Rotacionar Chaves de Criptografia
Você pode alternar as chaves de criptografia principais associadas a um Autonomous AI Database na Infraestrutura Dedicada do Exadata usando a Console do Oracle Cloud Infrastructure.
Alternar a Chave de Criptografia de um Autonomous Container Database
Políticas de IAM Obrigatórias
manage autonomous-container-databases
Procedimento
-
Vá para a página Detalhes do Autonomous Container Database cuja chave da criptografia você deseja rotacionar.
Para obter instruções, consulte Exibir Detalhes de um Autonomous Container Database.
-
Em Ações, clique em Alternar Chave de Criptografia.
-
(Opcional) Para usar uma chave de criptografia do cliente (BYOK), selecione Girar usando a chave fornecida pelo cliente (BYOK). BYOK é suportado somente no Oracle Public Cloud.
-
Para KMS Externo: Cada chave de terceiros recebe automaticamente uma versão de chave no HSM externo.
-
Gire as chaves de terceiros no HSM externo para que o HSM externo gere uma nova versão de chave.
-
Copie o ID da versão da chave rotacionada e use-o para rotacionar a referência de chave no OCI Key Management (EKMS) para que o OCI Key Management (EKMS) possa criar um novo OCID da versão da Chave.
-
Copie o OCID da Versão da Chave recém-criado do EKMS.
-
-
Para OCI Vaults: Digite o OCID da chave de criptografia de cliente importada no OCID da Versão da Chave. O OCID da Versão da Chave informado deve ser associado à chave de criptografia atual do Autonomous Container Database.
-
-
Clique em Alternar Chave de criptografia.
O Autonomous Container Database vai para o status Atualizando, a chave de criptografia é alternada e o Autonomous Container Database volta para o status Ativo. Como a chave da criptografia é girada depende se ela é gerenciada pela Oracle ou pelo cliente:
-
Chave gerenciada pela Oracle: O Autonomous AI Database alterna a chave da criptografia, armazenando o novo valor no armazenamento seguro de chaves no sistema Exadata no qual reside o Autonomous Container Database.
-
Chave gerenciada pelo cliente: O Autonomous AI Database usa a tecnologia subjacente (Oracle Cloud Infrastructure Vault para Autonomous Container Databases em implantações do Oracle Public Cloud e Multicloud ou Oracle Key Vault (OKV) para Autonomous Container Databases no Oracle Public Cloud ou no Exadata Cloud@Customer ou AWS KMS for Autonomous AI Database no Oracle Database@AWS) para rotacionar a chave e armazenar o novo valor como uma nova versão da chave na tecnologia subjacente e, em seguida, associar essa nova versão ao Autonomous Container Database.
A rotação da chave do AWS KMS gera um novo contexto de criptografia para a mesma chave.
Você pode exibir o OCID da Versão da Chave mais recente e todo o Histórico de Chaves na página de detalhes do Autonomous Container Database. Isso não se aplica às chaves do AWS KMS.
Observação: No caso do Data Guard de região cruzada com Chaves Gerenciadas por Cliente, o vault replicado usado pelo stand-by é somente para leitura. Portanto, quando o stand-by assume a atribuição principal de um failover, você não pode alternar a chave.
Alternar a Chave de Criptografia de um Autonomous AI Database
Você alterna a chave de criptografia de um Autonomous AI Database na respectiva página Detalhes.
-
Vá para a página Detalhes do Autonomous AI Database cuja chave da criptografia você deseja rotacionar.
Para ver instruções, consulte View Details of a Dedicated Autonomous AI Database.
-
No Oracle Public Cloud, clique em Alternar Chave de Criptografia em Mais ações e, no Exadata Cloud@Customer, clique em Alternar Chave de Criptografia em Ações.
-
(Opcional) Para usar uma chave de criptografia do cliente (BYOK), selecione Girar usando a chave fornecida pelo cliente (BYOK). BYOK é suportado somente no Oracle Public Cloud.
-
Para KMS Externo: Cada chave de terceiros recebe automaticamente uma versão de chave no HSM externo.
-
Gire as chaves de terceiros no HSM externo para que o HSM externo gere uma nova versão de chave.
-
Copie o ID da versão da chave rotacionada e use-o para rotacionar a referência de chave no OCI Key Management (EKMS) para que o OCI Key Management (EKMS) possa criar um novo OCID da versão da Chave.
-
Copie o OCID da Versão da Chave recém-criado do EKMS.
-
-
Para OCI Vaults: Digite o OCID da chave de criptografia de cliente importada no OCID da Versão da Chave. O OCID da Versão da Chave informado deve ser associado à chave de criptografia atual do Autonomous Container Database.
-
-
Clique em Alternar Chave de criptografia.
O Autonomous AI Database vai para o status Atualizando, a chave de criptografia é alternada e o Autonomous AI Database volta para o status Ativo. O modo como a chave de criptografia é alternada depende de ela ser gerenciada pela Oracle ou gerenciada pelo cliente:
-
Chave gerenciada pela Oracle: O Autonomous AI Database alterna a chave da criptografia, armazenando o novo valor no armazenamento seguro de chaves no sistema Exadata em que reside o Autonomous AI Database.
-
Chave gerenciada pelo cliente: O Autonomous AI Database usa a tecnologia subjacente (Oracle Cloud Infrastructure Vault para Autonomous Container Databases em implantações do Oracle Public Cloud e Multicloud ou Oracle Key Vault (OKV) para Autonomous Container Databases no Oracle Public Cloud ou no Exadata Cloud@Customer ou AWS KMS for Autonomous AI Database no Oracle Database@AWS) para rotacionar a chave e armazenar o novo valor como uma nova versão da chave na tecnologia subjacente e, em seguida, associar essa nova versão ao Autonomous Container Database.
A rotação da chave do AWS KMS gera um novo contexto de criptografia para a mesma chave.
Você pode exibir o OCID da Versão da Chave mais recente e todo o Histórico de Chaves na página de detalhes do Autonomous Container Database. Isso não se aplica às chaves do AWS KMS.
Observação: No caso do Data Guard de região cruzada com Chaves Gerenciadas por Cliente, o vault replicado usado pelo stand-by é somente para leitura. Portanto, quando o stand-by assume a atribuição principal de um failover, você não pode alternar a chave.
Conteúdo Relacionado
Chaves Mestras de Criptografia no Autonomous AI Database Dedicado