Rotacionar Chaves de Criptografia
Você pode rotacionar as chaves de criptografia principais associadas a um Autonomous AI Database on Dedicated Exadata Infrastructure usando a Console do Oracle Cloud Infrastructure.
Tópicos Relacionados
Alternar a Chave de Criptografia de um Autonomous Container Database
Políticas do Serviço IAM Obrigatórias
manage autonomous-container-databases
Procedimento
- Vá para a página Detalhes do Autonomous Container Database cuja chave de criptografia você deseja alternar.
Para obter instruções, consulte Exibir Detalhes de um Autonomous Container Database.
- Em Ações, clique em Rotacionar Chave de Criptografia.
- (Opcional) Para usar uma chave de criptografia de cliente (BYOK), selecione Girar usando a chave fornecida pelo cliente (BYOK). BYOK é suportado somente no Oracle Public Cloud.
- Para KMS Externo: Cada chave de terceiros recebe automaticamente uma versão de chave no HSM externo.
- Gire as chaves de terceiros no HSM externo para que o HSM externo gere uma nova versão da chave.
- Copie o ID da versão da chave rotacionada e use-o para rotacionar a referência de chave no OCI Key Management (EKMS) para que o OCI Key Management (EKMS) possa criar um novo OCID da versão da Chave.
- Copie o OCID da Versão da Chave recém-criado do EKMS.
- Para Vaults do OCI: Digite o OCID da chave de criptografia do cliente importada em OCID da Versão da Chave. O OCID da Versão da Chave informado deve ser associado à chave de criptografia atual do Autonomous Container Database.
- Para KMS Externo: Cada chave de terceiros recebe automaticamente uma versão de chave no HSM externo.
- Clique em Alternar Chave de criptografia.
- Chave gerenciada pela Oracle: O Autonomous AI Database rotaciona a chave da criptografia, armazenando o novo valor no armazenamento seguro de chaves no sistema Exadata no qual reside o Autonomous Container Database.
- Chave gerenciada pelo cliente: O Autonomous AI Database usa a tecnologia subjacente (Oracle Cloud Infrastructure Vault para Autonomous Container Databases em implantações do Oracle Public Cloud e Multicloud ou Oracle Key Vault (OKV) para Autonomous Container Databases no Oracle Public Cloud ou no Exadata Cloud@Customerou AWS KMS for Autonomous AI Database on Oracle Database@AWS) para alternar a chave e armazenar o novo valor como uma nova versão da chave na tecnologia subjacente e, em seguida, associar essa nova versão ao Autonomous Container Database.
A rotação da chave do AWS KMS gera um novo contexto de criptografia para a mesma chave.
Você pode exibir o OCID da Versão da Chave mais recente e todo o Histórico de Chaves na página de detalhes do Autonomous Container Database. Isso não se aplica às chaves do AWS KMS.
Observação:
No caso do Data Guard entre regiões com Chaves Gerenciadas pelo Cliente, o vault replicado usado pelo stand-by é somente para leitura. Portanto, quando o stand-by assume a atribuição principal de um failover, você não pode alternar a chave.
Alternar a Chave de Criptografia de um Autonomous AI Database
Você alterna a chave de criptografia de um Autonomous AI Database em sua respectiva página Detalhes.
- Vá para a página Detalhes do Autonomous AI Database cuja chave para criptografia você deseja rotacionar.
Para ver instruções, consulte Exibir Detalhes de um Autonomous AI Database Dedicado.
-
No Oracle Public Cloud, clique em Rotacionar Chave de Criptografia em Mais ações e, no Exadata Cloud@Customer, clique em Rotacionar Chave de Criptografia em Ações.
- (Opcional) Para usar uma chave de criptografia de cliente (BYOK), selecione Girar usando a chave fornecida pelo cliente (BYOK). BYOK é suportado somente no Oracle Public Cloud.
- Para KMS Externo: Cada chave de terceiros recebe automaticamente uma versão de chave no HSM externo.
- Gire as chaves de terceiros no HSM externo para que o HSM externo gere uma nova versão da chave.
- Copie o ID da versão da chave rotacionada e use-o para rotacionar a referência de chave no OCI Key Management (EKMS) para que o OCI Key Management (EKMS) possa criar um novo OCID da versão da Chave.
- Copie o OCID da Versão da Chave recém-criado do EKMS.
- Para Vaults do OCI: Digite o OCID da chave de criptografia do cliente importada em OCID da Versão da Chave. O OCID da Versão da Chave informado deve ser associado à chave de criptografia atual do Autonomous Container Database.
- Para KMS Externo: Cada chave de terceiros recebe automaticamente uma versão de chave no HSM externo.
- Clique em Alternar Chave de criptografia.
- Chave gerenciada pela Oracle: O Autonomous AI Database rotaciona a chave da criptografia, armazenando o novo valor no armazenamento seguro de chaves no sistema Exadata em que reside o Autonomous AI Database.
- Chave gerenciada pelo cliente: O Autonomous AI Database usa a tecnologia subjacente (Oracle Cloud Infrastructure Vault para Autonomous Container Databases em implantações do Oracle Public Cloud e Multicloud ou Oracle Key Vault (OKV) para Autonomous Container Databases no Oracle Public Cloud ou no Exadata Cloud@Customerou AWS KMS for Autonomous AI Database on Oracle Database@AWS) para alternar a chave e armazenar o novo valor como uma nova versão da chave na tecnologia subjacente e, em seguida, associar essa nova versão ao Autonomous Container Database.
A rotação da chave do AWS KMS gera um novo contexto de criptografia para a mesma chave.
Você pode exibir o OCID da Versão da Chave mais recente e todo o Histórico de Chaves na página de detalhes do Autonomous Container Database. Isso não se aplica às chaves do AWS KMS.
Observação:
No caso do Data Guard entre regiões com Chaves Gerenciadas pelo Cliente, o vault replicado usado pelo stand-by é somente para leitura. Portanto, quando o stand-by assume a atribuição principal de um failover, você não pode alternar a chave.