Gestione delle chiavi di cifratura su dispositivi esterni
Scopri come memorizzare e gestire le chiavi di cifratura del database.
Sono disponibili due opzioni per memorizzare e gestire le chiavi di cifratura del database per i database in Oracle Exadata Database Service on Dedicated Infrastructure:
- In un file wallet di login automatico memorizzato in un file system Oracle Advanced Cluster File System (Oracle ACFS) accessibile dal sistema operativo VM del cliente.
- Oracle Key Vault.
- Chiavi gestite dal cliente in Oracle Exadata Database Service on Dedicated Infrastructure
Chiavi gestite dal cliente per Oracle Exadata Database Service on Dedicated Infrastructure è una funzione che consente di eseguire la migrazione della chiave di cifratura principale TDE di Oracle Database per un Oracle Database dal file wallet protetto da password memorizzato nell'apparecchiatura Oracle Exadata Database Service on Dedicated Infrastructure a un server OKV controllato dall'utente. - Informazioni su Oracle Key Vault
Oracle Key Vault è un'appliance software full-stack e con protezione avanzata creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda. - Panoramica del keystore
Integrare Oracle Key Vault (OKV) on-premise con i servizi cloud di database gestiti dal cliente per proteggere i dati critici su ExaDB-D. - Policy IAM obbligatoria per la gestione di OKV su Oracle Exadata Database Service on Dedicated Infrastructure
Esamina la policy di gestione degli accessi alle identità (IAM) per la gestione di OKV sui sistemi Oracle Exadata Database Service on Dedicated Infrastructure. - Applicazione di tag alle risorse
È possibile applicare tag alle risorse per organizzarle in base alle esigenze aziendali. - Spostamento delle risorse in un altro compartimento
È possibile spostare le risorse del vault, del segreto e del keystore OKV da un compartimento all'altro. - Impostazione dell'utilizzo di Oracle Exadata Database Service on Dedicated Infrastructure con Oracle Key Vault
Esaminare i prerequisiti per impostare Oracle Exadata Database Service on Dedicated Infrastructure in modo che funzioni con Oracle Key Vault. - Gestione del keystore
Scopri come gestire il keystore. - Amministrazione delle chiavi TDE (Transparent Data Encryption)
Usare questa procedura per modificare la configurazione di gestione delle chiavi. - Come duplicare manualmente un pluggable database (PDB) da un container database remoto (CDB) quando i dati vengono cifrati con la chiave di cifratura master (MEK) in Oracle Key Vault (OKV)
Lo strumento dbaascli consente di duplicare i PDB quando il CDB di origine e il CDB di destinazione sono uguali (copia locale) o se sono diversi (copia remota). Tuttavia, non è possibile duplicare un PDB remoto se i dati sono cifrati con una chiave MEK in OKV. - Come aggiornare la home di Oracle Key Vault (OKV) in Oracle Exadata Database Service on Dedicated Infrastructure
Argomento padre: guide esplicative
Chiavi gestite dal cliente in Oracle Exadata Database Service on Dedicated Infrastructure
Le chiavi gestite dal cliente per Oracle Exadata Database Service on Dedicated Infrastructure sono una funzione che consente di eseguire la migrazione della chiave di cifratura principale TDE di Oracle Database per un Oracle Database dal file wallet protetto da password memorizzato nell'apparecchiatura di Oracle Exadata Database Service on Dedicated Infrastructure a un server OKV controllato dall'utente.
Oracle Key Vault (OKV) fornisce la gestione delle chiavi e dei segreti con tolleranza degli errori, alta disponibilità e scalabilità per i database ExaDB-D cifrati. Utilizza le chiavi gestite dal cliente quando hai bisogno di governance della sicurezza, compliance normativa e crittografia omogenea dei dati, gestendo, memorizzando e monitorando centralmente il ciclo di vita delle chiavi che utilizzi per proteggere i tuoi dati.
È possibile effettuare le seguenti operazioni.
- Passa dalle chiavi gestite da Oracle alle chiavi gestite dal cliente per i database, indipendentemente dal fatto che siano abilitate o meno con Data Guard.
- Ruotare le chiavi per mantenere la conformità alla sicurezza.
- È supportata anche la rotazione della chiave PDB. Le operazioni Ruota CDB e Chiave PDB sono consentite solo se il database è gestito dal cliente.
