Documentação do Oracle Cloud Infrastructure

Integração do AWS Key Management Service para o Exadata Database Service no Oracle Database@AWS

O Exadata Database Service no Oracle Database@AWS suporta integração com o AWS Key Management Service (KMS). Esse aprimoramento permite que os usuários gerenciem chaves de criptografia mestras (MEKs) de TDE (Transparent Data Encryption) usando chaves gerenciadas pelo cliente da AWS.

Para o Exadata Database Service nas MEKs de TDE do Oracle Database@AWS, é possível armazenar em um Oracle Wallet baseado em arquivo, no Oracle Cloud Infrastructure (OCI) Vault, no Oracle Key Vault (OKV) ou no AWS KMS, fornecendo opções para se alinhar às políticas de segurança específicas da organização. A integração com o AWS KMS permite que aplicativos, serviços da AWS e bancos de dados em Clusters de VMs do Exadata aproveitem uma única solução centralizada de gerenciamento de chaves.

Tópico principal: Guias Práticos

Pré-requisitos

Antes de usar o AWS KMS como a solução de gerenciamento de chaves para seus bancos de dados, execute as etapas a seguir.

O domínio de Identidades da OCI é configurado automaticamente durante o processo de integração do Oracle Database@AWS, e nenhuma ação é necessária. Siga as etapas abaixo somente para contas que foram vinculadas antes da disponibilidade geral da integração do AWS KMS (18 de novembro de 2025).

Configure um domínio de identidades do OCI para ativar a integração da AWS para seus Clusters de VMs do Exadata. Ele permite que você associe uma função de serviço do AWS Identity and Access Management (IAM) a integrações da AWS.

  1. Na console da AWS, selecione Oracle Database@AWS e, em seguida, Definições.
  2. Selecione o botão Configurar para configurar seu domínio de identidades do OCI.
  3. Quando ele estiver concluído, você poderá revisar as informações de Status, ID do domínio de identidades do OCI e URL do domínio de identidades do OCI na página Definições.

Tópico principal: Pré-requisitos

  1. Se você não tiver uma Rede ODB existente, poderá provisionar uma seguindo as instruções passo a passo da Rede ODB. Se você tiver uma Rede ODB existente, poderá modificá-la selecionando o botão Modificar, siga Modificar uma Rede ODB para obter instruções passo a passo.
  2. Na seção Configurar integrações de serviço,
    1. Selecione a opção Serviço de Token de Segurança (STS) para configurar a rede para acesso do AWS KMS e do AWS STS no banco de dados.
    2. Marque a caixa de seleção AWS KMS para permitir que o AWS KMS use chaves KMS em suas políticas de autenticação.

Tópico principal: Pré-requisitos

A criação do Cluster de VMs do Exadata só está disponível por meio da Console da AWS e da CLI da AWS. Para obter mais informações, consulte Cluster de VMs do Exadata.

Tópico principal: Pré-requisitos

Crie uma pilha para cada cluster. Use as seguintes etapas para criar uma pilha CloudFormation. Isso precisa ser executado para cada cluster de VMs do Exadata.

Quando sua pilha CloudFormation cria um Provedor do OIDC (OpenID Connect), ela estabelece um relacionamento de confiança para que uma origem de identidade externa (como a OCI) possa se autenticar na AWS. A Atribuição do IAM associada define o que essa identidade confiável tem permissão para fazer.

  1. Selecione seu Cluster de VMs do Exadata existente na lista para abrir sua página de detalhes na Console de Gerenciamento da AWS.
    Observação

    Se você não tiver um Cluster de VMs do Exadata existente, poderá provisionar um seguindo as instruções passo a passo do Cluster de VMs do Exadata.

