암호화 키 관리
이 문서에서는 암호화 및 암호화 키에 대한 세부정보를 제공합니다.
Oracle Base Database Service는 TDE(Transparent Data Encryption)를 사용하여 테이블 및 테이블스페이스에 저장된 데이터를 암호화합니다.
- 투명한 데이터 암호화
- 기준 데이터베이스 서비스는 TDE를 사용하여 사용자가 생성한 모든 테이블스페이스를 암호화 및 해독합니다.
- 암호화 키
- 자체 암호화 키("고객 관리 키")를 사용하여 데이터베이스를 암호화하거나 Oracle 관리 키를 사용하도록 선택할 수 있습니다. 기본적으로 Base Database Service는 Oracle 관리 키를 사용합니다. 고객 관리 키는 데이터베이스 호스트 외부에 있는 OCI Vault에 저장됩니다.
- OCI 저장소 키
- OCI Vault에서 암호화 키는 암호화 및 해독에 사용되는 하나 이상의 키 버전을 포함하는 논리적 엔티티입니다. 이러한 키 버전은 OCI Vault에서 자동 생성하거나 외부 소스(Bring-Your-Own-Key)에서 임포트할 수 있습니다.
자세한 내용은 Introduction to Transparent Data Encryption 및 OCI Vault Key Management를 참조하십시오.
관련 항목
일반 정보
새 DB 시스템을 생성하는 동안 컨테이너 데이터베이스와 플러거블 데이터베이스 모두에 키가 지정됩니다.
제공된 경우 키 버전은 컨테이너 데이터베이스에만 사용되며 플러그인할 수 있는 데이터베이스에는 사용되지 않습니다. 플러그인할 수 있는 데이터베이스에는 자동으로 생성된 새 키 버전이 지정됩니다. 생성 중에는 플러거블 데이터베이스에 특정 키 버전을 지정할 수 없습니다.
플러거블 데이터베이스는 항상 컨테이너 데이터베이스와 동일한 키를 사용하지만 동일하거나 다른 키 버전을 사용합니다.
선택한 키의 최신 버전을 포함하여 모든 키 버전을 지정할 수 있습니다.
기본적으로 데이터베이스는 Oracle 관리 키를 사용하여 구성됩니다. 그러나 고객 관리 키를 사용하여 구성하도록 선택할 수 있습니다.
암호화 키 교체
암호화 키 교체 작업은 동일한 키에 대한 새 키 버전을 생성합니다.
원하는 수의 키 회전을 수행할 수 있습니다. 주기적으로 키를 순환하면 하나의 키 버전으로 암호화되거나 서명된 데이터의 양이 제한됩니다. 회수된 키의 기록도 유지 관리되므로 키를 교체하고 이전 키로 암호화된 데이터를 해독할 수 있습니다.
컨테이너 데이터베이스 및 플러그 가능한 데이터베이스 레벨의 회전 키는 서로 독립적으로 작동합니다. 컨테이너 데이터베이스에서 키 교체 작업은 플러그인할 수 있는 데이터베이스에서 키를 교체하지 않습니다. 마찬가지로, 하나의 플러거블 데이터베이스에서 키를 순환해도 다른 플러거블 데이터베이스나 컨테이너 데이터베이스에서는 키가 순환되지 않습니다.
최신 버전을 사용 중인지 확인하려면 Vault 서비스의 콘솔 페이지 대신 OCI 콘솔의 데이터베이스 세부정보 페이지에서 키를 교체하십시오.
주:
Oracle 관리 암호화를 사용하는 데이터베이스에는 암호화 키 교체를 사용할 수 없습니다.OCI 콘솔을 사용하여 암호화 키를 교체하려면 데이터베이스에 대한 암호화 키 교체 및 플러그인할 수 있는 데이터베이스에 대한 암호화 키 교체를 참조하십시오.
키 버전 지정
컨테이너 데이터베이스와 플러거블 데이터베이스에 대해 새 키 버전을 생성하고 지정할 수 있습니다. 키 버전만 변경할 수 있습니다. 키를 변경할 수 없습니다.
OCI 콘솔을 사용하여 키 버전을 지정하려면 데이터베이스에 대한 새 키 버전 지정 및 플러그인할 수 있는 데이터베이스에 대한 새 키 버전 지정을 참조하십시오.
키 관리 변경
Oracle 관리 키에서 기존 데이터베이스의 고객 관리 키로 전환할 수 있습니다. 그러나 고객 관리 키에서 Oracle 관리 키로 전환하는 것은 지원되지 않습니다.
컨테이너 데이터베이스에 대한 키가 변경되면 플러그 가능한 데이터베이스에도 자동으로 적용됩니다. 플러그인할 수 있는 데이터베이스의 키는 독립적으로 변경할 수 없습니다. 플러그인할 수 있는 데이터베이스는 항상 컨테이너 데이터베이스와 동일한 키를 사용하지만 동일하거나 다른 키 버전을 사용할 수 있습니다.
고객 관리 키로 전환할 때 컨테이너 데이터베이스 및 모든 플러그 가능한 데이터베이스가 열려 있어야 하고 모든 테이블스페이스가 읽기/쓰기 모드여야 합니다.
OCI 콘솔을 사용하여 키 관리 유형을 변경하려면 데이터베이스에 대한 키 관리 유형 변경을 참조하십시오.
플러그인할 수 있는 데이터베이스 복제, 원격 복제 및 재배치
복제된 데이터베이스는 고객 관리 암호화 키를 사용하는 DB 시스템을 복제할 때 소스 데이터베이스와 동일한 키 버전을 사용합니다.
소스 및 대상 데이터베이스는 동일한 키를 사용해야 하지만 다른 키 버전을 가질 수 있습니다. 소스 및 대상 데이터베이스에서 다른 키를 사용하는 경우 원격 복제 또는 재배치 작업이 실패합니다.
원격 복제 및 재배치 작업 후 대상 키 저장소에서 키가 교체됩니다. 따라서 대상 데이터베이스의 원격 복제 또는 재배치된 플러거블 데이터베이스에 대해 새 키 버전이 생성됩니다.