Requisiti
- Per abilitare la gestione delle chiavi di cifratura gestite dal cliente, è necessario creare un criterio nella tenancy che consenta a un determinato gruppo dinamico di eseguire tale operazione. Per ulteriori informazioni, vedere Impostazione dell'utilizzo di Oracle Exadata Database Service on Dedicated Infrastructure con Oracle Key Vault.
- I pluggable database devono essere configurati in modalità United. Per ulteriori informazioni sulla modalità United, vedere Gestione dei keystore e delle chiavi di cifratura principali TDE in modalità United.
Modalità isolata non supportata. Per ulteriori informazioni sulla modalità isolata, vedere Gestione dei keystore e delle chiavi di cifratura principali TDE in modalità isolata
- Se per Oracle Key Vault è stato configurato un servizio di database Exadata utilizzando le procedure pubblicate nella pagina relativa alla migrazione della funzione TDE basata su file a OKV per Exadata Database Service on Cloud at Customer Gen2 (ID documento 2823650.1), è necessario aprire una richiesta di servizio My Oracle Support (MOS) per fare in modo che le operazioni cloud Oracle aggiornino la configurazione del piano di controllo in modo che rifletta le informazioni di Oracle Key Vault per il servizio di database Exadata specifico
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Informazioni su Oracle Key Vault
Oracle Key Vault è un'appliance software full-stack e con protezione avanzata creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda.
Oracle Key Vault è un sistema gestito e con provisioning eseguito dai clienti e non fa parte dei servizi gestiti di Oracle Cloud Infrastructure.
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Panoramica del keystore
Integra Oracle Key Vault (OKV) on-premise con i servizi cloud di database gestiti dal cliente per proteggere i dati critici su ExaDB-D.
L'integrazione di Oracle Key Vault consente di assumere il controllo completo delle chiavi di cifratura e di memorizzarle in modo sicuro su un dispositivo di gestione delle chiavi esterno e centralizzato.
OKV è ottimizzato per i wallet Oracle, i keystore Java e le chiavi principali TDE (Transparent Data Encryption) di Oracle Advanced Security. Oracle Key Vault supporta lo standard KMIP OASIS. L'appliance software full-stack e con protezione avanzata utilizza la tecnologia Oracle Linux e Oracle Database per garantire sicurezza, disponibilità e scalabilità e può essere distribuita su un hardware compatibile a scelta.
OKV fornisce inoltre un'interfaccia REST per i client per l'iscrizione automatica degli endpoint e l'impostazione di wallet e chiavi. Oracle Exadata Database Service on Dedicated Infrastructure memorizza temporaneamente la password dell'amministratore utente REST OKV necessaria per connettersi all'appliance OKV in un file wallet protetto da password in modo che il software in esecuzione nella VM del cliente possa connettersi al server OKV. Dopo la migrazione delle chiavi TDE in OKV, il software di automazione del cloud rimuoverà la password dal file wallet. Assicurarsi di creare un segreto con il servizio Vault di Oracle, in cui verrà memorizzata la password necessaria per consentire ai database autonomi di connettersi a OKV per la gestione delle chiavi.
Per ulteriori informazioni, vedere Oracle Key Vault.
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Criteri IAM necessari per la gestione di OKV su Oracle Exadata Database Service on Dedicated Infrastructure
Esaminare il criterio di gestione dell'accesso alle identità (IAM) per gestire OKV sui sistemi Oracle Exadata Database Service on Dedicated Infrastructure.
Un criterio è un documento IAM che specifica chi dispone del tipo di accesso alle risorse. Viene utilizzato in diversi modi: per singola istruzione scritta nel linguaggio dei criteri, per raccolta di istruzioni in un singolo documento denominato "criterio" (a cui è assegnato un ID Oracle Cloud (OCID) e per indicare il corpo complessivo dei criteri utilizzati dall'organizzazione per controllare l'accesso alle risorse.
Per compartimento si intende una raccolta di risorse correlate alle quali possono accedere solo determinati gruppi autorizzati da un amministratore dell'organizzazione.
Per utilizzare Oracle Cloud Infrastructure, devi ricevere il tipo di accesso richiesto in un criterio scritto da un amministratore, sia che tu stia utilizzando la console, sia che tu stia utilizzando l'API REST con un kit di sviluppo software (SDK), un'interfaccia della riga di comando (CLI) o qualche altro strumento. Se si tenta di eseguire un'azione e si riceve un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, confermare con l'amministratore il tipo di accesso concesso e il compartimento in cui si dovrebbe lavorare.
