Effectuer une rotation des clés de cryptage
Vous pouvez effectuer la rotation des clés de cryptage maître associées à une instance Autonomous Database on Dedicated Exadata Infrastructure à l'aide de la console Oracle Cloud Infrastructure.
Rubriques connexes
Rotation de la clé de cryptage d'une base de données Conteneur Autonomous
Stratégies IAM requises
manage autonomous-container-databases
Procédure
- Accédez à la page Détails de la base de données Conteneur Autonomous pour laquelle effectuer la rotation de la clé de cryptage.
Pour obtenir des instructions, reportez-vous à Affichage des détails d'une base de données Conteneur Autonomous.
- Sous Actions, cliquez sur Effectuer une rotation de la clé de cryptage.
- (Facultatif) Pour utiliser une clé de cryptage client (BYOK), sélectionnez Faire pivoter à l'aide de la clé fournie par le client (BYOK). BYOK est pris en charge dans Oracle Public Cloud uniquement.
- Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
- Effectuez la rotation des clés tierces dans le module HSM externe afin que ce dernier génère une nouvelle version de clé.
- Copiez l'ID de version de la clé faisant l'objet d'une rotation et utilisez-le pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin qu'OCI Key Management (EKMS) puisse créer un OCID de version de clé.
- Copiez l'OCID de version de clé nouvellement créé à partir d'EKMS.
- Pour les coffres OCI : entrez l'OCID de la clé de cryptage client importée dans OCID de version de clé. L'OCID de version de clé que vous entrez doit être associé à la clé de cryptage en cours de la base de données Conteneur Autonomous.
- Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
- Cliquez sur Effectuer une rotation de la clé de cryptage.
- Clé gérée par Oracle : Autonomous Database effectue une rotation de la clé de cryptage, en stockant la nouvelle valeur dans le fichier de clés sécurisé sur le système Exadata où réside la base de données Conteneur Autonomous.
- Clé gérée par le client : Autonomous Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Oracle Key Vault (OKV) pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Exadata Cloud@Customer) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à la base de données Conteneur Autonomous.
Vous pouvez visualiser le dernier OCID de version de clé et l'intégralité de l'historique de clé à partir de la page de détails de la base de données Conteneur Autonomous.
Remarques :
Dans un cadre Data Guard inter-région avec des clés gérées par le client, le coffre répliqué utilisé par la base de données de secours est en lecture seule. Par conséquent, lorsque la base de données de secours assume le rôle principal suite à un basculement, vous ne pouvez pas effectuer de rotation de la clé.
Rotation de la clé de cryptage d'une instance Autonomous Database
Vous effectuez la rotation de la clé de cryptage d'une instance Autonomous Database à partir de sa page Détails.
- Accédez à la page Détails de l'instance Autonomous Database pour laquelle effectuer la rotation de la clé de cryptage.
Pour obtenir des instructions, reportez-vous à Affichage des détails d'une base de données autonome dédiée.
-
Dans Oracle Public Cloud, cliquez sur Effectuer une rotation de la clé de cryptage sous Actions supplémentaires, puis sur Exadata Cloud@Customer, cliquez sur Effectuer une rotation de la clé de cryptage sous Actions.
- (Facultatif) Pour utiliser une clé de cryptage client (BYOK), sélectionnez Faire pivoter à l'aide de la clé fournie par le client (BYOK). BYOK est pris en charge dans Oracle Public Cloud uniquement.
- Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
- Effectuez la rotation des clés tierces dans le module HSM externe afin que ce dernier génère une nouvelle version de clé.
- Copiez l'ID de version de la clé faisant l'objet d'une rotation et utilisez-le pour effectuer la rotation de la référence de clé dans OCI Key Management (EKMS) afin qu'OCI Key Management (EKMS) puisse créer un OCID de version de clé.
- Copiez l'OCID de version de clé nouvellement créé à partir d'EKMS.
- Pour les coffres OCI : entrez l'OCID de la clé de cryptage client importée dans OCID de version de clé. L'OCID de version de clé que vous entrez doit être associé à la clé de cryptage en cours de la base de données Conteneur Autonomous.
- Pour KMS externe : une version de clé est automatiquement affectée à chaque clé tierce dans le HSM externe.
- Cliquez sur Effectuer une rotation de la clé de cryptage.
- Clé gérée par Oracle : Autonomous Database effectue une rotation de la clé de cryptage, en stockant la nouvelle valeur dans le fichier de clés sécurisé sur le système Exadata où réside l'instance Autonomous Database.
- Clé gérée par un client : Autonomous Database utilise la technologie sous-jacente (Oracle Cloud Infrastructure Vault pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Oracle Key Vault (OKV) pour les bases de données Conteneur Autonomous sur Oracle Public Cloud ou Exadata Cloud@Customer) pour effectuer la rotation de la clé et stocker la nouvelle valeur en tant que nouvelle version de la clé dans la technologie sous-jacente, puis associe cette nouvelle version à Autonomous Database.
Vous pouvez visualiser le dernier OCID de version de clé et l'intégralité de l'historique de clé à partir de la page de détails de la base de données autonome.
Remarques :
Dans un cadre Data Guard inter-région avec des clés gérées par le client, le coffre répliqué utilisé par la base de données de secours est en lecture seule. Par conséquent, lorsque la base de données de secours assume le rôle principal suite à un basculement, vous ne pouvez pas effectuer de rotation de la clé.