  2. Selecione a guia Atribuições de serviço do IAM e clique no link CloudFormation.
  3. Na página Pilha de criação rápida, revise as informações pré-preenchidas.
    1. Na seção Parâmetros, os parâmetros são definidos no seu modelo e permitem que você informe valores personalizados ao criar ou atualizar uma pilha.
      1. Revise suas informações OCIIdentityDomainUrl pré-preenchidas.
      2. O campo OIDCProviderArn é opcional. Quando você cria a pilha CloudFormation pela primeira vez, ela cria um Provedor do OIDC e um Papel do IAM associado. Se você estiver executando a pilha pela primeira vez, não precisará fornecer um valor para o campo OIDCProviderArn.
      3. Para qualquer tempo de execução adicional, você deve fornecer o ARN do provedor do OIDC existente e especificá-lo no campo OIDCProviderArn. Para obter suas informações do OIDCProviderArn, execute as seguintes etapas:
        1. Na console da AWS, navegue até o serviço IAM e selecione Provedores de identidade.
        2. Na lista Provedores de identidades, você pode filtrar seu provedor selecionando Tipo como OpenID Connect.
        3. Selecione o link Provedor que foi criado quando a pilha CloudFormation foi criada inicialmente.
        4. Na página Resumo, copie as informações do ARN.
        5. Cole as informações do ARN no campo OIDCProviderArn.
    2. Na seção Permissões, selecione o nome da atribuição do IAM na lista drop-down e, em seguida, selecione a atribuição do IAM para CloudFormation a ser usada em todas as operações executadas na pilha.
    3. Selecione o botão Criar pilha para aplicar as alterações.
  4. Após a conclusão da implantação da pilha CloudFormation, navegue até a seção Recursos da pilha e verifique os recursos criados da Atribuição IdP e do IAM. Copie o ARN da Atribuição do IAM para uso futuro.

Tópico principal: Pré-requisitos

Você deve anexar uma atribuição do IAM criada anteriormente ao Cluster de VMs do Exadata para designar um conector de identidade que permita o acesso aos recursos da AWS.

  1. No console da AWS, selecione Oracle Database@AWS.
  2. No menu esquerdo, selecione Clusters de VMs do Exadata e, em seguida, selecione seu Cluster de VMs do Exadata na lista.
  3. Selecione a guiaAtribuições do IAM e, em seguida, selecione o botão Associar.
    1. O campo Integração AWS é somente leitura.
    2. Informe o Amazon Resource Name (ARN) da atribuição do IAM que você deseja associar ao cluster de VMs no campo ARN da Atribuição. Você pode obter as informações do ARN na seção Resumo da função que você criou anteriormente.
    3. Selecione o botão Associar para anexar a atribuição.
      Observação

      Depois de associar uma atribuição do IAM ao cluster de VMs, um conector de identidade será anexado ao Cluster de VMs do Exadata.

Após concluir a seção de pré-requisitos, continue com as seguintes ações:

  1. Na Console do AWS, crie uma chave gerenciada pelo cliente no AWS KMS.
  2. Na Console do OCI, ative o(s) Cluster(s) de VMs do Exadata e os bancos de dados para utilizar a chave do AWS KMS criada na etapa 1.

Tópico principal: Pré-requisitos

  1. Na console da AWS, selecione KMS (Key Management Service).
  2. No menu esquerdo, selecione Chaves gerenciadas pelo cliente e, em seguida, selecione o botão Criar chave.
  3. Na seção Configurar chave, especifique as informações a seguir.
    1. Escolha a opção Symmetric como Tipo de chave.
    2. Escolha a opção Criptografar e decriptografar como Uso da chave.
    3. Expanda a seção Opções avançadas. O AWS KMS e o AWS CloudHSM são suportados.
      1. Se você quiser usar o armazenamento de chaves padrão KMS, escolha a opção KMS - recomendado como Origem do material da chave e escolha a opção Chave de Região Única ou a opção Chave de Várias Regiões na seção Regionalidade.
        Observação

        No momento, o Data Guard entre regiões e a restauração de bancos de dados em outra região não são compatíveis com bancos de dados que usam chaves gerenciadas pelo cliente da AWS para gerenciamento de chaves.

      2. Se você quiser usar o AWS CloudHSM , escolha a opção Armazenamento de chaves AWS CloudHSM como Origem do material da chave.
    4. Selecione o botão Próximo para continuar o processo de criação.
  4. Na seção Adicionar labels, especifique as informações a seguir.
    1. Informe um nome de exibição descritivo no campo Apelido. Máximo de 256 caracteres. Use caracteres alfanuméricos e '_-/'.
      Observação

