clé de cryptage client (BYOK), sélectionnez Faire pivoter à l'aide de la clé fournie par le client (BYOK). BYOK est pris en charge dans Oracle Public Cloud uniquement.
- Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
- Effectuez la rotation des clés tierces dans le module HSM externe afin que ce dernier génère une nouvelle version de clé.
- Copiez l'ID de version de la clé faisant l'objet d'une rotation et utilisez-le pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin qu'OCI Key Management (EKMS) puisse créer un OCID de version de clé.
- Copiez l'OCID de version de clé nouvellement créé à partir d'EKMS.
- Pour les coffres OCI : entrez l'OCID de la clé de cryptage client importée dans OCID de version de clé. L'OCID de version de clé que vous entrez doit être associé à la clé de cryptage en cours de la base de données Conteneur Autonomous.
- Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
- Cliquez sur Effectuer une rotation de la clé de cryptage.
- Clé gérée par Oracle : Base de données Autonomous AI effectue la rotation des clés de cryptage en stockant la nouvelle valeur dans la banque de clés sécurisée sur le système Exadata sur lequel réside la base de données Autonomous AI.
- Clé gérée par un client : Autonomous AI Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Oracle Key Vault (OKV) pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Exadata Cloud@Customer) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données Autonomous AI.
Vous pouvez visualiser la dernière version d'OCID de clé et l'intégralité de l'historique des clés à partir de la page de détails de la base de données AI autonome.
Remarques :
Dans un cadre Data Guard inter-région avec des clés gérées par le client, le coffre répliqué utilisé par la base de données de secours est en lecture seule. Par conséquent, lorsque la base de données de secours assume le rôle principal suite à un basculement, vous ne pouvez pas effectuer de rotation de la clé.