암호화 키 교체

Oracle Cloud Infrastructure 콘솔을 사용하여 Autonomous Database on Dedicated Exadata Infrastructure와 연관된 마스터 암호화 키를 교체할 수 있습니다.

자율운영 컨테이너 데이터베이스의 암호화 키 교체

필요한 IAM 정책

manage autonomous-container-databases

절차

  1. 암호화 키를 교체할 자율운영 컨테이너 데이터베이스의 세부정보 페이지로 이동합니다.

    지침은 자율운영 컨테이너 데이터베이스의 세부정보 보기를 참조하십시오.

  2. 작업에서 암호화 키 교체를 누릅니다.
  3. (선택사항) 고객 암호화 키(BYOK)를 사용하려면 고객 제공 키(BYOK)를 사용하여 회전을 선택합니다. BYOK는 Oracle Public Cloud에서만 지원됩니다.
    • 외부 KMS의 경우: 각 타사 키에는 외부 HSM의 키 버전이 자동으로 지정됩니다.
      • 외부 HSM이 새 키 버전을 생성하도록 외부 HSM에서 타사 키를 교체합니다.
      • OCI Key Management(EKMS)가 새 키 버전 OCID를 생성할 수 있도록 회전된 키의 버전 ID를 복사하여 OCI Key Management(EKMS)에서 키 참조를 교체하는 데 사용합니다.
      • EKMS에서 새로 생성된 키 버전 OCID를 복사합니다.
    • OCI 저장소의 경우: 키 버전 OCID임포트된 고객 암호화 키의 OCID를 입력합니다. 입력한 키 버전 OCID는 자율운영 컨테이너 데이터베이스의 현재 암호화 키와 연관되어야 합니다.
  4. 암호화 키 순환을 누릅니다.
자율운영 컨테이너 데이터베이스가 업데이트 상태로 전환되고, 암호화 키가 교체되며, 자율운영 컨테이너 데이터베이스가 활성 상태로 돌아갑니다. 암호화 키의 교체 방법은 Oracle 관리 키인지 고객 관리 키인지에 따라 달라집니다.
  • Oracle 관리 키: Autonomous Database는 암호화 키를 교체하고, 자율운영 컨테이너 데이터베이스가 상주하는 Exadata 시스템의 보안 키 저장소에 새 값을 저장합니다.
  • 고객 관리 키: Autonomous Database는 기본 기술(Oracle Public Cloud의 자율운영 컨테이너 데이터베이스용 Oracle Cloud Infrastructure Vault 또는 Oracle Public Cloud 또는 Exadata Cloud@Customer의 자율운영 컨테이너 데이터베이스용 OKV(Oracle Key Vault)를 사용하여 키를 교체하고 새 값을 기본 기술의 새 키 버전으로 저장한 다음 이 새 버전을 자율운영 컨테이너 데이터베이스와 연관시킵니다.

    자율운영 컨테이너 데이터베이스 세부정보 페이지에서 최신 키 버전 OCID 및 전체 키 내역을 볼 수 있습니다.

    주:

    영역 간 Data Guard와 고객 관리 키의 경우 대기에서 사용하는 복제된 저장소는 읽기 전용입니다. 따라서 standby가 failover에서 primary 롤을 맡을 때 키를 교체할 수 없습니다.

Autonomous Database의 암호화 키 교체

Autonomous Database의 암호화 키를 세부정보 페이지에서 교체합니다.

  1. 암호화 키를 교체할 Autonomous Database세부정보 페이지로 이동합니다.

    지침은 View Details of a Dedicated Autonomous Database를 참조하십시오.

  2. Oracle Public Cloud추가 작업에서 암호화 키 회전을 누르고 Exadata Cloud@Customer에서 작업 아래의 암호화 키 회전을 누릅니다.

  3. (선택사항) 고객 암호화 키(BYOK)를 사용하려면 고객 제공 키(BYOK)를 사용하여 회전을 선택합니다. BYOK는 Oracle Public Cloud에서만 지원됩니다.
    • 외부 KMS의 경우: 각 타사 키에는 외부 HSM의 키 버전이 자동으로 지정됩니다.
      • 외부 HSM이 새 키 버전을 생성하도록 외부 HSM에서 타사 키를 교체합니다.
      • OCI Key Management(EKMS)가 새 키 버전 OCID를 생성할 수 있도록 회전된 키의 버전 ID를 복사하여 OCI Key Management(EKMS)에서 키 참조를 교체하는 데 사용합니다.
      • EKMS에서 새로 생성된 키 버전 OCID를 복사합니다.
    • OCI 저장소의 경우: 키 버전 OCID임포트된 고객 암호화 키의 OCID를 입력합니다. 입력한 키 버전 OCID는 자율운영 컨테이너 데이터베이스의 현재 암호화 키와 연관되어야 합니다.
  4. 암호화 키 순환을 누릅니다.
Autonomous Database는 Updating 상태로, 암호화 키는 순환되고, Autonomous Database는 Active 상태로 돌아갑니다. 암호화 키의 교체 방법은 Oracle 관리 키인지 고객 관리 키인지에 따라 달라집니다.
  • Oracle 관리 키: Autonomous Database는 암호화 키를 교체하고, Autonomous Database가 상주하는 Exadata 시스템의 보안 키 저장소에 새로운 값을 저장합니다.
  • Customer-managed key: Autonomous Database uses the underlying technology (Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud or Oracle Key Vault (OKV) for Autonomous Container Databases on either Oracle Public Cloud or Exadata Cloud@Customer) to rotate the key and store the new value as a new version of the key in underlying technology, and then associates this new version with the Autonomous Database.

    Autonomous Database 세부정보 페이지에서 최신 Key Version OCID 및 전체 Key History를 확인할 수 있습니다.

    주:

    영역 간 Data Guard와 고객 관리 키의 경우 대기에서 사용하는 복제된 저장소는 읽기 전용입니다. 따라서 standby가 failover에서 primary 롤을 맡을 때 키를 교체할 수 없습니다.