      • O nome do alias não pode começar com aws/. O prefixo aws/ é reservado pela AWS para representar as chaves gerenciadas pela AWS em sua conta.
      • Um alias é um nome de exibição que pode ser usado para identificar a chave KMS. Recomendamos que você escolha um alias que indique o tipo de dados que planeja proteger ou o aplicativo que planeja usar com a chave KMS
      • Os aliases são necessários quando você cria uma chave KMS no console da AWS.
    2. O campo Descrição é opcional.
    3. A seção Tags é opcional. Você pode usar tags para categorizar e identificar suas chaves KMS e ajudá-lo a rastrear seus custos da AWS.
    4. Selecione o botão Próximo para continuar o processo de criação ou o botão Anterior para retornar a página anterior.
  5. Na seção Definir permissões administrativas principais, conclua as subetapas a seguir.
    1. Pesquise a função que você criou anteriormente e marque a caixa de seleção. Selecione os usuários e as atribuições do IAM que podem administrar a chave KMS.
      Observação

      Essa política de chave dá à conta da AWS controle total dessa chave KMS. Ele permite que os administradores de contas usem políticas do IAM para conceder a outros principais permissão para gerenciar a chave KMS.

    2. Na seção Deleção de chaves, a caixa de seleção Permitir que os administradores de chaves excluam essa chave é marcada por padrão. Para impedir que os usuários e atribuições do IAM selecionados excluam a chave KMS, você pode desmarcar a caixa de seleção.
    3. Selecione o botão Próximo para continuar o processo de criação ou o botão Anterior para retornar a página anterior.
  6. Na seção Definir as principais permissões de uso, conclua as subetapas a seguir.
    1. Pesquise a função que você criou anteriormente e marque a caixa de seleção.
    2. Selecione o botão Próximo para continuar o processo de criação ou o botão Anterior para retornar a página anterior.
  7. Na seção Editar política de chave, conclua as subetapas a seguir.
    1. Na seção Visualizar, você pode revisar a política de chave. Se quiser fazer uma alteração, selecione a guia Editar.
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "KMSKeyMetadata",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn>"
            },
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "KeyUsage",
            "Effect": "Allow",
            "Principal": {
                "AWS": "<arn>"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}
    2. Selecione o botão Próximo para continuar o processo de criação ou o botão Anterior para retornar a página anterior.
  8. Na seção Revisar, revise suas informações e selecione o botão Concluir.

Para obter mais informações, consulte Criar uma chave KMS de criptografia simétrica.

Tópico principal: Pré-requisitos

Para ativar o AWS KMS para seus Clusters de VMs do Exadata, primeiro você deve registrar a chave do AWS KMS no OCI.

  1. Na console da OCI, selecione Oracle AI Database e, em seguida, Database Multicloud Integrations.
  2. No menu esquerdo, selecione AWS Integration e, em seguida, Chaves AWS.
  3. Selecione o botão Registrar chaves da AWS e conclua as subetapas a seguir.
    1. Na lista drop-down, selecione o Compartimento no qual reside o Cluster de VMs do Exadata.
    2. Na seção Chaves AWS, selecione seu conector de identidade na lista drop-down.
      Observação

      Certifique-se de que a função associada ao conector tenha a permissão DescribeKey na chave. Esta permissão é necessária para executar a descoberta com sucesso.

    3. O campo ARN Chave é opcional.
    4. Clique no botão Descobrir.
  4. Quando a chave for descoberta, selecione o botão Registrar para registrar a chave no OCI.

Tópico principal: Pré-requisitos

Allow any-user to read oracle-db-aws-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster'}

Esta política permite que os Clusters de VMs na Nuvem gerenciados pela Oracle leiam o recurso oracle-db-aws-keys no seu compartimento. Ele concede as permissões necessárias para que o cluster de VMs (o principal do tipo cloudvmcluster) acesse os metadados de chave da AWS necessários para integração com o gerenciamento de chaves externas ou execução de operações entre nuvens. Sem essa política, o cluster de VMs não conseguiria recuperar as chaves necessárias para concluir a configuração.

Tópico principal: Pré-requisitos

Usando a Console para Gerenciar a Integração do AWS KMS para o Exadata Database Service no Oracle Database@AWS

Saiba como gerenciar a integração do AWS KMS para o Exadata Database Service no Oracle Database@AWS.

Quando você ativa o gerenciamento de chaves da AWS para seu banco de dados, somente as chaves da AWS autorizadas para uso com o Cluster de VMs do Exadata e registradas no OCI podem ser usadas.

