Ruota chiavi di cifratura

Puoi ruotare le chiavi di cifratura master associate a un Autonomous AI Database su un'infrastruttura Exadata dedicata utilizzando la console di Oracle Cloud Infrastructure.

Ruotare la chiave di cifratura di un Autonomous Container Database

Criteri IAM necessari

manage autonomous-container-databases

Procedura

1. Andare alla pagina Dettagli di Autonomous Container Database di cui si desidera ruotare la chiave di cifratura.

   Per istruzioni, vedere Visualizza dettagli di un Autonomous Container Database.

2. In Azioni, fare clic su Ruota chiave di cifratura.

3. (Facoltativo) Per utilizzare una chiave di cifratura cliente (BYOK), selezionare Ruota utilizzando la chiave fornita dal cliente (BYOK). BYOK è supportato solo in Oracle Public Cloud.

   • Per KMS esterno: a ogni chiave di terze parti viene assegnata automaticamente una versione della chiave nell'HSM esterno.

     • Ruotare le chiavi di terze parti nell'HSM esterno in modo che l'HSM esterno generi una nuova versione della chiave.

     • Copiare l'ID versione della chiave a rotazione e utilizzarla per ruotare il riferimento chiave in OCI Key Management (EKMS) in modo che OCI Key Management (EKMS) possa creare un nuovo OCID versione della chiave.

     • Copiare il nuovo OCID versione chiave creato da EKMS.

   • Per i vault OCI: immettere l'OCID della chiave di cifratura cliente importata in OCID versione chiave. L'OCID della versione della chiave immesso deve essere associato alla chiave di cifratura corrente di Autonomous Container Database.

4. Fare clic su Ruota chiave di crittografia.

L'Autonomous Container Database passa allo stato Aggiornamento, la chiave di cifratura viene ruotata e l'Autonomous Container Database torna allo stato Attivo. La modalità di rotazione della chiave di cifratura dipende dalla modalità di gestione da parte di Oracle o del cliente:

• Chiave gestita da Oracle: Autonomous AI Database ruota la chiave di cifratura, memorizzando il nuovo valore nel keystore sicuro sul sistema Exadata in cui risiede Autonomous Container Database.

• Chiave gestita dal cliente: Autonomous AI Database utilizza la tecnologia di base (Oracle Cloud Infrastructure Vault per Autonomous Container Database su distribuzioni Oracle Public Cloud e multicloud o Oracle Key Vault (OKV) per Autonomous Container Database su Oracle Public Cloud o Exadata Cloud@Customer, oppure AWS KMS per Autonomous AI Database su Oracle Database@AWS) per ruotare la chiave e memorizzare il nuovo valore come nuova versione della chiave nella tecnologia di base, quindi associa questa nuova versione all'Autonomous Container Database.

  La rotazione della chiave KMS AWS genera un nuovo contesto di cifratura per la stessa chiave.

  È possibile visualizzare l'OCID della versione della chiave più recente e l'intera cronologia delle chiavi dalla pagina dei dettagli di Autonomous Container Database. Non è applicabile per le chiavi KMS AWS.

  Nota: nel caso di Data Guard tra più aree con chiavi gestite dal cliente, il vault replicato utilizzato dal database di standby è di sola lettura. Pertanto, quando lo standby assume il ruolo primario da un failover, non è possibile ruotare la chiave.

Ruota la chiave di cifratura di un Autonomous AI Database

È possibile ruotare la chiave di cifratura di un Autonomous AI Database dalla relativa pagina Dettagli.

1. Andare alla pagina Dettagli di Autonomous AI Database di cui si desidera ruotare la chiave di cifratura.

   Per istruzioni, vedere Visualizza i dettagli di un database AI autonomo dedicato.

2. In Oracle Public Cloud fare clic su Ruota chiave di cifratura in Altre azioni e in Exadata Cloud@Customer fare clic su Ruota chiave di cifratura in Azioni.

3. (Facoltativo) Per utilizzare una chiave di cifratura cliente (BYOK), selezionare Ruota utilizzando la chiave fornita dal cliente (BYOK). BYOK è supportato solo in Oracle Public Cloud.

   • Per KMS esterno: a ogni chiave di terze parti viene assegnata automaticamente una versione della chiave nell'HSM esterno.

     • Ruotare le chiavi di terze parti nell'HSM esterno in modo che l'HSM esterno generi una nuova versione della chiave.

     • Copiare l'ID versione della chiave a rotazione e utilizzarla per ruotare il riferimento chiave in OCI Key Management (EKMS) in modo che OCI Key Management (EKMS) possa creare un nuovo OCID versione della chiave.

     • Copiare l'OCID versione chiave appena creato da EKMS.

   • Per i vault OCI: immettere l'OCID della chiave di cifratura cliente importata in OCID versione chiave. L'OCID della versione della chiave immesso deve essere associato alla chiave di cifratura corrente di Autonomous Container Database.

4. Fare clic su Ruota chiave di crittografia.

Autonomous AI Database passa allo stato di aggiornamento, la chiave di cifratura viene ruotata e Autonomous AI Database torna allo stato Attivo. La modalità di rotazione della chiave di cifratura dipende dalla modalità di gestione da parte di Oracle o di quella gestita dal cliente:

• Chiave gestita da Oracle: Autonomous AI Database ruota la chiave di cifratura, memorizzando il nuovo valore nel keystore sicuro sul sistema Exadata in cui risiede Autonomous AI Database.

• Chiave gestita dal cliente: Autonomous AI Database utilizza la tecnologia di base (Oracle Cloud Infrastructure Vault per Autonomous Container Database su distribuzioni Oracle Public Cloud e multicloud o Oracle Key Vault (OKV) per Autonomous Container Database su Oracle Public Cloud o Exadata Cloud@Customer, oppure AWS KMS per Autonomous AI Database su Oracle Database@AWS) per ruotare la chiave e memorizzare il nuovo valore come nuova versione della chiave nella tecnologia di base, quindi associa questa nuova versione all'Autonomous Container Database.

  La rotazione della chiave KMS AWS genera un nuovo contesto di cifratura per la stessa chiave.

  È possibile visualizzare l'OCID della versione della chiave più recente e l'intera cronologia delle chiavi dalla pagina dei dettagli di Autonomous Container Database. Non è applicabile per le chiavi KMS AWS.

  Nota: nel caso di Data Guard tra più aree con chiavi gestite dal cliente, il vault replicato utilizzato dal database di standby è di sola lettura. Pertanto, quando lo standby assume il ruolo primario da un failover, non è possibile ruotare la chiave.

Contenuto correlato

Chiavi di cifratura principali in Autonomous AI Database dedicato