Ruota chiavi di cifratura
È possibile ruotare le chiavi di cifratura master associate a un'infrastruttura Autonomous Database on Dedicated Exadata utilizzando la console di Oracle Cloud Infrastructure.
Argomenti correlati
Ruotare la chiave di cifratura di un Autonomous Container Database
Criteri IAM necessari
manage autonomous-container-databases
Procedura
- Andare alla pagina Dettagli dell'Autonomous Container Database di cui si desidera ruotare la chiave di cifratura.
Per istruzioni, vedere Visualizza i dettagli di un Autonomous Container Database.
- In Azioni, fare clic su Ruota chiave di cifratura.
- (Facoltativo) Per utilizzare una chiave di cifratura cliente (BYOK), selezionare Rotate using the customer-provided key (BYOK). BYOK è supportato solo in Oracle Public Cloud.
- Per KMS esterno: a ogni chiave di terze parti viene assegnata automaticamente una versione chiave nell'HSM esterno.
- Ruotare le chiavi di terze parti nell'HSM esterno in modo che l'HSM esterno generi una nuova versione della chiave.
- Copiare l'ID versione della chiave ruotata e utilizzarlo per ruotare il riferimento della chiave in OCI Key Management (EKMS) in modo che OCI Key Management (EKMS) possa creare un nuovo OCID della versione della chiave.
- Copiare l'OCID versione chiave appena creato da EKMS.
- Per i vault OCI: immettere l'OCID della chiave di cifratura cliente importata in OCID versione chiave. L'OCID della versione della chiave immesso deve essere associato alla chiave di cifratura corrente dell'Autonomous Container Database.
- Per KMS esterno: a ogni chiave di terze parti viene assegnata automaticamente una versione chiave nell'HSM esterno.
- Fare clic su Ruota chiave di cifratura.
- Chiave gestita da Oracle: Autonomous Database ruota la chiave di cifratura, memorizzando il nuovo valore nel keystore sicuro sul sistema Exadata in cui risiede l'Autonomous Container Database.
- Chiave gestita dal cliente: Autonomous Database utilizza la tecnologia di base (Oracle Cloud Infrastructure Vault per gli Autonomous Container Database su Oracle Public Cloud o Oracle Key Vault (OKV) per gli Autonomous Container Database su Oracle Public Cloud o Exadata Cloud@Customer) per ruotare la chiave e memorizzare il nuovo valore come nuova versione della chiave nella tecnologia di base, quindi associare questa nuova versione all'Autonomous Container Database.
È possibile visualizzare l'OCID della versione della chiave più recente e l'intera cronologia delle chiavi dalla pagina dei dettagli di Autonomous Container Database.
Nota
Nel caso di Data Guard tra più aree con chiavi gestite dal cliente, il vault replicato utilizzato dal database in standby è di sola lettura. Pertanto, quando lo standby assume il ruolo primario da un failover, non è possibile ruotare la chiave.
Ruota la chiave di cifratura di un Autonomous Database
La chiave di cifratura di un Autonomous Database viene ruotata dalla relativa pagina Dettagli.
- Andare alla pagina Dettagli dell'Autonomous Database di cui si desidera ruotare la chiave di cifratura.
Per istruzioni, consulta la sezione relativa alla visualizzazione dei dettagli di un Autonomous Database dedicato.
-
In Oracle Public Cloud fare clic su Ruota chiave di cifratura in Altre azioni, quindi in Exadata Cloud@Customer fare clic su Ruota chiave di cifratura in Azioni.
- (Facoltativo) Per utilizzare una chiave di cifratura cliente (BYOK), selezionare Rotate using the customer-provided key (BYOK). BYOK è supportato solo in Oracle Public Cloud.
- Per KMS esterno: a ogni chiave di terze parti viene assegnata automaticamente una versione chiave nell'HSM esterno.
- Ruotare le chiavi di terze parti nell'HSM esterno in modo che l'HSM esterno generi una nuova versione della chiave.
- Copiare l'ID versione della chiave ruotata e utilizzarlo per ruotare il riferimento della chiave in OCI Key Management (EKMS) in modo che OCI Key Management (EKMS) possa creare un nuovo OCID della versione della chiave.
- Copiare l'OCID versione chiave appena creato da EKMS.
- Per i vault OCI: immettere l'OCID della chiave di cifratura cliente importata in OCID versione chiave. L'OCID della versione della chiave immesso deve essere associato alla chiave di cifratura corrente dell'Autonomous Container Database.
- Per KMS esterno: a ogni chiave di terze parti viene assegnata automaticamente una versione chiave nell'HSM esterno.
- Fare clic su Ruota chiave di cifratura.
- Chiave gestita da Oracle: Autonomous Database ruota la chiave di cifratura, memorizzando il nuovo valore nel keystore sicuro sul sistema Exadata in cui risiede Autonomous Database.
- Chiave gestita dal cliente: Autonomous Database utilizza la tecnologia di base (Oracle Cloud Infrastructure Vault per gli Autonomous Container Database su Oracle Public Cloud o Oracle Key Vault (OKV) per gli Autonomous Container Database su Oracle Public Cloud o Exadata Cloud@Customer) per ruotare la chiave e memorizzare il nuovo valore come nuova versione della chiave nella tecnologia di base, quindi associa questa nuova versione all'Autonomous Database.
È possibile visualizzare l'OCID della versione della chiave più recente e l'intera cronologia delle chiavi dalla pagina dei dettagli di Autonomous Database.
Nota
Nel caso di Data Guard tra più aree con chiavi gestite dal cliente, il vault replicato utilizzato dal database in standby è di sola lettura. Pertanto, quando lo standby assume il ruolo primario da un failover, non è possibile ruotare la chiave.