暗号化キーのローテーション

Oracle Cloud Infrastructure Consoleを使用して、専用Exadataインフラストラクチャ上のAutonomous Databaseに関連付けられたマスター暗号化キーをローテーションできます。

関連項目

Autonomous Container Databaseの暗号化キーのローテーション

必要なIAMポリシー

manage autonomous-container-databases

手順

  1. 暗号化キーをローテーションするAutonomous Container Databaseの「詳細」ページに移動します。

    手順については、Autonomous Container Databaseの詳細の表示を参照してください。

  2. 「アクション」で、「暗号化キーのローテーション」をクリックします。
  3. (オプション)顧客暗号化キー(BYOK)を使用するには、「顧客指定キーを使用したローテーション(BYOK)」を選択します。BYOKは、Oracle Public Cloudでのみサポートされています。
    • 外部KMSの場合: 各サード・パーティ・キーには、外部HSMのキー・バージョンが自動的に割り当てられます。
      • 外部HSMで新しいキー・バージョンが生成されるように、外部HSMでサード・パーティ・キーをローテーションします。
      • ローテーションされたキーのバージョンIDをコピーし、それを使用してOCI Key Management (EKMS)のキー参照をローテーションし、OCI Key Management (EKMS)が新しいキー・バージョンOCIDを作成できるようにします。
      • 新しく作成したキー・バージョンOCIDをEKMSからコピーします。
    • OCIボールトの場合: インポートされた顧客暗号化キーのOCIDを「キー・バージョンOCID」に入力します。入力するキー・バージョンOCIDは、Autonomous Container Databaseの現在の暗号化キーに関連付けられている必要があります。
  4. 「暗号化キーのローテーション」をクリックします。
Autonomous Container Databaseは「更新中」ステータスになり、暗号化キーがローテーションされて、Autonomous Container Databaseは「アクティブ」ステータスに戻ります。暗号化キーがどのようにローテーションされるかは、キーがOracle管理か顧客管理かによって異なります:
  • Oracle管理キー: Autonomous Databaseによって暗号化キーがローテーションされ、Autonomous Container Databaseが存在するExadataシステム上のセキュアなキー・ストアに新しい値が格納されます。
  • 顧客管理キー: Autonomous Databaseは、基礎となるテクノロジ(Oracle Public Cloud上のAutonomous Container Databaseの場合はOracle Cloud Infrastructure Vault、Oracle Public CloudまたはExadata Cloud@Customer上のAutonomous Container Databaseの場合はOracle Key Vault (OKV)を使用してキーをローテーションし、新しい値をキーの新しいバージョンとして基礎となるテクノロジに格納し、この新しいバージョンをAutonomous Container Databaseに関連付けます。

    Autonomous Container Databaseの詳細ページから、最新のキー・バージョンOCIDおよびキー履歴全体を表示できます。

    ノート:

    顧客管理キーを使用するクロス・リージョンData Guardの場合、スタンバイで使用されるレプリケート済ボールトは読取り専用です。したがって、スタンバイがフェイルオーバーからプライマリ・ロールを引き継ぐときに、キーをローテーションすることはできません。

Autonomous Databaseの暗号化キーのローテーション

Autonomous Databaseの暗号化キーは、その「詳細」ページからローテーションします。

  1. 暗号化キーをローテーションするAutonomous Database「詳細」ページに移動します。

    手順については、専用Autonomous Databaseの詳細の表示を参照してください。

  2. Oracle Public Cloudで、「他のアクション」の下の「暗号化キーのローテーション」をクリックし、Exadata Cloud@Customer「アクション」の下の「暗号化キーのローテーション」をクリックします。

  3. (オプション)顧客暗号化キー(BYOK)を使用するには、「顧客指定キーを使用したローテーション(BYOK)」を選択します。BYOKは、Oracle Public Cloudでのみサポートされています。
    • 外部KMSの場合: 各サード・パーティ・キーには、外部HSMのキー・バージョンが自動的に割り当てられます。
      • 外部HSMで新しいキー・バージョンが生成されるように、外部HSMでサード・パーティ・キーをローテーションします。
      • ローテーションされたキーのバージョンIDをコピーし、それを使用してOCI Key Management (EKMS)のキー参照をローテーションし、OCI Key Management (EKMS)が新しいキー・バージョンOCIDを作成できるようにします。
      • 新しく作成したキー・バージョンOCIDをEKMSからコピーします。
    • OCIボールトの場合: インポートされた顧客暗号化キーのOCIDを「キー・バージョンOCID」に入力します。入力するキー・バージョンOCIDは、Autonomous Container Databaseの現在の暗号化キーに関連付けられている必要があります。
  4. 「暗号化キーのローテーション」をクリックします。
Autonomous Databaseは「更新中」ステータスになり、暗号化キーがローテーションされて、Autonomous Databaseは「アクティブ」ステータスに戻ります。暗号化キーのローテーション方法は、キーがOracle管理か顧客管理かによって異なります:
  • Oracle管理キー: Autonomous Databaseによって暗号化キーがローテーションされ、Autonomous Databaseが存在するExadataシステム上のセキュアなキー・ストアに新しい値が格納されます。
  • Customer-managed key: Autonomous Database uses the underlying technology (Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud or Oracle Key Vault (OKV) for Autonomous Container Databases on either Oracle Public Cloud or Exadata Cloud@Customer) to rotate the key and store the new value as a new version of the key in underlying technology, and then associates this new version with the Autonomous Database.

    Autonomous Databaseの詳細ページから、最新のキー・バージョンOCIDおよびキー履歴全体を表示できます。

    ノート:

    顧客管理キーを使用するクロス・リージョンData Guardの場合、スタンバイで使用されるレプリケート済ボールトは読取り専用です。したがって、スタンバイがフェイルオーバーからプライマリ・ロールを引き継ぐときに、キーをローテーションすることはできません。