Gérer les clés de cryptage
Cet article fournit des détails sur le cryptage et les clés de cryptage.
Oracle Base Database Service crypte les données stockées dans des tables et des tablespaces à l'aide du cryptage transparent des données (TDE).
- Cryptage transparent des données
- Base Database Service utilise le cryptage transparent des données pour crypter et décrypter tous les tablespaces créés par l'utilisateur.
- Clés de cryptage
- Vous pouvez choisir de crypter la base de données à l'aide de vos propres clés de cryptage (clés gérées par le client) ou d'utiliser des clés gérées par Oracle. Par défaut, Base Database Service utilise des clés gérées par Oracle. La clé gérée par le client est stockée dans OCI Vault, qui est externe à l'hôte de base de données.
- Clé OCI Vault
- Dans OCI Vault, les clés de cryptage sont des entités logiques qui contiennent des versions de clé utilisées pour le cryptage et le décryptage. Ces versions de clé peuvent être générées automatiquement par OCI Vault ou importées à partir d'une source externe (Bring-Your-Own-Key).
Pour plus d'informations, reportez-vous à Introduction au cryptage transparent des données et à Gestion des clés OCI Vault.
Stratégie IAM requise
Si vous voulez utiliser vos propres clés de cryptage pour crypter une base de données, vous devez créer un groupe dynamique et lui affecter des stratégies propres aux clés de cryptage gérées par le client. Reportez-vous à Gestion des groupes dynamiques et à la rubrique Autoriser les administrateurs de sécurité à gérer des coffres, des clés et des clés secrètes dans Stratégies courantes.
Informations générales
Lors de la création d'un système de base de données, une clé est affectée à la base de données Conteneur et à la base de données pluggable.
Si elle est fournie, la version de clé sera uniquement utilisée pour la base de données Conteneur et non pour sa base de données pluggable. Une nouvelle version de clé générée automatiquement est affectée à la base de données pluggable. Les versions de clé spécifiques ne peuvent pas être affectées aux bases de données pluggables lors de la création.
La base de données pluggable utilisera toujours la même clé que la base de données Conteneur, mais avec la même version de clé ou une version différente.
Vous pouvez spécifier n'importe quelle version de clé, y compris la dernière version de la clé sélectionnée.
Par défaut, la base de données est configurée à l'aide de clés gérées par Oracle. Toutefois, vous pouvez choisir de le configurer à l'aide de clés gérées par le client.
Effectuer une rotation de la clé de cryptage
L'opération de rotation de clé de cryptage génère une nouvelle version de clé pour la même clé.
Vous pouvez effectuer n'importe quel nombre de rotations de clé. La rotation périodique des clés limite la quantité de données cryptées ou signées par une version de clé. L'historique des clés retirées est également maintenu, ce qui vous permet de faire pivoter la clé tout en étant capable de déchiffrer les données chiffrées par une clé antérieure.
La clé de rotation au niveau de la base de données Conteneur et de la base de données pluggable fonctionne indépendamment l'une de l'autre. L'opération de rotation de clé sur une base de données Conteneur n'entraîne pas la rotation de clés dans les bases de données pluggables. De même, la rotation des clés dans une base de données pluggable n'entraîne pas la rotation des clés dans d'autres bases de données pluggables ou dans sa base de données Conteneur.
Pour vous assurer que vous utilisez la dernière version, effectuez une rotation des clés à partir de la page de détails de la base de données sur la console OCI au lieu de la page de console du service Vault.
Remarques :
La rotation des clés de cryptage n'est pas disponible pour les bases de données qui utilisent le cryptage géré par Oracle.Pour effectuer la rotation d'une clé de cryptage à l'aide de la console OCI, reportez-vous à Effectuer la rotation de la clé de cryptage pour une base de données et à Effectuer la rotation de la clé de cryptage pour une base de données pluggable.
Affecter une version de clé
Vous pouvez créer et affecter de nouvelles versions de clé pour les bases de données Conteneur et les bases de données pluggables. Seule la version de la clé peut être modifiée. La clé ne peut pas être modifiée.
Pour affecter la version de clé à l'aide de la console OCI, reportez-vous à Affectation d'une nouvelle version de clé pour une base de données et à Affectation d'une nouvelle version de clé pour une base de données pluggable.
Modifier la gestion des clés
Vous pouvez passer de clés gérées par Oracle à des clés gérées par le client sur des bases de données existantes. Toutefois, le passage des clés gérées par le client aux clés gérées par Oracle n'est pas pris en charge.
Lorsqu'une clé est modifiée pour une base de données Conteneur, elle est également automatiquement appliquée à une base de données pluggable. La clé d'une base de données pluggable ne peut pas être modifiée indépendamment. La base de données pluggable utilisera toujours la même clé que celle de la base de données Conteneur, mais elle peut utiliser la même version de clé ou une version différente.
Lors du passage aux clés gérées par le client, la base de données Conteneur et toutes ses bases de données pluggables doivent être ouvertes et tous les tablespaces doivent être en mode lecture/écriture.
Pour modifier le type de gestion des clés à l'aide de la console OCI, reportez-vous à Modification du type de gestion des clés pour une base de données.
Cloner, cloner à distance et transférer une base de données pluggable
La base de données clonée utilisera la même version de clé que la base de données source lors du clonage d'un système de base de données qui utilise des clés de cryptage gérées par le client.
Les bases de données source et cible doivent utiliser la même clé mais peuvent avoir une version de clé différente. L'opération de clonage ou de transfert à distance échoue si les bases de données source et cible utilisent des clés différentes.
Les clés font l'objet d'une rotation dans le coffre de clés cible après des opérations de clonage et de transfert à distance. Par conséquent, de nouvelles versions de clé seront générées pour la base de données pluggable clonée ou transférée distante dans la base de données cible.