Documentação do Oracle Cloud Infrastructure

Rotacionar Wallets para o Autonomous Database

A rotação de wallet permite invalidar as chaves de certificação existentes do cliente para uma instância de banco de dados ou para todas as instâncias do Autonomous Database que uma conta na nuvem possui em uma região.
  • Sobre a Rotação de Wallet
    Você tem a opção de executar um dos dois tipos de rotação de wallet: imediata ou com um período de tolerância.
  • Girar Wallets com Rotação Imediata
    A rotação imediata da wallet permite invalidar as chaves de certificação existentes do cliente para uma instância do Autonomous Database ou para todas as instâncias do Autonomous Database que uma conta da nuvem possui em uma região.
  • Girar Wallets com Período de Tolerância
    O Autonomous Database permite rotacionar wallets de uma instância do Autonomous Database ou de todas as instâncias que uma conta da nuvem possui em uma região, com um período de tolerância de 1 a 24 horas.

Tópico principal: Segurança

Sobre a Rotação de Wallets

Você tem a opção de executar um dos dois tipos de rotação de wallet: imediata ou com um período de tolerância.

  • A rotação de wallet Imediata é iniciada imediatamente, sem atraso.

  • Após um período de tolerância, a rotação de wallet ocorre com um período de tolerância. Durante o período de tolerância, as chaves de certificação antigas do cliente permanecem válidas por um período selecionado de 1 a 24 horas. Depois que o período de tolerância expirar, somente as novas chaves de certificação do cliente serão válidas.

Talvez você queira rotacionar wallets por um dos seguintes motivos:

  • Se as políticas da sua organização exigirem rotação regular de chaves de certificação do cliente,

  • Quando se suspeita de comprometimento de uma chave de certificação do cliente ou de um conjunto de chaves.

Rotacionar Wallets com Rotação Imediata

A rotação imediata da wallet permite que você invalide as chaves de certificação de cliente existentes para uma instância do Autonomous Database ou para todas as instâncias do Autonomous Database que uma conta de nuvem possui em uma região.

Há duas opções para rotação imediata de chaves de certificação do cliente:

  • Por banco de dados com a wallet da instância selecionada:
    • Para o banco de dados cuja chave de certificação é rotacionada, todas as wallets da instância específica do banco de dados existentes serão anuladas. Depois de alternar uma wallet, você precisará fazer download de uma nova wallet para estabelecer conexão com o banco de dados.
    • As wallets regionais que contêm todas as chaves de certificação do banco de dados continuam funcionando.
    • Todas as sessões do usuário são encerradas para o banco de dados cuja wallet é rotacionada. O encerramento da sessão do usuário começa depois que o giro da wallet é concluído. No entanto, esse processo não acontece imediatamente.
    Observação

    Se você quiser encerrar todas as conexões imediatamente após a conclusão do giro da wallet, a Oracle recomenda que você reinicie a instância do Autonomous Database. Isso fornece o mais alto nível de segurança para seu banco de dados.
  • Nível regional com a wallet regional selecionada:
    • Para a região cuja chave de certificação é girada, as wallets de instância regionais e específicas do banco de dados serão void. Depois de alternar uma wallet, você precisará fazer download de novas wallets regionais ou de instâncias para estabelecer conexão com qualquer banco de dados da região.
    • Todas as sessões do usuário são encerradas para os bancos de dados da região cuja wallet é rotacionada. O encerramento da sessão do usuário começa depois que o giro da wallet é concluído. No entanto, esse processo não acontece imediatamente.
    Observação

    Se você quiser encerrar todas as conexões imediatamente após o término da rotação de wallet, a Oracle recomenda que você reinicie as instâncias do Autonomous Database na região. Isso fornece o mais alto nível de segurança para seu banco de dados.

Para rotacionar imediatamente a chave de certificação do cliente para um determinado banco de dados ou para todas as instâncias do Autonomous Database que uma conta da nuvem possui em uma região:

  1. Navegue até a página de detalhes do Autonomous Database.
  2. Clique em Conexão de banco de dados.
  3. Na página Conexão do banco de dados, selecione o Tipo de wallet:
    • wallet de instância: Rotação de wallet para um único banco de dados apenas; isso fornece uma rotação de wallet específica de banco de dados.
    • wallet regional: Rotação de wallet para todos os Autonomous Databases de um determinado tenant e região (essa opção rotaciona a chave de certificação do cliente para todas as instâncias de serviço que uma conta da nuvem possui).
  4. Clique em Girar wallet.
  5. Informe o nome conforme mostrado na caixa de diálogo para confirmar a rotação de wallet.
  6. Na caixa de diálogo Rotacionar Wallet, clique em Rotacionar.

A página Conexão do Banco de Dados mostra: Rotação em Andamento.

Após a conclusão da rotação, o campo Última rotação de Wallets mostra a data e a hora da última rotação.