  1. Na console da OCI, selecione Oracle AI Database e depois selecione Oracle Exadata Database Service on Dedicated Infrastructure.
  2. No menu esquerdo, selecione Clusters de VMs do Exadata e, em seguida, selecione seu Cluster de VMs do Exadata.
  3. Selecione a guia Informações do Cluster de VMs e selecione o botão Ativar ao lado de Chave de Criptografia Gerenciada pelo Cliente AWS.
Observação

Depois de ativar o AWS Key Management para o Cluster de VMs do Exadata, você poderá desativá-lo usando o botão Desativar. A desativação desse recurso afetará a disponibilidade de bancos de dados que usam o AWS Key Management Service para operações de criptografia e decriptografia. Certifique-se de que nenhum banco de dados esteja usando o gerenciamento de chaves da AWS no momento antes de desativá-lo no nível do Cluster de VMs do Exadata.

Este tópico descreve apenas as etapas para criar um banco de dados e usar o AWS KMS como a solução de gerenciamento de chaves.

Para obter o procedimento de criação de banco de dados genérico, consulte Para criar um banco de dados em um Cluster de VMs existente.

Pré-requisitos

Consulte Pré-requisitos.

Etapas

Se o gerenciamento de chaves do AWS KMS estiver ativado no nível do cluster de VMs, você terá duas opções de gerenciamento de chaves: Oracle Wallet e gerenciamento de chaves do AWS.

  1. Na seção Criptografia, escolha Gerenciamento de chaves do AWS.
  2. Selecione a Chave de criptografia disponível em seu compartimento.
    Observação

    • Somente as chaves registradas são listadas.
    • Se a chave desejada não estiver visível, ela pode não ter sido registrada ainda. Clique em Registrar Chaves AWS para descobrir e registrá-las.

      Para obter instruções detalhadas, consulte Registrar a Chave do AWS KMS.

    • Você pode selecionar um alias de chave na lista drop-down. Se nenhum alias de chave estiver disponível, a lista suspensa exibirá o ID da chave.

Se quiser alterar o gerenciamento de chaves dos seus bancos de dados existentes no Cluster de VMs do Exadata do Oracle Wallet para o AWS KMS, execute as etapas a seguir.

  1. Em seus Clusters de VMs do Exadata, navegue até a guia Bancos de Dados e selecione o banco de dados que você está usando.
  2. Na seção Criptografia, confirme se o Gerenciamento de chaves está definido como Oracle Wallet e selecione o link Alterar.
  3. Na página Alterar gerenciamento de chaves, especifique as informações a seguir.
    1. Selecione seu Gerenciamento de chaves como Gerenciamento de chaves AWS na lista drop-down.
    2. Selecione o compartimento de chaves que você está usando e selecione a chave desejada na lista drop-down.
    3. Selecione o botão Salvar alterações.

Para alternar a Chave do AWS KMS de um banco de dados contêiner (CDB), use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle AI Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Escolha o Compartimento.

    Uma lista de Clusters de VMs é exibida para o Compartimento escolhido.

  3. Na lista de Clusters de VMs, clique no nome do cluster que contém o banco de dados que você deseja rotacionar as chaves de criptografia.
  4. Clique em Bancos de Dados.
  5. Clique no nome da base de dados que você deseja rotacionar chaves de criptografia.

    A página Detalhes do Banco de Dados exibe informações sobre o banco de dados selecionado.

  6. Na seção Criptografia, verifique se o Gerenciamento de Chaves está definido como gerenciamento de chaves AWS e clique no link Girar.
  7. Na caixa de diálogo Alternar Chave resultante, clique em Alternar para confirmar a ação.
    Observação

    A rotação da chave do AWS KMS gera um novo contexto de criptografia para a mesma chave.

Para alternar a Chave do AWS KMS de um banco de dados plugável (PDB), use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle AI Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Escolha o Compartimento.

    Uma lista de Clusters de VMs é exibida para o Compartimento escolhido.

  3. Na lista de clusters de VMs, clique no nome do cluster de VMs que contém o PDB que você deseja iniciar e, em seguida, clique no nome dele para exibir a página de detalhes.
  4. Em Bancos de Dados, localize o banco de dados que contém o PDB cujas chaves de criptografia você deseja rotacionar.
  5. Clique no nome do banco de dados para exibir a página Detalhes do Banco de Dados.
  6. Clique em Bancos de Dados Plugáveis na seção Recursos da página.

    Uma lista de PDBs existentes nesse banco de dados é exibida.

