轮换加密 Keys
您可以使用 Oracle Cloud Infrastructure 控制台轮换与专用 Exadata 基础结构上的自治 AI 数据库关联的主加密密钥。
轮换自治容器数据库的加密密钥
必需的 IAM 策略
manage autonomous-container-databases
过程
-
转到要轮换其加密密钥的自治容器数据库的详细信息页。
有关说明,请参阅查看自治容器数据库的详细信息。
-
在操作下,单击 Rotate Encryption Key 。
-
(可选)要使用客户加密密钥 (BYOK),请选择使用客户提供的密钥轮换 (BYOK) 。仅 Oracle Public Cloud 支持 BYOK。
-
对于外部 KMS :在外部 HSM 中自动为每个第三方密钥分配一个密钥版本。
-
在外部 HSM 中轮换第三方密钥,以便外部 HSM 生成新的密钥版本。
-
复制轮换密钥的版本 ID 并使用它轮换 OCI 密钥管理 (EKMS) 中的密钥引用,以便 OCI 密钥管理 (EKMS) 可以创建新的密钥版本 OCID。
-
从 EKMS 复制新创建的密钥版本 OCID。
-
-
对于 OCI Vault :在密钥版本 OCID 中输入导入的客户加密密钥的 OCID。您输入的密钥版本 OCID 应与自治容器数据库的当前加密密钥关联。
-
-
单击 Rotate encryption Key 。
自治容器数据库将进入正在更新状态,加密密钥将轮换,自治容器数据库将恢复为活动状态。加密密钥的轮换方式取决于加密密钥是 Oracle 管理的还是客户管理的:
-
Oracle 管理的密钥:自治 AI 数据库将轮换加密密钥,并将新值存储在自治容器数据库所在的 Exadata 系统上的安全密钥库中。
-
客户管理的密钥:自治 AI 数据库使用底层技术(Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud and Multicloud deployment,或 Oracle Key Vault (OKV) for Autonomous Container Databases on Oracle Public Cloud or Exadata Cloud@Customer,或 AWS KMS for Autonomous AI Database on Oracle Database@AWS)用于轮换密钥并将新值存储为底层技术中密钥的新版本,然后将此新版本与自治容器数据库关联。
轮换 AWS KMS 密钥会为同一密钥生成新的加密上下文。
您可以从自治容器数据库详细信息页面中查看最新的密钥版本 OCID 和整个密钥历史记录。这不适用于 AWS KMS 密钥。
注:对于具有客户管理的密钥的跨区域 Data Guard,备用数据库使用的复制 Vault 为只读。因此,当备用数据库从故障转移中承担主角色时,无法轮换密钥。
轮换自治 AI 数据库的加密密钥
您可以从自治 AI 数据库的详细信息页面轮换自治 AI 数据库的加密密钥。
-
转到要轮换其加密密钥的自治 AI 数据库的详细信息页。
有关说明,请参见 View Details of a Dedicated Autonomous AI Database 。
-
在 Oracle Public Cloud 上,单击更多操作下的旋转加密密钥,在 Exadata Cloud@Customer 上,单击操作下的旋转加密密钥。
-
(可选)要使用客户加密密钥 (BYOK),请选择使用客户提供的密钥轮换 (BYOK) 。仅 Oracle Public Cloud 支持 BYOK。
-
对于外部 KMS :在外部 HSM 中自动为每个第三方密钥分配一个密钥版本。
-
在外部 HSM 中轮换第三方密钥,以便外部 HSM 生成新的密钥版本。
-
复制轮换密钥的版本 ID 并使用它轮换 OCI 密钥管理 (EKMS) 中的密钥引用,以便 OCI 密钥管理 (EKMS) 可以创建新的密钥版本 OCID。
-
从 EKMS 复制新创建的密钥版本 OCID。
-
-
对于 OCI Vault :在密钥版本 OCID 中输入导入的客户加密密钥的 OCID。您输入的密钥版本 OCID 应与自治容器数据库的当前加密密钥关联。
-
-
单击 Rotate encryption Key 。
自治 AI 数据库将进入正在更新状态,加密密钥将轮换,自治 AI 数据库将恢复为活动状态。加密密钥的轮换方式取决于加密密钥是 Oracle 管理的还是客户管理的:
-
Oracle 管理的密钥:自治 AI 数据库将轮换加密密钥,并将新值存储在自治 AI 数据库所在的 Exadata 系统上的安全密钥库中。
-
客户管理的密钥:自治 AI 数据库使用底层技术(Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud and Multicloud deployment,或 Oracle Key Vault (OKV) for Autonomous Container Databases on Oracle Public Cloud or Exadata Cloud@Customer,或 AWS KMS for Autonomous AI Database on Oracle Database@AWS)用于轮换密钥并将新值存储为底层技术中密钥的新版本,然后将此新版本与自治容器数据库关联。
轮换 AWS KMS 密钥会为同一密钥生成新的加密上下文。
您可以从自治容器数据库详细信息页面中查看最新的密钥版本 OCID 和整个密钥历史记录。这不适用于 AWS KMS 密钥。
注:对于具有客户管理的密钥的跨区域 Data Guard,备用数据库使用的复制 Vault 为只读。因此,当备用数据库从故障转移中承担主角色时,无法轮换密钥。