Documentação do Oracle Cloud Infrastructure

Rotacionar Wallets para o Autonomous Database

A rotação da wallet permite que você invalide chaves de certificação de cliente existentes para uma instância de banco de dados ou para todas as instâncias do Autonomous Database que uma conta da nuvem possui em uma região.
  • Sobre a Rotação da Wallet
    Você tem a opção de executar um dos dois tipos de rotação da wallet: imediata ou com um período de tolerância.
  • Rotacionar Wallets com Rotação Imediata
    A rotação imediata da wallet permite que você invalide chaves de certificação de cliente existentes para uma instância do Autonomous Database ou para todas as instâncias do Autonomous Database que uma conta da nuvem possui em uma região.
  • Alternar Wallets com Período de Carência
    O Autonomous Database permite rotacionar wallets para uma instância do Autonomous Database ou para todas as instâncias que uma conta da nuvem possui em uma região. com um período de carência de 1 hora a 24 horas.

Tópico principal: Segurança

Sobre a Rotação da Wallet

Você tem a opção de executar um dos dois tipos de rotação de wallet: imediata ou com um período de tolerância.

  • A rotação da wallet Imediata é iniciada imediatamente, sem demora.

  • A rotação da wallet Após um período de tolerância ocorre com um período de tolerância. Durante o período de tolerância, as chaves de certificação antigas do cliente permanecem válidas por um período selecionado de 1 hora a 24 horas. Após o período de tolerância expirar, somente as novas chaves de certificação do cliente serão válidas.

Talvez você queira girar carteiras por um dos seguintes motivos:

  • Se as políticas da sua organização exigirem rotatividade regular da chave de certificação do cliente.

  • Quando há suspeita de comprometimento de uma chave de certificação do cliente ou de um conjunto de chaves.

Girar Carteiras com Rotação Imediata

A rotação imediata da wallet permite que você invalide chaves de certificação de cliente existentes para uma instância do Autonomous Database ou para todas as instâncias do Autonomous Database que uma conta da nuvem possui em uma região.

Há duas opções para a rotação imediata da chave de certificação do cliente:

  • Por banco de dados com a Wallet de instância selecionada:
    • Para o banco de dados cuja chave de certificação é rotacionada, todas as wallets de instância específicas do banco de dados existentes serão anuladas. Depois de rotacionar uma wallet, você precisa fazer download de uma nova wallet para estabelecer conexão com o banco de dados.
    • As wallets regionais que contêm todas as chaves de certificação do banco de dados continuam funcionando.
    • Todas as sessões do usuário são encerradas para o banco de dados cuja wallet é girada. O encerramento da sessão do usuário começa depois que o giro da wallet é concluído. No entanto, esse processo não acontece imediatamente.
    Observação

    Se você quiser encerrar todas as conexões imediatamente após a conclusão da rotação da wallet, a Oracle recomenda que você reinicie a instância do Autonomous Database. Isso fornece o mais alto nível de segurança para o seu banco de dados.
  • Nível regional com a Wallet regional selecionada:
    • Para a região cuja chave de certificação é rotacionada, as carteiras de instância regionais e específicas do banco de dados serão anuladas. Depois de rotacionar uma wallet, você precisa fazer download de novas wallets regionais ou de instância para estabelecer conexão com qualquer banco de dados na região.
    • Todas as sessões do usuário são encerradas para os bancos de dados na região cuja wallet é girada. O encerramento da sessão do usuário começa depois que o giro da wallet é concluído. No entanto, esse processo não acontece imediatamente.
    Observação

    Se você quiser encerrar todas as conexões imediatamente após a conclusão da rotação da wallet, a Oracle recomenda que você reinicie as instâncias do Autonomous Database na região. Isso fornece o mais alto nível de segurança para o seu banco de dados.

Para rotacionar imediatamente a chave de certificação do cliente para um determinado banco de dados ou para todas as instâncias do Autonomous Database que uma conta da nuvem possui em uma região:

  1. Navegue até a página de detalhes do Autonomous Database.
  2. Clique em Conexão do banco de dados.
  3. Na página Conexão do banco de dados, selecione o Tipo de wallet:
    • Wallet da instância: Rotação da wallet somente para um único banco de dados; isso fornece uma rotação da wallet específica do banco de dados.
    • Wallet regional: Rotação da wallet para todos os Autonomous Databases de um determinado tenant e região (esta opção rotaciona a chave de certificação do cliente para todas as instâncias do serviço que uma conta da nuvem possui).
  4. Clique em Girar wallet.
  5. Informe o nome conforme mostrado na caixa de diálogo para confirmar a rotação da wallet.
  6. Na caixa de diálogo Rotacionar Wallet, clique em Girar.

A página Conexão do Banco de Dados mostra: Rotação em Andamento.

Depois que a rotação é concluída, o campo Wallet last rotated mostra a data e a hora da última rotação.