  7. Clique no nome do PDB cujas chaves de criptografia você deseja rotacionar.

    A página de detalhes do banco de dados plugável é exibida.

  8. Na seção Criptografia, é exibido que o gerenciamento de Chaves é definido como gerenciamento de chaves da AWS.
  9. Clique no link Girar.
  10. Na caixa de diálogo Alternar Chave resultante, clique em Alternar para confirmar a ação.
    Observação

    A rotação da chave do AWS KMS gera um novo contexto de criptografia para a mesma chave.

Opcionalmente, conclua as etapas a seguir para desativar uma chave específica do CDB ou PDB.

  1. Navegue até a console da AWS e selecione KMS (Key Management Service).
  2. No menu esquerdo, selecione Chaves gerenciadas pelo cliente e, em seguida, selecione o ID da Chave da chave que você deseja editar.
  3. Selecione o botão Editar política.
  4. Execute a consulta a seguir para obter o EncryptionContext MKID da chave.

    Use o seguinte comando para exibir os MKIDs (Master Key IDs) atuais para habilitar ou desabilitar as operações:

    dbaascli tde getHSMKeys --dbname <DB-Name>

    Você também pode executar a seguinte consulta SQL para listar todas as versões de chave:

    SELECT key_id, con_id, creation_time, key_use FROM v$encryption_keys;
  5. Adicione uma política de negação usando o MKID EncryptionContext recuperado, conforme mostrado abaixo:
    {
  "Effect": "Deny",
  "Principal": "*",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt"
  ],
  "Resource": "arn:aws:kms:us-east-1:867344470629:key/7139075d-a006-4302-92d5-48ecca31d48e",
  "Condition": {
    "StringEquals": {
      "kms:EncryptionContext:MKID": "ORACLE.TDE.HSM.MK.06AE5EFB528D9D4F21BFEDA63C6C8738D9"
    }
  }
}
  6. Escolha Salvar alterações para aplicar a atualização da política.

Usando a API para Gerenciar a Integração do AWS KMS para o Exadata Database Service no Oracle Database@AWS

Para obter informações sobre como usar a API e assinar solicitações, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.

Os recursos a seguir serão disponibilizados aos clientes por meio do OCI SDK, da CLI e do Terraform. Essas APIs serão usadas por clientes que desejam integrar o Oracle Database no Exadata com o AWS KMS.

Tabela 5-14 OracleDbAwsIdentityConnector

API Descrição
ListOracleDbAwsIdentityConnectors Lista todos os recursos do AWS Identity Connector com base nos filtros especificados.
GetOracleDbAwsIdentityConnector Recupera informações detalhadas sobre um recurso específico do AWS Identity Connector.
CreateOracleDbAwsIdentityConnector Cria um novo recurso do AWS Identity Connector para o Cluster de VMs ExaDB-D especificado.
UpdateOracleDbAwsIdentityConnector Atualiza os detalhes de configuração de um recurso existente do AWS Identity Connector.
ChangeOracleDbAwsIdentityConnectorCompartment Move o recurso do AWS Identity Connector para outro compartimento.
DeleteOracleDbAwsIdentityConnector Exclui o recurso especificado do AWS Identity Connector.
RefreshOracleDbAwsIdentityConnector Atualizou os detalhes de configuração do recurso do AWS Identity Connector especificado.

Tabela 5-15 OracleDbAwsKey

API Descrição
ListOracleDbAwsKeys Lista todos os recursos de chave da AWS com base nos filtros especificados.
CreateOracleDbAwsKey Cria um novo recurso da AWS Key.
ChangeOracleDbAwsKeyCompartment Move o recurso AWS Key para outro compartimento.
GetOracleDbAwsKey Recupera informações detalhadas sobre um recurso específico da AWS Key.
UpdateOracleDbAwsKey Atualiza os detalhes de configuração de um recurso de chave da AWS existente.
DeleteOracleDbAwsKey Exclui o recurso de chave da AWS especificado.
RefreshOracleDbAwsKey Atualiza os detalhes de configuração de um recurso de chave da AWS.

Atualizando o driver PKCS#11 multicloud

Observação

O driver PKCS#11 para AWS é instalado automaticamente quando o gerenciamento de chaves da AWS é ativado em um cluster de VMs. Para verificar se o driver está instalado e verificar sua versão, execute o seguinte comando:

rpm -qa | grep pkcs

Esse comando lista o pacote PKCS instalado no cluster de VMs. Somente um driver PKCS#11 pode estar ativo de cada vez, correspondendo a Azure, Google Cloud ou AWS.