Per gli amministratori: il criterio in Consenti agli amministratori del database di gestire i sistemi DB consente al gruppo specificato di eseguire qualsiasi operazione con i database e le risorse di database correlate.
Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni. Se si desidera approfondire la scrittura dei criteri per i database, vedere Dettagli per il servizio di database.
Applicazione di tag alle risorse
Puoi applicare tag alle tue risorse per aiutarti a organizzarle in base alle tue esigenze aziendali.
È possibile applicare le tag al momento della creazione di una risorsa oppure aggiornare la risorsa in un secondo momento con le tag desiderate. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Spostamento delle risorse in un altro compartimento
È possibile spostare le risorse del vault, del segreto e del keystore OKV da un compartimento all'altro.
Dopo aver spostato una risorsa OCI in un nuovo compartimento, i criteri intrinseci vengono applicati immediatamente e influiscono sull'accesso alla risorsa. Lo spostamento di una risorsa del vault OKV non influisce sull'accesso a chiavi del vault OKV o a segreti del vault OKV contenuti nel vault. È possibile spostare una chiave OCI o un segreto OCI da un compartimento a un altro indipendentemente dallo spostamento del vault OKV a cui è associato. Per ulteriori informazioni, vedere Gestione dei compartimenti.
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Impostazione di Oracle Exadata Database Service on Dedicated Infrastructure per l'utilizzo di Oracle Key Vault
Rivedere i prerequisiti per impostare Oracle Exadata Database Service on Dedicated Infrastructure in modo che funzioni con Oracle Key Vault.
Requisiti indispensabili
- Assicurarsi che OKV sia impostato e che la rete sia accessibile dalla rete client Exadata. Aprire le porte 443, 5695 e 5696 per i dati in uscita sulla rete client per il software client OKV e l'istanza di database Oracle per accedere al server OKV.
- Assicurarsi che l'interfaccia REST sia abilitata dall'interfaccia utente OKV.
- Crea l'utente "Amministratore REST OKV".
È possibile utilizzare qualsiasi nome utente qualificato di propria scelta, ad esempio "okv_rest_user". Per ADB-C@C, ExaDB-C@C e ExaDB-D utilizzare gli stessi utenti REST o diversi. Tali database possono essere gestiti mediante chiavi negli stessi cluster OKV on premise o in altri cluster. ExaDB-C@C e ExaDB-D richiedono un utente REST con il privilegio di creazione dell'endpoint. ADB-C@C richiede un utente REST con privilegi
create endpoint
ecreate endpoint group
. - Raccogliere le credenziali e l'indirizzo IP dell'amministratore OKV, necessario per connettersi a OKV.
Per ulteriori informazioni, vedere: "Requisiti delle porte di rete", "Gestione degli utenti di Oracle Key Vault" e "Gestione dei ruoli amministrativi e dei privilegi utente".
- Passo 1: creare un vault nel servizio vault OKV e aggiungere un segreto al vault per memorizzare la password dell'amministratore REST OKV
L'infrastruttura Exadata Cloud comunica con OKV su REST ogni volta che viene eseguito il provisioning di un Oracle Database per registrare Oracle Database e richiedere un wallet su OKV. Pertanto, l'infrastruttura Exadata deve accedere alle credenziali di amministratore REST per eseguire la registrazione con il server OKV. - Passo 2: creare un gruppo dinamico e un'istruzione dei criteri per consentire al keystore di accedere al segreto nel vault OCI
Per concedere alle risorse del keystore l'autorizzazione per accedere al segreto nel vault OCI, creare un gruppo dinamico IAM che identifichi queste risorse e quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso al segreto creato nei vault e nei segreti OCI. - Passo 3: creare un gruppo dinamico e un'istruzione dei criteri per l'infrastruttura Exadata nel keystore
Per concedere alle risorse dell'infrastruttura Exadata Cloud l'autorizzazione per accedere al keystore, creare un gruppo dinamico IAM che identifichi queste risorse e quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso al keystore creato. - Passo 4: creare un'istruzione dei criteri per consentire al servizio di database di utilizzare il segreto dal servizio OCI Vault
Per concedere al servizio di database Exadata l'autorizzazione a utilizzare il segreto in OCI Vault per eseguire il login all'interfaccia REST OKV; passare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente i vault e i segreti OCI. - Passo 5: creazione del keystore
Seguire questi passi per creare un keystore per connettersi a un'appliance di chiavi di cifratura in locale, ad esempio Oracle Key Vault (OKV).
