暗号化キーをローテーション

Oracle Cloud Infrastructure Consoleを使用して、専用Exadataインフラストラクチャ上のAutonomous AI Databaseに関連付けられたマスター暗号化キーをローテーションできます。

Autonomous Container Databaseの暗号化キーのローテーション

必要なIAMポリシー

manage autonomous-container-databases

手順

1. 暗号化キーをローテーションするAutonomous Container Databaseの「詳細」ページに移動します。

   手順については、Autonomous Container Databaseの詳細の表示を参照してください。

2. 「アクション」で、「暗号化キーのローテーション」をクリックします。

3. (オプション)顧客暗号化キー(BYOK)を使用するには、「顧客提供のキーを使用してローテーション(BYOK)」を選択します。BYOKは、Oracle Public Cloudでのみサポートされています。

   • 外部KMSの場合: 各サード・パーティ・キーには、外部HSMでキー・バージョンが自動的に割り当てられます。

     • 外部HSMでサード・パーティ・キーをローテーションして、外部HSMが新しいキー・バージョンを生成します。

     • ローテーションされたキーのバージョンIDをコピーし、それを使用してOCI Key Management (EKMS)のキー参照をローテーションし、OCI Key Management (EKMS)が新しいキー・バージョンのOCIDを作成できるようにします。

     • 新しく作成したキー・バージョンのOCIDをEKMSからコピーします。

   • OCIボールトの場合: インポートされた顧客暗号化キーのOCIDをキー・バージョンOCIDに入力します。入力するキー・バージョンのOCIDは、Autonomous Container Databaseの現在の暗号化キーに関連付けられている必要があります。

4. 「暗号化キーをローテーション」をクリックします。

Autonomous Container Databaseは「更新中」ステータスになり、暗号化キーがローテーションされて、Autonomous Container Databaseは「アクティブ」ステータスに戻ります。暗号化キーのローテーション方法は、鍵がOracle管理か顧客管理かによって異なります:

• Oracle管理キー: Autonomous AI Databaseは、暗号化キーをローテーションし、Autonomous Container Databaseが存在するExadataシステム上のセキュアなキー・ストアに新しい値を格納します。

• 顧客管理キー: Autonomous AI Databaseは、基盤となるテクノロジ(Oracle Public Cloud上のAutonomous Container Databaseの場合はOracle Cloud Infrastructure Vault、Oracle Public CloudまたはExadata Cloud@Customer上のAutonomous Container Databaseの場合はOracle Key Vault (OKV)を使用します。またはAWS KMS for Autonomous AI Database on Oracle Database@AWS)は、キーをローテーションし、新しい値をキーの新しいバージョンとしてベースとなるテクノロジに格納し、この新しいバージョンをAutonomous Container Databaseに関連付けします。

  AWS KMSキーをローテーションすると、同じキーの新しい暗号化コンテキストが生成されます。

  Autonomous Container Databaseの詳細ページから、最新のキー・バージョンOCIDおよびキー履歴全体を表示できます。これはAWS KMS鍵には適用されません。

  ノート:顧客管理キーを使用するクロス・リージョンData Guardの場合、スタンバイで使用されるレプリケート済ボールトは読取り専用です。したがって、スタンバイがフェイルオーバーからプライマリ・ロールを引き継ぐときに、キーをローテーションすることはできません。

Autonomous AI Databaseの暗号化キーのローテーション

Autonomous AI Databaseの暗号化キーは、その「詳細」ページからローテーションします。

1. 暗号化キーをローテーションするAutonomous AI Databaseの「詳細」ページに移動します。

   手順については、専用Autonomous AIデータベースの詳細の表示を参照してください。

2. Oracle Public Cloudで、「その他のアクション」の下の「暗号化キーのローテーション」をクリックし、Exadata Cloud@Customerで、「アクション」の下の「暗号化キーのローテーション」をクリックします。

3. (オプション)顧客暗号化キー(BYOK)を使用するには、「顧客提供のキーを使用してローテーション(BYOK)」を選択します。BYOKは、Oracle Public Cloudでのみサポートされています。

   • 外部KMSの場合: 各サード・パーティ・キーには、外部HSMでキー・バージョンが自動的に割り当てられます。

     • 外部HSMでサード・パーティ・キーをローテーションして、外部HSMが新しいキー・バージョンを生成します。

     • ローテーションされたキーのバージョンIDをコピーし、それを使用してOCI Key Management (EKMS)のキー参照をローテーションし、OCI Key Management (EKMS)が新しいキー・バージョンのOCIDを作成できるようにします。

     • 新しく作成したキー・バージョンのOCIDをEKMSからコピーします。

   • OCIボールトの場合: インポートされた顧客暗号化キーのOCIDをキー・バージョンOCIDに入力します。入力するキー・バージョンのOCIDは、Autonomous Container Databaseの現在の暗号化キーに関連付けられている必要があります。

4. 「暗号化キーをローテーション」をクリックします。

Autonomous AI Databaseは「更新中」ステータスになり、暗号化キーがローテーションされて、Autonomous AI Databaseは「アクティブ」ステータスに戻ります。暗号化キーのローテーション方法は、キーがOracle管理か顧客管理かによって異なります:

• Oracle管理キー: Autonomous AI Databaseは暗号化キーをローテーションし、Autonomous AI Databaseが存在するExadataシステム上のセキュアなキー・ストアに新しい値を格納します。

• 顧客管理キー: Autonomous AI Databaseは、基盤となるテクノロジ(Oracle Public Cloud上のAutonomous Container Databaseの場合はOracle Cloud Infrastructure Vault、Oracle Public CloudまたはExadata Cloud@Customer上のAutonomous Container Databaseの場合はOracle Key Vault (OKV)を使用します。またはAWS KMS for Autonomous AI Database on Oracle Database@AWS)は、キーをローテーションし、新しい値をキーの新しいバージョンとしてベースとなるテクノロジに格納し、この新しいバージョンをAutonomous Container Databaseに関連付けします。

  AWS KMSキーをローテーションすると、同じキーの新しい暗号化コンテキストが生成されます。

  Autonomous Container Databaseの詳細ページから、最新のキー・バージョンOCIDおよびキー履歴全体を表示できます。これはAWS KMS鍵には適用されません。

  ノート:顧客管理キーを使用するクロス・リージョンData Guardの場合、スタンバイで使用されるレプリケート済ボールトは読取り専用です。したがって、スタンバイがフェイルオーバーからプライマリ・ロールを引き継ぐときに、キーをローテーションすることはできません。

関連コンテンツ

専用Autonomous AIデータベースのマスター暗号化キー