Exemplo de saída:

pkcs-multicloud-driver-maz-0.2-250814.1708.x86_64

Isso confirma que o pacote pkcs-multicloud-driver-maz está instalado, junto com sua versão e arquitetura.

O driver PKCS#11 pode ser atualizado usando um mecanismo incremental ou não incremental, dependendo da preferência do cliente.

No modo incremental, a atualização é aplicada a uma VM de cada vez, e os bancos de dados dessa VM são reiniciados antes de passar para a próxima. No modo não incremental, todos os bancos de dados do cluster são submetidos a shutdown, a atualização é aplicada em todos os nós e os bancos de dados são colocados on-line novamente. Os usuários devem estar cientes da versão dbaastools em uso, pois as etapas subsequentes, especificamente a etapa 3 em ambos os cenários, exigem ações diferentes dependendo da versão, particularmente ao atualizar o driver PKCS#11.

A versão do dbaastools pode ser determinada executando o seguinte comando: 

/var/opt/oracle/dbaascli/dbaascli admin showLatestStackVersion

Atualização contínua

Em cada VM Convidada, aplique a atualização do driver PKCS#11 da seguinte forma (um nó por vez):

  1. Faça shutdown das instâncias de banco de dados que estão usando o AWS KMS.

    Todos os bancos de dados que usam o AWS KMS para chaves de criptografia mestras (MEK) devem ser interrompidos antes da atualização do driver. Usar:

    srvctl stop instance -d <db_unique_name> -i <instance_name> [-o <stop_option>]
    • -d <db_unique_name>: O nome exclusivo do banco de dados (igual ao DB_UNIQUE_NAME no banco de dados).
    • -i <instance_name>: O nome da instância a ser interrompida, por exemplo, orcl1.

    Para obter detalhes sobre opções adicionais, consulte a ajuda da linha de comando SRVCTL ou o manual de referência.

  2. Verifique se os bancos de dados foram encerrados.

    Verifique se todas as instâncias de banco de dados que estão usando o AWS KMS foram interrompidas antes de continuar.

  3. Atualize o RPM.

    Como usuário do root, execute o seguinte comando (para dbaastools 25.4.1 e posterior): 

    /var/opt/oracle/dbaascli/dbaascli admin updateMCKMS --keystoreProvider AWS --nodeList <node> --databasesStopped

    Este comando faz download e instala o RPM mais recente no nó especificado.

  4. Verifique a instalação do driver.

    Execute o seguinte comando como o usuário root: 

    /bin/rpm -qa | grep -i pkcs-multicloud-driver
  5. Inicie as instâncias do banco de dados.

    Após a atualização do driver, reinicie as instâncias do banco de dados usando:

    <oracle_home>/bin/srvctl start instance -node "<node>"

Atualização sem rolagem

No modo não incremental, todos os bancos de dados no cluster são interrompidos antes da aplicação da atualização do driver PKCS#11.

  1. Interrompa os bancos de dados usando o AWS KMS.

    Interrompa todos os bancos de dados que usam o AWS KMS para chaves mestras de criptografia (MEK) antes de atualizar o driver:

    dbaascli database stop [--dbname <value>]
  2. Verifique se os bancos de dados foram encerrados.

    Verifique se todos os bancos de dados que usam o AWS KMS foram interrompidos antes de continuar.

  3. Atualize o RPM.

    Como usuário do root, execute o seguinte comando (para dbaastools 25.4.1 e posterior): 

    /var/opt/oracle/dbaascli/dbaascli admin updateMCKMS --keystoreProvider AWS --databasesStopped

    Este comando baixa e instala o RPM mais recente.

  4. Verifique a instalação do driver.

    Execute o seguinte comando como usuário do root: 

    /bin/rpm -qa | grep -i pkcs-multicloud-driver
  5. Reinicie os bancos de dados.

    Depois que o driver for atualizado, reinicie os bancos de dados:

    dbaascli database start [--dbname <value>]

Notas da Release

Revise as alterações feitas nas diferentes versões do driver da AWS.

Release 2.185 (251201.0551)

  • Várias correções de bug e melhorias de estabilidade.

Tópico principal: Notas da Release