注意:
- 本教程需要访问 Oracle Cloud。要注册免费账户,请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
- 它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后,请使用特定于云环境的那些值替换这些值。
为 Oracle Base Database Service 上的 CDB 或 PDB 分配和管理新的加密密钥版本
简介
我们很高兴地宣布 Oracle Base Database Service 上普遍提供自带密钥 (BYOK) 支持。对于使用 Oracle Cloud Infrastructure (OCI) Vault 服务管理主加密密钥的数据库,此功能允许您在预配后将密钥版本单独分配给容器数据库 (Container Databases,CDB) 和可插入数据库 (Pluggable Databases,PDB)。此外,现在可以在 CDB 和 PDB 上独立执行密钥轮换。
注:此功能利用自带密钥体验,将您选择的密钥版本单独分配给 CDB 或 PDB,从而为维护主加密密钥提供足够的隔离。
目标
-
将新加密密钥版本分配给 CDB 或 PDB。
-
轮换 CDB 或 PDB 的加密密钥。
先决条件
- 存储在 OCI Vault 中的 CDB 或 PDB 的主加密密钥。
任务 1:为容器数据库或可插入数据库分配新的加密密钥版本
-
登录到 OCI 控制台,转到 Oracle Database ,然后单击 Oracle Base Database Service 。
-
单击包含要为其分配新加密密钥版本的 CDB 和 PDB 的 DB 系统的名称。
-
在数据库系统详细信息页的数据库部分中,单击要为其分配新加密密钥的数据库 (CDB) 的名称。
-
在 Database Details(数据库详细信息)页中,单击 More Actions(更多操作)下拉菜单和 Manage Encryption Key(管理加密密钥)。
-
选择分配新密钥版本,输入从 OCI Vault 中存储的主加密密钥复制的密钥版本 OCID ,然后单击更新。
注:此密钥版本应与 CDB 或 PDB 分配给的密钥相同。
可以通过导航到密钥管理和密钥管理和 Vault 来复制 CDB 或 PDB 的密钥版本 OCID 。选择存储主加密密钥的 Vault 和密钥。
要将新密钥版本分配给 PDB,请转至“PDB 详细信息”页、“更多操作”、“管理加密密钥”,然后单击“分配新密钥版本”。输入从 OCI Vault 中存储的主加密密钥复制的 PDB 的密钥版本 OCID ,然后单击更新。
任务 2:轮换容器数据库或可插入数据库的加密密钥
轮换密钥是 CDB 级别的一项现有功能。我们将此功能扩展到 PDB 级别。现在,这在 CDB 和 PDB 级别独立运行。轮换 CDB 的密钥将仅为 CDB 生成新的密钥版本。同样,轮换 PDB 的密钥将仅为 PDB 生成新密钥版本。
-
导航到容器数据库或可插入数据库的数据库详细信息页。
-
单击 More Actions(更多操作)下拉菜单和 Manage Encryption Key(管理加密密钥)。
-
选择 Rotation Encryption Key ,然后单击 Update 。
注:轮换 CDB 的密钥将仅为 CDB 生成新的密钥版本。同样,轮换 PDB 的密钥将仅为 PDB 生成新密钥版本。
要轮换可插入数据库的加密密钥,请转至 PDB Details( PDB 详细信息)页面,单击 More Actions(更多操作)下拉菜单和 Manage Encryption Keys(管理加密密钥)。选择 Rotation Encryption Key ,然后单击 Update 。
相关链接
确认
- Authors - Pravin Jha、Tammy Bednar、Leo Alvarado(产品管理)
更多学习资源
浏览 docs.oracle.com/learn 上的其他实验室,或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。
有关产品文档,请访问 Oracle 帮助中心。
Assign and Manage a new Encryption Key Version to a CDB or PDB on Oracle Base Database Service
G15561-01
September 2024