Effectuer une rotation des clés de cryptage

Vous pouvez effectuer la rotation des clés de cryptage maître associées à une base de données AI autonome sur une infrastructure Exadata dédiée à l'aide de la console Oracle Cloud Infrastructure.

Rotation de la clé de cryptage d'une base de données Conteneur Autonomous

Stratégies IAM requises

manage autonomous-container-databases

Procédure

  1. Accédez à la page Détails de la base de données Conteneur Autonomous pour laquelle effectuer la rotation de la clé de cryptage.

    Pour obtenir des instructions, reportez-vous à Affichage des détails d'une base de données Conteneur Autonomous.

  2. Sous Actions, cliquez sur Effectuer une rotation de la clé de cryptage.
  3. (Facultatif) Pour utiliser une clé de cryptage client (BYOK), sélectionnez Faire pivoter à l'aide de la clé fournie par le client (BYOK). BYOK est pris en charge dans Oracle Public Cloud uniquement.
    • Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
      • Effectuez la rotation des clés tierces dans le module HSM externe afin que ce dernier génère une nouvelle version de clé.
      • Copiez l'ID de version de la clé faisant l'objet d'une rotation et utilisez-le pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin qu'OCI Key Management (EKMS) puisse créer un OCID de version de clé.
      • Copiez l'OCID de version de clé nouvellement créé à partir d'EKMS.
    • Pour les coffres OCI : entrez l'OCID de la clé de cryptage client importée dans OCID de version de clé. L'OCID de version de clé que vous entrez doit être associé à la clé de cryptage en cours de la base de données Conteneur Autonomous.
  4. Cliquez sur Effectuer une rotation de la clé de cryptage.
La base de données Conteneur Autonomous prend le statut Mise à jour, elle fait l'objet d'une rotation et elle reprend le statut Active. Le mode de rotation de la clé de cryptage varie selon qu'elle est gérée par Oracle ou par le client :
  • Clé gérée par Oracle : Base de données Autonomous AI effectue la rotation des clés de cryptage en stockant la nouvelle valeur dans la banque de clés sécurisée sur le système Exadata sur lequel réside la base de données Conteneur Autonomous.
  • Clé gérée par un client : Autonomous AI Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Oracle Key Vault (OKV) pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Exadata Cloud@Customer) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données Conteneur Autonomous.

    Vous pouvez visualiser le dernier OCID de version de clé et l'intégralité de l'historique de clé à partir de la page de détails de la base de données Conteneur Autonomous.

    Remarques :

    Dans un cadre Data Guard inter-région avec des clés gérées par le client, le coffre répliqué utilisé par la base de données de secours est en lecture seule. Par conséquent, lorsque la base de données de secours assume le rôle principal suite à un basculement, vous ne pouvez pas effectuer de rotation de la clé.

Rotation de la clé de cryptage d'une base de données d'IA autonome

Vous effectuez la rotation de la clé de cryptage d'une base de données d'IA autonome à partir de sa page Détails.

  1. Accédez à la page Détails de la base de données Autonomous AI dont vous voulez effectuer une rotation de clés de cryptage.

    Pour obtenir des instructions, reportez-vous à Affichage des détails d'une base de données Autonomous AI dédiée.

  2. Dans Oracle Public Cloud, cliquez sur Effectuer une rotation de la clé de cryptage sous Actions supplémentaires, puis sur Exadata Cloud@Customer, cliquez sur Effectuer une rotation de la clé de cryptage sous Actions.

  3. (Facultatif) Pour utiliser une clé de cryptage client (BYOK), sélectionnez Faire pivoter à l'aide de la clé fournie par le client (BYOK). BYOK est pris en charge dans Oracle Public Cloud uniquement.
    • Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
      • Effectuez la rotation des clés tierces dans le module HSM externe afin que ce dernier génère une nouvelle version de clé.
      • Copiez l'ID de version de la clé faisant l'objet d'une rotation et utilisez-le pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin qu'OCI Key Management (EKMS) puisse créer un OCID de version de clé.
      • Copiez l'OCID de version de clé nouvellement créé à partir d'EKMS.
    • Pour les coffres OCI : entrez l'OCID de la clé de cryptage client importée dans OCID de version de clé. L'OCID de version de clé que vous entrez doit être associé à la clé de cryptage en cours de la base de données Conteneur Autonomous.
  4. Cliquez sur Effectuer une rotation de la clé de cryptage.
La base de données IA autonome passe au statut Mise à jour, la clé de cryptage fait l'objet d'une rotation et la base de données IA autonome revient au statut Actif. Le mode de rotation de la clé de cryptage varie selon qu'elle est gérée par Oracle ou par le client :
  • Clé gérée par Oracle : Base de données Autonomous AI effectue la rotation des clés de cryptage en stockant la nouvelle valeur dans la banque de clés sécurisée sur le système Exadata sur lequel réside la base de données Autonomous AI.
  • Clé gérée par un client : Autonomous AI Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Oracle Key Vault (OKV) pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Exadata Cloud@Customer) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données Autonomous AI.

    Vous pouvez visualiser la dernière version d'OCID de clé et l'intégralité de l'historique des clés à partir de la page de détails de la base de données AI autonome.

    Remarques :

    Dans un cadre Data Guard inter-région avec des clés gérées par le client, le coffre répliqué utilisé par la base de données de secours est en lecture seule. Par conséquent, lorsque la base de données de secours assume le rôle principal suite à un basculement, vous ne pouvez pas effectuer de rotation de la clé.