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Passo 1: creare un vault nel servizio vault OKV e aggiungere un segreto al vault per memorizzare la password dell'amministratore REST OKV
L'infrastruttura Exadata Cloud comunica con OKV su REST ogni volta che viene eseguito il provisioning di un Oracle Database per registrare Oracle Database e richiedere un wallet su OKV. Pertanto, l'infrastruttura Exadata deve accedere alle credenziali di amministratore REST per eseguire la registrazione con il server OKV.
Queste credenziali vengono memorizzate in modo sicuro nel servizio Oracle Vault in OCI sotto forma di segreto e vi si accede dall'infrastruttura dell'infrastruttura Exadata Cloud solo quando necessario. Se necessario, le credenziali vengono memorizzate in un file wallet protetto da password.
Per memorizzare la password dell'amministratore OKV nel servizio OKV Vault, creare un vault attenendosi alle istruzioni descritte in Gestione dei vault e creare un segreto in tale vault seguendo le istruzioni descritte in Gestione dei segreti.
Argomenti correlati
Passo 2: creare un gruppo dinamico e un'istruzione dei criteri per consentire al keystore di accedere al segreto nel vault OCI
Per concedere alle risorse del keystore l'autorizzazione per accedere al segreto nel vault OCI, creare un gruppo dinamico IAM che identifichi queste risorse, quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso al segreto creato nei vault e nei segreti OCI.
Quando si definisce il gruppo dinamico, è possibile identificare le risorse del keystore specificando l'OCID del compartimento contenente il keystore.
- Copiare l'OCID del compartimento contenente la risorsa del keystore.
Puoi trovare questo OCID nella pagina Dettagli del compartimento del compartimento.
- Creare un gruppo dinamico seguendo le istruzioni riportate in "Per creare un gruppo dinamico" nella documentazione di Oracle Cloud Infrastructure. Quando si seguono queste istruzioni, immettere una regola di corrispondenza in questo formato:
ALL {resource.compartment.id ='<compartment-ocid>'}
dove
<compartment-ocid>
è l'OCID del compartimento contenente la risorsa del keystore. - Dopo aver creato il gruppo dinamico, passare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente i vault e i segreti. Aggiungere quindi un'istruzione criterio di questo formato:
allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>
dove
<dynamic-group>
è il nome del gruppo dinamico creato e<vaults-and-secrets-compartment>
è il nome del compartimento in cui sono stati creati i vault e i segreti.
Passo 3: creare un gruppo dinamico e un'istruzione dei criteri per l'infrastruttura Exadata nel keystore
Per concedere alle risorse dell'infrastruttura Exadata Cloud l'autorizzazione per accedere al keystore, creare un gruppo dinamico IAM che identifichi queste risorse, quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso al keystore creato.
Quando si definisce il gruppo dinamico, si identificano le risorse dell'infrastruttura Exadata Cloud specificando l'OCID del compartimento contenente l'infrastruttura Exadata.
- Copiare l'OCID del compartimento contenente la risorsa dell'infrastruttura Exadata Cloud.
Puoi trovare questo OCID nella pagina Dettagli del compartimento del compartimento.
- Creare un gruppo dinamico seguendo le istruzioni riportate in "Per creare un gruppo dinamico" nella documentazione di Oracle Cloud Infrastructure. Quando si seguono queste istruzioni, immettere una regola di corrispondenza in questo formato:
ALL {resource.compartment.id ='<compartment-ocid>'}
dove
<compartment-ocid>
è l'OCID del compartimento contenente la risorsa dell'infrastruttura Exadata. - Dopo aver creato il gruppo dinamico, passare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente il keystore. Aggiungere quindi un'istruzione criterio di questo formato:
Allow dynamic-group <dynamic-group> to use keystores in compartment <key-store-compartment>
dove
<dynamic-group>
è il nome del gruppo dinamico creato e<key-store-compartment>
è il nome del compartimento in cui è stato creato il keystore.
Passo 4: creare un'istruzione dei criteri per consentire al servizio di database di utilizzare il segreto dal servizio Vault OCI
Per concedere al servizio di database Exadata l'autorizzazione a utilizzare il segreto in OCI Vault per eseguire il login all'interfaccia REST OKV, andare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente i vault e i segreti OCI.
