Rotacionar Chaves de Criptografia

Você pode rotacionar as chaves de criptografia principais associadas a um Autonomous Database na Infraestrutura Dedicada do Exadata usando a Console do Oracle Cloud Infrastructure.

Alternar a Chave de Criptografia de um Autonomous Container Database

Políticas do Serviço IAM Obrigatórias

manage autonomous-container-databases

Procedimento

1. Vá para a página Detalhes do Autonomous Container Database cuja chave de criptografia você deseja alternar.

   Para obter instruções, consulte Exibir Detalhes de um Autonomous Container Database.

2. Em Ações, clique em Rotacionar Chave de Criptografia.
3. (Opcional) Para usar uma chave de criptografia de cliente (BYOK), selecione Girar usando a chave fornecida pelo cliente (BYOK). BYOK é suportado somente no Oracle Public Cloud.
   • Para KMS Externo: Cada chave de terceiros recebe automaticamente uma versão de chave no HSM externo.
     • Gire as chaves de terceiros no HSM externo para que o HSM externo gere uma nova versão da chave.
     • Copie o ID da versão da chave rotacionada e use-o para rotacionar a referência de chave no OCI Key Management (EKMS) para que o OCI Key Management (EKMS) possa criar um novo OCID da versão da Chave.
     • Copie o OCID da Versão da Chave recém-criado do EKMS.
   • Para Vaults do OCI: Digite o OCID da chave de criptografia do cliente importada em OCID da Versão da Chave. O OCID da Versão da Chave informado deve ser associado à chave de criptografia atual do Autonomous Container Database.
4. Clique em Alternar Chave de criptografia.

O Autonomous Container Database vai para o status Atualizando, a chave de criptografia é alternada e o Autonomous Container Database volta para o status Ativo. O modo como a chave de criptografia é alternada depende de ela ser gerenciada pela Oracle ou gerenciada pelo cliente:

• Chave gerenciada pela Oracle: O Autonomous Database alterna a chave de criptografia, armazenando o novo valor no armazenamento de chaves seguras no sistema Exadata no qual reside o Autonomous Container Database.
• Chave gerenciada pelo cliente: O Autonomous Database usa a tecnologia subjacente (Oracle Cloud Infrastructure Vault para Autonomous Container Databases no Oracle Public Cloud ou Oracle Key Vault (OKV) para Autonomous Container Databases no Oracle Public Cloud ou Exadata Cloud@Customer) para alternar a chave e armazenar o novo valor como uma nova versão da chave na tecnologia subjacente e, em seguida, associa essa nova versão ao Autonomous Container Database.

  Você pode exibir o OCID da Versão da Chave mais recente e todo o Histórico de Chaves na página de detalhes do Autonomous Container Database.

  Observação:

  No caso do Data Guard entre regiões com Chaves Gerenciadas pelo Cliente, o vault replicado usado pelo stand-by é somente para leitura. Portanto, quando o stand-by assume a atribuição principal de um failover, você não pode alternar a chave.

Alternar a Chave de criptografia de um Autonomous Database

Você alterna a chave de criptografia de um Autonomous Database em sua respectiva página Detalhes.

1. Vá para a página Detalhes do Autonomous Database cuja chave de criptografia você deseja alternar.

   Para obter instruções, consulte Exibir Detalhes de um Autonomous Database Dedicado.

2. No Oracle Public Cloud, clique em Rotacionar Chave de Criptografia em Mais ações e, no Exadata Cloud@Customer, clique em Rotacionar Chave de Criptografia em Ações.

3. (Opcional) Para usar uma chave de criptografia de cliente (BYOK), selecione Girar usando a chave fornecida pelo cliente (BYOK). BYOK é suportado somente no Oracle Public Cloud.
   • Para KMS Externo: Cada chave de terceiros recebe automaticamente uma versão de chave no HSM externo.
     • Gire as chaves de terceiros no HSM externo para que o HSM externo gere uma nova versão da chave.
     • Copie o ID da versão da chave rotacionada e use-o para rotacionar a referência de chave no OCI Key Management (EKMS) para que o OCI Key Management (EKMS) possa criar um novo OCID da versão da Chave.
     • Copie o OCID da Versão da Chave recém-criado do EKMS.
   • Para Vaults do OCI: Digite o OCID da chave de criptografia do cliente importada em OCID da Versão da Chave. O OCID da Versão da Chave informado deve ser associado à chave de criptografia atual do Autonomous Container Database.
4. Clique em Alternar Chave de criptografia.

O Autonomous Database vai para o status Updating, a chave de criptografia é alternada e o Autonomous Database volta para o status Active. O modo como a chave de criptografia é alternada depende de ela ser gerenciada pela Oracle ou gerenciada pelo cliente:

• Chave gerenciada pela Oracle: O Autonomous Database alterna a chave de criptografia, armazenando o novo valor no armazenamento de chaves seguras no sistema Exadata no qual reside o Autonomous Database.
• Chave gerenciada pelo cliente: O Autonomous Database usa a tecnologia subjacente (Oracle Cloud Infrastructure Vault para Autonomous Container Databases no Oracle Public Cloud ou no Oracle Key Vault (OKV) para Autonomous Container Databases no Oracle Public Cloud ou no Exadata Cloud@Customer) para rotacionar a chave e armazenar o novo valor como uma nova versão da chave na tecnologia subjacente e, em seguida, associar essa nova versão ao Autonomous Database.

  Você pode exibir o OCID da Versão de Chave mais recente e todo o Histórico de Chaves na página de detalhes do Autonomous Database.

  Observação:

  No caso do Data Guard entre regiões com Chaves Gerenciadas pelo Cliente, o vault replicado usado pelo stand-by é somente para leitura. Portanto, quando o stand-by assume a atribuição principal de um failover, você não pode alternar a chave.

---

Título e Informações de Copyright

Copyright ©2021,2025,

Oracle e/ou suas empresas afiliadas.