轮换加密密钥

您可以使用 Oracle Cloud Infrastructure 控制台轮换与 Autonomous Database on Dedicated Exadata Infrastructure 关联的主加密密钥。

相关主题

必需的 IAM 策略

manage autonomous-container-databases

过程

自治容器数据库将恢复为正在更新状态，加密密钥将轮换，自治容器数据库将恢复为活动状态。加密密钥的轮换方式取决于是 Oracle 管理的还是客户管理的：

Oracle 管理的密钥：Autonomous Database 轮换加密密钥，将新值存储在自治容器数据库所在的 Exadata 系统上的安全密钥库中。
客户管理的密钥：Autonomous Database 使用底层技术（Oracle Cloud Infrastructure Vault 用于 Oracle Public Cloud 上的自治容器数据库，或 Oracle Key Vault (OKV) 用于 Oracle Public Cloud 或 Exadata Cloud@Customer 上的自治容器数据库）在底层技术中轮换密钥并将新值存储为密钥的新版本，然后将此新版本与自治容器数据库关联。
您可以从自治容器数据库详细信息页面查看最新密钥版本 OCID 和整个密钥历史记录。

注意：
如果使用客户管理的密钥跨区域数据卫士，则备用数据库使用的复制 Vault 为只读。因此，当备用数据库从故障转移中承担主角色时，您无法轮换密钥。

您可以从 Details（详细信息）页面轮换 Autonomous Database 的加密密钥。

转到要轮换其加密密钥的 Autonomous Database 的详细信息页面。
有关说明，请参阅查看 Dedicated Autonomous Database 的详细信息。
在 Oracle Public Cloud 上，单击更多操作下的旋转加密密钥，在 Exadata Cloud@Customer 上，单击操作下的旋转加密密钥。
（可选）要使用客户加密密钥 (BYOK)，请选择使用客户提供的密钥 (BYOK) 配额。BYOK 仅在 Oracle Public Cloud 中受支持。
- 对于外部 KMS ：在外部 HSM 中为每个第三方密钥自动分配一个密钥版本。
  - 轮换外部 HSM 中的第三方密钥，以便外部 HSM 生成新的密钥版本。
  - 复制旋转密钥的版本 ID 并使用它轮换 OCI 密钥管理 (EKMS) 中的密钥引用，以便 OCI 密钥管理 (EKMS) 可以创建新的密钥版本 OCID。
  - 从 EKMS 复制新创建的密钥版本 OCID。
- 对于 OCI Vault ：在密钥版本 OCID 中输入导入的客户加密密钥的 OCID。您输入的密钥版本 OCID 应与自治容器数据库的当前加密密钥关联。
单击 Rotate encryption Key 。

Autonomous Database 处于正在更新状态，加密密钥处于轮换状态，Autonomous Database 恢复为活动状态。加密密钥的轮换方式取决于是由 Oracle 管理还是由客户管理：

Oracle 管理的密钥：Autonomous Database 轮换加密密钥，将新值存储在 Autonomous Database 所在的 Exadata 系统上的安全密钥库中。
客户管理的密钥：Autonomous Database 使用底层技术（Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud or Oracle Key Vault (OKV) for Autonomous Container Databases on Oracle Public Cloud 或 Exadata Cloud@Customer ）在底层技术中轮换密钥并将新值存储为密钥的新版本，然后将此新版本与 Autonomous Database 关联。
您可以从 Autonomous Database 详细信息页面查看最新密钥版本 OCID 和整个密钥历史记录。

注意：
如果使用客户管理的密钥跨区域数据卫士，则备用数据库使用的复制 Vault 为只读。因此，当备用数据库从故障转移中承担主角色时，您无法轮换密钥。

Oracle 和/或其关联公司。