Aggiungere quindi un'istruzione criterio di questo formato:
allow service database to read secret-family in compartment <vaults-and-secrets-compartment>
dove <vaults-and-secrets-compartment>
è il nome del compartimento in cui sono stati creati i vault e i segreti OCI.
Una volta impostato il vault OKV e impostata la configurazione IAM, ora è possibile distribuire il 'Key Store' di Oracle Key Vault in OCI e associarlo al cluster VM Exadata.
Gestione del keystore
Scopri come gestire il tuo keystore.
- Visualizza dettagli keystore
Seguire questi passi per visualizzare i dettagli del keystore che includono i dettagli di connessione a Oracle Key Vault (OKV) e la lista dei database associati. - Modifica dettagli keystore
È possibile modificare un keystore solo se non è associato ad alcun CDB. - Sposta un keystore in un altro compartimento
Segui questi passi per spostare un keystore su un sistema Oracle Exadata Database Service on Dedicated Infrastructure da un compartimento a un altro compartimento. - Eliminare un keystore
È possibile eliminare un keystore solo se non è associato ad alcun CDB. - Visualizza dettagli container database associati a keystore
Per visualizzare i dettagli del container database associato a un keystore, attenersi alla procedura riportata di seguito. - Uso dell'interfaccia API per gestire il keystore
Informazioni su come utilizzare l'interfaccia API per gestire il keystore.
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Visualizza dettagli keystore
Attenersi alla procedura riportata di seguito per visualizzare i dettagli del keystore che includono i dettagli di connessione a Oracle Key Vault (OKV) e la lista dei database associati.
Argomento padre: Gestione del keystore
Modifica dettagli keystore
È possibile modificare un keystore solo se non è associato ad alcun CDB.
- Aprire il menu di navigazione. In Oracle Database, fare clic su Oracle Exadata Database Service on Dedicated Infrastructure.
- Selezionare il compartimento.
- Fare clic su Negozi chiave.
- Fare clic sul nome del keystore o sull'icona Azioni (tre punti), quindi fare clic su Visualizza dettagli.
- Nella pagina Dettagli keystore, fare clic su Modifica.
- Nella pagina Modifica keystore apportare le modifiche necessarie, quindi fare clic su Salva modifiche.
Argomento padre: Gestione del keystore
Spostare un keystore in un altro compartimento
Attenersi alla procedura riportata di seguito per spostare un keystore in un sistema Oracle Exadata Database Service on Dedicated Infrastructure da un compartimento a un altro compartimento.
- Aprire il menu di navigazione. In Oracle Database, fare clic su Oracle Exadata Database Service on Dedicated Infrastructure.
- Selezionare il compartimento.
- Fare clic su Negozi chiave.
- Fare clic sul nome del keystore o sull'icona Azioni (tre punti), quindi fare clic su Visualizza dettagli.
- Nella pagina Dettagli keystore, fare clic su Sposta risorsa.
- Nella pagina Sposta risorsa in un altro compartimento, selezionare il nuovo compartimento.
- Fare clic su Sposta risorsa.
Argomento padre: Gestione del keystore
Elimina un keystore
È possibile eliminare un keystore solo se non è associato ad alcun CDB.
- Aprire il menu di navigazione. In Oracle Database, fare clic su Oracle Exadata Database Service on Dedicated Infrastructure.
- Selezionare il compartimento.
- Fare clic su Negozi chiave.
- Fare clic sul nome del keystore o sull'icona Azioni (tre punti), quindi fare clic su Visualizza dettagli.
- Nella pagina Dettagli keystore, fare clic su Elimina.
- Nella finestra di dialogo Elimina keystore, fare clic su Elimina.
Argomento padre: Gestione del keystore
Visualizza dettagli container database associato al keystore
Attenersi alla procedura riportata di seguito per visualizzare i dettagli del container database associato a un keystore.
- Aprire il menu di navigazione. In Oracle Database, fare clic su Oracle Exadata Database Service on Dedicated Infrastructure.
- Selezionare il compartimento.
- Fare clic su Negozi chiave.
- Nella pagina Keystore risultante, fare clic sul nome del keystore o sull'icona Azioni (tre punti), quindi fare clic su Visualizza dettagli.
- Fare clic sul nome del database associato o sull'icona Azioni (tre punti), quindi fare clic su Visualizza dettagli.