A Oracle recomenda que você forneça uma wallet de instância específica do banco de dados aos usuários finais e para uso do aplicativo sempre que possível, com o tipo de Wallet definido como Wallet da instância quando você usa Fazer download da wallet. Os wallets regionais devem ser usados somente para fins administrativos que exigem acesso potencial a todos os Bancos de Dados Autônomos em uma região.

Você também pode usar a API do Autonomous Database para rotacionar wallets usando UpdateAutonomousDatabaseRegionalWallet e UpdateAutonomousDatabaseWallet. Consulte Referência da Wallet do Autonomous Database para obter mais informações.

Girar Carteiras com Período de Carência

O Autonomous Database permite rotacionar wallets de uma instância do Autonomous Database ou de todas as instâncias que uma conta da nuvem possui em uma região. com um período de tolerância de 1 hora a 24 horas.

A definição de um período de tolerância permite que você execute a rotação da wallet sem tempo de inatividade. Durante o período de tolerância, você pode informar os usuários a fazer download da nova wallet e atualizar seus aplicativos para usar a nova wallet. Durante o período de tolerância, as chaves de certificação do cliente antigas e novas são válidas. Quando o período de tolerância expira, o Autonomous Database invalida as chaves de certificação do cliente antigas e somente as novas chaves de certificação do cliente são válidas.

Há duas opções para rotação de chave de certificação do cliente com um período de tolerância:

  • Por banco de dados com a Wallet de instância selecionada:

    • Para o banco de dados cuja chave de certificação é rotacionada, as wallets de instância específicas do banco de dados que estavam em uso antes da rotação da wallet são nulas após o período de tolerância expirar.

    • Depois de executar a rotação da chave de certificação do cliente com um período de tolerância, você poderá fazer download imediatamente de uma wallet e usar a nova wallet para estabelecer conexão com o banco de dados.

    • As wallets regionais que contêm todas as chaves de certificação do banco de dados continuam funcionando.

    • Após a expiração do período de tolerância, as conexões existentes que usam a wallet antiga continuam funcionando.

    Observação

    Após a conclusão do período de tolerância, se você quiser encerrar qualquer conexão usando a wallet antiga, a Oracle recomenda que você reinicie a instância do Autonomous Database.
  • Nível regional com a Wallet regional selecionada:

    • Para a região cuja chave de certificação é rotacionada, as carteiras de instância regionais e específicas do banco de dados serão anuladas. Após o período de tolerância expirar, você terá que fazer download de novas wallets regionais ou de instância para estabelecer conexão com qualquer banco de dados na região.

    • Após a expiração do período de tolerância, as conexões existentes que usam as carteiras antigas continuam funcionando.

    Observação

    Após a conclusão do período de tolerância, se você quiser encerrar qualquer conexão usando as wallets antigas, a Oracle recomenda que você reinicie cada instância do Autonomous Database na região.

Para rotacionar a chave de certificação do cliente com um período de tolerância para um determinado banco de dados ou para todas as instâncias do Autonomous Database que uma conta da nuvem possui em uma região:

  1. Navegue até a página de detalhes do Autonomous Database.
  2. Clique em Conexão do banco de dados.
  3. Na página Conexão do banco de dados, selecione o Tipo de wallet:
    • Wallet da instância: Rotação da wallet somente para um único banco de dados; isso fornece uma rotação da wallet específica do banco de dados.
    • Wallet regional: Rotação da wallet de todos os Autonomous Databases de um determinado tenant e região (esta opção alterna a chave de certificação do cliente para todas as instâncias do serviço na região que uma conta da nuvem possui).
  4. Clique em Girar wallet.
  5. Selecione Após um período de tolerância.
  6. Na área Período de tolerância (em horas), informe um valor no campo de texto ou use o controle deslizante para selecionar um valor.
  7. Informe o nome conforme mostrado na caixa de diálogo para confirmar a rotação da wallet.
  8. Na caixa de diálogo Rotacionar Wallet, clique em Girar.

A página Conexão do Banco de Dados mostra: Rotação em Andamento.

Depois que a rotação é concluída, o campo Wallet last rotated mostra a data e a hora da última rotação.

Observações para rotação da wallet com um período de tolerância:

  • Os Autonomous Databases Always Free só suportam rotação imediata da wallet (a rotação da wallet com um período de tolerância não é suportada).

  • A Oracle recomenda que você forneça uma wallet de instância específica do banco de dados aos usuários finais e para uso do aplicativo sempre que possível, com o tipo de Wallet definido como Wallet da instância quando você usa Fazer download da wallet. Os wallets regionais devem ser usados somente para fins administrativos que exigem acesso potencial a todos os Bancos de Dados Autônomos em uma região.

Você também pode usar a API do Autonomous Database para rotacionar wallets usando UpdateAutonomousDatabaseRegionalWallet e UpdateAutonomousDatabaseWallet. Consulte Referência da Wallet do Autonomous Database para obter mais informações.