A Oracle recomenda fornecer uma wallet de instância específica de banco de dados para usuários finais e uso de aplicativo sempre que possível, com o tipo de Wallet definido como wallet de instância quando você usar Fazer download da wallet. Os wallets regionais só devem ser usados para fins administrativos que exigem acesso potencial a todos os Autonomous Databases em uma região.

Você também pode usar a API do Autonomous Database para rotacionar wallets usando UpdateAutonomousDatabaseRegionalWallet e UpdateAutonomousDatabaseWallet. Para obter mais informações, consulte Referência de Wallet do Autonomous Database.

Rotacionar Wallets com Período de Tolerância

O Autonomous Database permite rotacionar wallets de uma instância do Autonomous Database ou de todas as instâncias que uma conta da nuvem possui em uma região, com um período de tolerância de 1 a 24 horas.

A definição de um período de tolerância permite que você execute a rotação de wallet sem tempo de inatividade. Durante o período de tolerância, você pode informar os usuários para fazer download da nova wallet e atualizar seus aplicativos para usar a nova wallet. Durante o período de tolerância, as chaves de certificação antigas e novas do cliente são válidas. Quando o período de tolerância expira, o Autonomous Database invalida as chaves de certificação antigas do cliente e somente as novas são válidas.

Há duas opções para rotação de chaves de certificação do cliente com um período de tolerância:

  • Por banco de dados com a wallet da instância selecionada:

    • Para o banco de dados cuja chave de certificação é rotacionada, wallets de instância específicas do banco de dados que estavam em uso antes da rotação de wallet serão anuladas após a expiração do período de tolerância.

    • Depois de executar a rotação de chaves de certificação do cliente com um período de tolerância, você poderá fazer download imediatamente de uma wallet e usar a nova wallet para estabelecer conexão com o banco de dados.

    • As wallets regionais que contêm todas as chaves de certificação do banco de dados continuam funcionando.

    • Depois que o período de tolerância expira, as conexões existentes que usam a wallet antiga continuam funcionando.

    Observação

    Após a conclusão do período de tolerância, se você quiser encerrar as conexões usando a wallet antiga, a Oracle recomenda que você reinicie a instância do Autonomous Database.
  • Nível regional com a wallet regional selecionada:

    • Para a região cuja chave de certificação é girada, as wallets de instância regionais e específicas do banco de dados serão void. Depois que o período de tolerância expirar, você precisará fazer download de novas wallets regionais ou de instâncias para estabelecer conexão com qualquer banco de dados da região.

    • Depois que o período de tolerância expirar, as conexões existentes que usam as wallets antigas continuarão funcionando.

    Observação

    Após a conclusão do período de tolerância, se você quiser encerrar as conexões que estão usando as wallets antigas, a Oracle recomenda que você reinicie cada instância do Autonomous Database da região.

Para alternar a chave de certificação do cliente com um período de tolerância para um determinado banco de dados ou para todas as instâncias do Autonomous Database que uma conta da nuvem possui em uma região:

  1. Navegue até a página de detalhes do Autonomous Database.
  2. Clique em Conexão de banco de dados.
  3. Na página Conexão do banco de dados, selecione o Tipo de wallet:
    • wallet de instância: Rotação de wallet para um único banco de dados apenas; isso fornece uma rotação de wallet específica de banco de dados.
    • wallet regional: Rotação de wallet para todos os Autonomous Databases de um determinado tenant e região (essa opção rotaciona a chave de certificação do cliente para todas as instâncias de serviço da região que uma conta da nuvem possui).
  4. Clique em Girar wallet.
  5. Selecione Após um período de tolerância.
  6. Na área Período de tolerância (em horas), informe um valor no campo de texto ou use o controle deslizante para selecionar um valor.
  7. Informe o nome conforme mostrado na caixa de diálogo para confirmar a rotação de wallet.
  8. Na caixa de diálogo Rotacionar Wallet, clique em Rotacionar.

A página Conexão do Banco de Dados mostra: Rotação em Andamento.

Após a conclusão da rotação, o campo Última rotação de Wallets mostra a data e a hora da última rotação.

Observações para rotação de wallet com um período de tolerância:

  • Os Autonomous Databases Always Free só suportam rotação imediata de wallet (a rotação de wallet com um período de tolerância não é suportada).

  • A Oracle recomenda fornecer uma wallet de instância específica de banco de dados para usuários finais e uso de aplicativo sempre que possível, com o tipo de Wallet definido como wallet de instância quando você usar Fazer download da wallet. Os wallets regionais só devem ser usados para fins administrativos que exigem acesso potencial a todos os Autonomous Databases em uma região.

Você também pode usar a API do Autonomous Database para rotacionar wallets usando UpdateAutonomousDatabaseRegionalWallet e UpdateAutonomousDatabaseWallet. Para obter mais informações, consulte Referência de Wallet do Autonomous Database.