轮换加密密钥
您可以使用 Oracle Cloud Infrastructure 控制台轮换与 Autonomous Database on Dedicated Exadata Infrastructure 关联的主加密密钥。
轮换自治容器数据库的加密密钥
必需的 IAM 策略
manage autonomous-container-databases
过程
- 转至要轮换其加密密钥的自治容器数据库的详细信息页面。
有关说明,请参阅查看自治容器数据库的详细信息。
- 在操作下,单击 Rotate Encryption Key 。
- (可选)要使用客户加密密钥 (BYOK),请选择使用客户提供的密钥 (BYOK) 配额。BYOK 仅在 Oracle Public Cloud 中受支持。
- 对于外部 KMS :在外部 HSM 中为每个第三方密钥自动分配一个密钥版本。
- 轮换外部 HSM 中的第三方密钥,以便外部 HSM 生成新的密钥版本。
- 复制旋转密钥的版本 ID 并使用它轮换 OCI 密钥管理 (EKMS) 中的密钥引用,以便 OCI 密钥管理 (EKMS) 可以创建新的密钥版本 OCID。
- 从 EKMS 复制新创建的密钥版本 OCID。
- 对于 OCI Vault :在密钥版本 OCID 中输入导入的客户加密密钥的 OCID。您输入的密钥版本 OCID 应与自治容器数据库的当前加密密钥关联。
- 对于外部 KMS :在外部 HSM 中为每个第三方密钥自动分配一个密钥版本。
- 单击 Rotate encryption Key 。
自治容器数据库将恢复为正在更新状态,加密密钥将轮换,自治容器数据库将恢复为活动状态。加密密钥的轮换方式取决于是 Oracle 管理的还是客户管理的:
- Oracle 管理的密钥:Autonomous Database 轮换加密密钥,将新值存储在自治容器数据库所在的 Exadata 系统上的安全密钥库中。
- 客户管理的密钥:Autonomous Database 使用底层技术(Oracle Cloud Infrastructure Vault 用于 Oracle Public Cloud 上的自治容器数据库,或 Oracle Key Vault (OKV) 用于 Oracle Public Cloud 或 Exadata Cloud@Customer 上的自治容器数据库)在底层技术中轮换密钥并将新值存储为密钥的新版本,然后将此新版本与自治容器数据库关联。
您可以从自治容器数据库详细信息页面查看最新密钥版本 OCID 和整个密钥历史记录。
注意:
如果使用客户管理的密钥跨区域数据卫士,则备用数据库使用的复制 Vault 为只读。因此,当备用数据库从故障转移中承担主角色时,您无法轮换密钥。
轮换 an Autonomous Database 的加密密钥
您可以从 Details(详细信息)页面轮换 Autonomous Database 的加密密钥。
- 转到要轮换其加密密钥的 Autonomous Database 的详细信息页面。
-
在 Oracle Public Cloud 上,单击更多操作下的旋转加密密钥,在 Exadata Cloud@Customer 上,单击操作下的旋转加密密钥。
- (可选)要使用客户加密密钥 (BYOK),请选择使用客户提供的密钥 (BYOK) 配额。BYOK 仅在 Oracle Public Cloud 中受支持。
- 对于外部 KMS :在外部 HSM 中为每个第三方密钥自动分配一个密钥版本。
- 轮换外部 HSM 中的第三方密钥,以便外部 HSM 生成新的密钥版本。
- 复制旋转密钥的版本 ID 并使用它轮换 OCI 密钥管理 (EKMS) 中的密钥引用,以便 OCI 密钥管理 (EKMS) 可以创建新的密钥版本 OCID。
- 从 EKMS 复制新创建的密钥版本 OCID。
- 对于 OCI Vault :在密钥版本 OCID 中输入导入的客户加密密钥的 OCID。您输入的密钥版本 OCID 应与自治容器数据库的当前加密密钥关联。
- 对于外部 KMS :在外部 HSM 中为每个第三方密钥自动分配一个密钥版本。
- 单击 Rotate encryption Key 。
Autonomous Database 处于正在更新状态,加密密钥处于轮换状态,Autonomous Database 恢复为活动状态。加密密钥的轮换方式取决于是由 Oracle 管理还是由客户管理:
- Oracle 管理的密钥:Autonomous Database 轮换加密密钥,将新值存储在 Autonomous Database 所在的 Exadata 系统上的安全密钥库中。
- 客户管理的密钥:Autonomous Database 使用底层技术(Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud or Oracle Key Vault (OKV) for Autonomous Container Databases on Oracle Public Cloud 或 Exadata Cloud@Customer )在底层技术中轮换密钥并将新值存储为密钥的新版本,然后将此新版本与 Autonomous Database 关联。
您可以从 Autonomous Database 详细信息页面查看最新密钥版本 OCID 和整个密钥历史记录。
注意:
如果使用客户管理的密钥跨区域数据卫士,则备用数据库使用的复制 Vault 为只读。因此,当备用数据库从故障转移中承担主角色时,您无法轮换密钥。