Argomento padre: Gestione del keystore
Utilizzo dell'API per gestire il keystore
Scopri come utilizzare l'API per gestire il keystore.
Per informazioni sull'uso dell'API e delle richieste di firma, vedere API REST e Credenziali di sicurezza. Per informazioni sugli SDK, vedere Software Development Kits and Command Line Interface.
Operation | Endpoint dell'API REST |
---|---|
Crea keystore OKV | CreateKeyStore |
Visualizza keystore OKV | GetKeyStore |
Aggiorna keystore OKV | UpdateKeyStore |
Elimina keystore OKV | DeleteKeyStore |
Modifica compartimento del keystore | ChangeKeyStoreCompartment |
Scegli tra la cifratura gestita dal cliente e quella gestita da Oracle | CreateDatabase |
Recupera il nome del keystore (OKV o gestito da Oracle) e del wallet OKV | GetDatabase |
Modifica tipo di keystore | changeKeyStoreType |
Ruota OKV e chiave gestita da Oracle | RotateVaultKey |
Argomenti correlati
Argomento padre: Gestione del keystore
Amministrare le chiavi TDE (Transparent Data Encryption)
Utilizzare questa procedura per modificare la configurazione di gestione delle chiavi.
Dopo aver eseguito il provisioning di un database in un sistema ExaDB-D, è possibile modificare la gestione delle chiavi ed eseguire operazioni quali la rotazione delle chiavi TDE.
- È possibile modificare la gestione delle chiavi da Oracle Wallet ad altre opzioni disponibili.
- Quando si modifica la gestione delle chiavi in OKV, il database subirà un'operazione di arresto interrotto seguita da un riavvio. Pianificare l'esecuzione della migrazione in una finestra di manutenzione pianificata.
- È necessario ruotare le chiavi TDE solo tramite le interfacce OCI (console, API).
- Non è possibile ruotare una chiave di cifratura:
- quando è in corso un ripristino del database in una determinata Oracle home.
- quando è in corso l'applicazione di patch a un database o a una home del database.
- La migrazione delle chiavi TDE a Oracle Key Vault (OKV) richiede 10 minuti di tempo di inattività. Durante la migrazione, lo stato del database sarà UPDATING e le connessioni potrebbero non riuscire a causa di più riavvii del database per abilitare OKV. Le applicazioni possono riprendere l'operazione al termine della migrazione e quando il database torna allo stato ACTIVE originale.
- La password del keystore OKV verrà impostata sulla password del wallet TDE.
Attenzione
Dopo aver modificato la gestione delle chiavi, l'eliminazione della chiave da OKV renderà il database non più disponibile.
Nella pagina dei dettagli del database per questo database, la sezione Cifratura visualizza il nome della chiave di cifratura e l'OCID della chiave di cifratura.
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Come duplicare manualmente un pluggable database (PDB) da un container database remoto (CDB) quando i dati vengono cifrati con la chiave di cifratura master (MEK) in Oracle Key Vault (OKV)
Lo strumento dbaascli consente di duplicare i PDB quando il CDB di origine e il CDB di destinazione sono uguali (copia locale) o se sono diversi (copia remota). Tuttavia, non è possibile duplicare un PDB remoto se i dati sono cifrati con una chiave MEK in OKV.
Per decifrare o cifrare i dati durante una copia remota, il container database deve avere accesso alla chiave MEK. La chiave MEK deve essere resa disponibile al CDB di destinazione quando è memorizzata nel server OKV.
- Il CDB di origine e il CDB di destinazione sono cifrati con MEK nello stesso server OKV
- Il CDB di origine e il CDB di destinazione vengono cifrati con MEK in un server OKV diverso
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Come eseguire l'upgrade della home Oracle Key Vault (OKV) in Oracle Exadata Database Service on Dedicated Infrastructure
Dopo aver eseguito la migrazione del tipo di cifratura dalle chiavi gestite da Oracle alle chiavi gestite dal cliente (Oracle Key Vault), la home OKV in DomUs rimane con la stessa versione utilizzata per la migrazione.
Se il server OKV viene aggiornato, la funzionalità continuerà a funzionare a causa della compatibilità con le versioni precedenti. Tuttavia, il cliente potrebbe voler ottenere le nuove funzionalità per gli strumenti client. In tal caso, aggiornare la home OKV e la libreria PKCS#11
.
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni