Ruota chiavi di cifratura

È possibile ruotare le chiavi di cifratura master associate a un'infrastruttura Autonomous Database on Dedicated Exadata utilizzando la console di Oracle Cloud Infrastructure.

Ruotare la chiave di cifratura di un Autonomous Container Database

Criteri IAM necessari

manage autonomous-container-databases

Procedura

  1. Andare alla pagina Dettagli dell'Autonomous Container Database di cui si desidera ruotare la chiave di cifratura.

    Per istruzioni, vedere Visualizza i dettagli di un Autonomous Container Database.

  2. In Azioni, fare clic su Ruota chiave di cifratura.
  3. (Facoltativo) Per utilizzare una chiave di cifratura cliente (BYOK), selezionare Rotate using the customer-provided key (BYOK). BYOK è supportato solo in Oracle Public Cloud.
    • Per KMS esterno: a ogni chiave di terze parti viene assegnata automaticamente una versione chiave nell'HSM esterno.
      • Ruotare le chiavi di terze parti nell'HSM esterno in modo che l'HSM esterno generi una nuova versione della chiave.
      • Copiare l'ID versione della chiave ruotata e utilizzarlo per ruotare il riferimento della chiave in OCI Key Management (EKMS) in modo che OCI Key Management (EKMS) possa creare un nuovo OCID della versione della chiave.
      • Copiare l'OCID versione chiave appena creato da EKMS.
    • Per i vault OCI: immettere l'OCID della chiave di cifratura cliente importata in OCID versione chiave. L'OCID della versione della chiave immesso deve essere associato alla chiave di cifratura corrente dell'Autonomous Container Database.
  4. Fare clic su Ruota chiave di cifratura.
L'Autonomous Container Database passa allo stato Aggiornamento, la chiave di cifratura viene ruotata e l'Autonomous Container Database torna allo stato Attivo. La modalità di rotazione della chiave di cifratura dipende dal fatto che sia gestita da Oracle o gestita dal cliente:
  • Chiave gestita da Oracle: Autonomous Database ruota la chiave di cifratura, memorizzando il nuovo valore nel keystore sicuro sul sistema Exadata in cui risiede l'Autonomous Container Database.
  • Chiave gestita dal cliente: Autonomous Database utilizza la tecnologia di base (Oracle Cloud Infrastructure Vault per gli Autonomous Container Database su Oracle Public Cloud o Oracle Key Vault (OKV) per gli Autonomous Container Database su Oracle Public Cloud o Exadata Cloud@Customer) per ruotare la chiave e memorizzare il nuovo valore come nuova versione della chiave nella tecnologia di base, quindi associare questa nuova versione all'Autonomous Container Database.

    È possibile visualizzare l'OCID della versione della chiave più recente e l'intera cronologia delle chiavi dalla pagina dei dettagli di Autonomous Container Database.

    Nota

    Nel caso di Data Guard tra più aree con chiavi gestite dal cliente, il vault replicato utilizzato dal database in standby è di sola lettura. Pertanto, quando lo standby assume il ruolo primario da un failover, non è possibile ruotare la chiave.

Ruota la chiave di cifratura di un Autonomous Database

La chiave di cifratura di un Autonomous Database viene ruotata dalla relativa pagina Dettagli.

  1. Andare alla pagina Dettagli dell'Autonomous Database di cui si desidera ruotare la chiave di cifratura.

    Per istruzioni, consulta la sezione relativa alla visualizzazione dei dettagli di un Autonomous Database dedicato.

  2. In Oracle Public Cloud fare clic su Ruota chiave di cifratura in Altre azioni, quindi in Exadata Cloud@Customer fare clic su Ruota chiave di cifratura in Azioni.

  3. (Facoltativo) Per utilizzare una chiave di cifratura cliente (BYOK), selezionare Rotate using the customer-provided key (BYOK). BYOK è supportato solo in Oracle Public Cloud.
    • Per KMS esterno: a ogni chiave di terze parti viene assegnata automaticamente una versione chiave nell'HSM esterno.
      • Ruotare le chiavi di terze parti nell'HSM esterno in modo che l'HSM esterno generi una nuova versione della chiave.
      • Copiare l'ID versione della chiave ruotata e utilizzarlo per ruotare il riferimento della chiave in OCI Key Management (EKMS) in modo che OCI Key Management (EKMS) possa creare un nuovo OCID della versione della chiave.
      • Copiare l'OCID versione chiave appena creato da EKMS.
    • Per i vault OCI: immettere l'OCID della chiave di cifratura cliente importata in OCID versione chiave. L'OCID della versione della chiave immesso deve essere associato alla chiave di cifratura corrente dell'Autonomous Container Database.
  4. Fare clic su Ruota chiave di cifratura.
Autonomous Database passa allo stato Aggiornamento, la chiave di cifratura viene ruotata e Autonomous Database torna allo stato Attivo. La modalità di rotazione della chiave di cifratura dipende dal fatto che sia gestita da Oracle o gestita dal cliente:
  • Chiave gestita da Oracle: Autonomous Database ruota la chiave di cifratura, memorizzando il nuovo valore nel keystore sicuro sul sistema Exadata in cui risiede Autonomous Database.
  • Chiave gestita dal cliente: Autonomous Database utilizza la tecnologia di base (Oracle Cloud Infrastructure Vault per gli Autonomous Container Database su Oracle Public Cloud o Oracle Key Vault (OKV) per gli Autonomous Container Database su Oracle Public Cloud o Exadata Cloud@Customer) per ruotare la chiave e memorizzare il nuovo valore come nuova versione della chiave nella tecnologia di base, quindi associa questa nuova versione all'Autonomous Database.

    È possibile visualizzare l'OCID della versione della chiave più recente e l'intera cronologia delle chiavi dalla pagina dei dettagli di Autonomous Database.

    Nota

    Nel caso di Data Guard tra più aree con chiavi gestite dal cliente, il vault replicato utilizzato dal database in standby è di sola lettura. Pertanto, quando lo standby assume il ruolo primario da un failover, non è possibile ruotare la chiave.