暗号化キーのローテーション
Oracle Cloud Infrastructure Consoleを使用して、専用Exadataインフラストラクチャ上のAutonomous AI Databaseに関連付けられたマスター暗号化キーをローテーションできます。
Autonomous Container Databaseの暗号化キーのローテーション
必要なIAMポリシー
manage autonomous-container-databases
手順
- 暗号化キーをローテーションするAutonomous Container Databaseの「詳細」ページに移動します。
手順については、Autonomous Container Databaseの詳細の表示を参照してください。
- 「アクション」で、「暗号化キーのローテーション」をクリックします。
- (オプション)顧客暗号化キー(BYOK)を使用するには、「顧客指定キーを使用したローテーション(BYOK)」を選択します。BYOKは、Oracle Public Cloudでのみサポートされています。
- 外部KMSの場合: 各サード・パーティ・キーには、外部HSMのキー・バージョンが自動的に割り当てられます。
- 外部HSMで新しいキー・バージョンが生成されるように、外部HSMでサード・パーティ・キーをローテーションします。
- ローテーションされたキーのバージョンIDをコピーし、それを使用してOCI Key Management (EKMS)のキー参照をローテーションし、OCI Key Management (EKMS)が新しいキー・バージョンOCIDを作成できるようにします。
- 新しく作成したキー・バージョンOCIDをEKMSからコピーします。
- OCIボールトの場合: インポートされた顧客暗号化キーのOCIDを「キー・バージョンOCID」に入力します。入力するキー・バージョンOCIDは、Autonomous Container Databaseの現在の暗号化キーに関連付けられている必要があります。
- 外部KMSの場合: 各サード・パーティ・キーには、外部HSMのキー・バージョンが自動的に割り当てられます。
- 「暗号化キーのローテーション」をクリックします。
- Oracle管理キー: Autonomous AI Databaseは暗号化キーをローテーションし、Autonomous Container Databaseが存在するExadataシステム上のセキュアなキー・ストアに新しい値を格納します。
- Customer-managed key: Autonomous AI Database uses the underlying technology (Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud and Multicloud deployments, or Oracle Key Vault (OKV) for Autonomous Container Databases on either Oracle Public Cloud or Exadata Cloud@Customer, or AWS KMS for Autonomous AI Database on Oracle Database@AWS) to rotate the key and store the new value as a new version of the key in underlying technology, and then associates this new version with the Autonomous Container Database.
AWS KMSキーをローテーションすると、同じキーの新しい暗号化コンテキストが生成されます。
Autonomous Container Databaseの詳細ページから、最新のキー・バージョンOCIDおよびキー履歴全体を表示できます。これはAWS KMS鍵には適用されません。
ノート:
顧客管理キーを使用するクロス・リージョンData Guardの場合、スタンバイで使用されるレプリケート済ボールトは読取り専用です。したがって、スタンバイがフェイルオーバーからプライマリ・ロールを引き継ぐときに、キーをローテーションすることはできません。
Autonomous AI Databaseの暗号化キーのローテーション
Autonomous AI Databaseの暗号化キーは、その「詳細」ページからローテーションします。
- 暗号化キーをローテーションするAutonomous AI Databaseの「詳細」ページに移動します。
手順については、専用Autonomous AI Databaseの詳細の表示を参照してください。
-
Oracle Public Cloudで、「他のアクション」の下の「暗号化キーのローテーション」をクリックし、Exadata Cloud@Customerで「アクション」の下の「暗号化キーのローテーション」をクリックします。
- (オプション)顧客暗号化キー(BYOK)を使用するには、「顧客指定キーを使用したローテーション(BYOK)」を選択します。BYOKは、Oracle Public Cloudでのみサポートされています。
- 外部KMSの場合: 各サード・パーティ・キーには、外部HSMのキー・バージョンが自動的に割り当てられます。
- 外部HSMで新しいキー・バージョンが生成されるように、外部HSMでサード・パーティ・キーをローテーションします。
- ローテーションされたキーのバージョンIDをコピーし、それを使用してOCI Key Management (EKMS)のキー参照をローテーションし、OCI Key Management (EKMS)が新しいキー・バージョンOCIDを作成できるようにします。
- 新しく作成したキー・バージョンOCIDをEKMSからコピーします。
- OCIボールトの場合: インポートされた顧客暗号化キーのOCIDを「キー・バージョンOCID」に入力します。入力するキー・バージョンOCIDは、Autonomous Container Databaseの現在の暗号化キーに関連付けられている必要があります。
- 外部KMSの場合: 各サード・パーティ・キーには、外部HSMのキー・バージョンが自動的に割り当てられます。
- 「暗号化キーのローテーション」をクリックします。
- Oracle管理キー: Autonomous AI Databaseは暗号化キーをローテーションし、Autonomous AI Databaseが存在するExadataシステム上のセキュアなキー・ストアに新しい値を格納します。
- Customer-managed key: Autonomous AI Database uses the underlying technology (Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud and Multicloud deployments, or Oracle Key Vault (OKV) for Autonomous Container Databases on either Oracle Public Cloud or Exadata Cloud@Customer, or AWS KMS for Autonomous AI Database on Oracle Database@AWS) to rotate the key and store the new value as a new version of the key in underlying technology, and then associates this new version with the Autonomous Container Database.
AWS KMSキーをローテーションすると、同じキーの新しい暗号化コンテキストが生成されます。
Autonomous Container Databaseの詳細ページから、最新のキー・バージョンOCIDおよびキー履歴全体を表示できます。これはAWS KMS鍵には適用されません。
ノート:
顧客管理キーを使用するクロス・リージョンData Guardの場合、スタンバイで使用されるレプリケート済ボールトは読取り専用です。したがって、スタンバイがフェイルオーバーからプライマリ・ロールを引き継ぐときに、キーをローテーションすることはできません。