輪換加密關鍵碼

您可以使用 Oracle Cloud Infrastructure 主控台，輪換與專用 Exadata 基礎架構上自治式 AI 資料庫關聯的主要加密金鑰。

輪換自治式容器資料庫的加密金鑰

manage autonomous-container-databases

自治式容器資料庫會進入更新狀態，加密金鑰會輪換，而自治式容器資料庫會回到作用中狀態。加密金鑰的輪換方式取決於加密金鑰是由 Oracle 管理或由客戶管理：

Oracle 管理的金鑰：自治式 AI 資料庫會輪換加密金鑰，將新值儲存在自治式容器資料庫所在之 Exadata 系統的安全金鑰存放區中。
客戶管理的金鑰：自治式 AI 資料庫使用基礎技術 (適用於 Oracle Public Cloud 和多雲端部署上的自治式容器資料庫的 Oracle Cloud Infrastructure Vault，或適用於 Oracle Public Cloud 或 Exadata Cloud@Customer 上之自治式容器資料庫的 Oracle Key Vault (OKV)，或 Oracle Database@AWS 上適用於自治式 AI 資料庫的 AWS KMS) 可輪換金鑰並將新值儲存為基礎技術中的金鑰新版本，然後將此新版本與自治式容器資料庫建立關聯。

輪換 AWS KMS 金鑰會為相同的金鑰產生新的加密相關資訊環境。

您可以從「自治式容器資料庫」詳細資訊頁面檢視最新的「金鑰版本 OCID」和整個「金鑰歷史記錄」。這不適用於 AWS KMS 金鑰。

注意：如果是具有客戶管理金鑰的跨區域 Data Guard，則待命所使用的複製保存庫是唯讀的。因此，當待命資料庫假定容錯移轉的主要角色時，您就無法輪換金鑰。

您可以從自治式 AI 資料庫的詳細資訊頁面輪換加密金鑰。

前往您要輪換加密金鑰之自治式 AI 資料庫的詳細資訊頁面。

如需相關指示，請參閱檢視專用自治式 AI 資料庫的詳細資訊。
在 Oracle Public Cloud 上，按一下其他動作底下的循環加密金鑰，然後在 Exadata Cloud@Customer 上，按一下動作底下的循環加密金鑰。
(選用) 若要使用客戶加密金鑰 (BYOK)，請選取使用客戶提供的金鑰 (BYOK) 旋轉。Oracle Public Cloud 只支援 BYOK。
- 針對外部 KMS ：在外部 HSM 中，系統會自動為每個第三方金鑰指派一個金鑰版本。
  - 輪換外部 HSM 中的第三方金鑰，讓外部 HSM 產生新的金鑰版本。
  - 複製輪換金鑰的版本 ID，並使用它輪換 OCI 金鑰管理 (EKMS) 中的金鑰參照，讓 OCI 金鑰管理 (EKMS) 能夠建立新的金鑰版本 OCID。
  - 從 EKMS 複製新建立的「金鑰版本 OCID」。
- OCI 保存庫：輸入金鑰版本 OCID 中匯入的客戶加密金鑰的 OCID。您輸入的「金鑰版本 OCID」必須與「自治式容器資料庫」目前的加密金鑰關聯。
按一下循環加密關鍵碼。

自治式 AI 資料庫會進入更新狀態，加密金鑰會輪換，而自治式 AI 資料庫會回到作用中狀態。加密金鑰的輪換方式取決於加密金鑰是由 Oracle 管理或由客戶管理：

Oracle 管理的金鑰：自治式 AI 資料庫會輪換加密金鑰，將新值儲存在自治式 AI 資料庫所在 Exadata 系統的安全金鑰存放區中。
客戶管理的金鑰：自治式 AI 資料庫使用基礎技術 (適用於 Oracle Public Cloud 和多雲端部署上的自治式容器資料庫的 Oracle Cloud Infrastructure Vault，或適用於 Oracle Public Cloud 或 Exadata Cloud@Customer 上之自治式容器資料庫的 Oracle Key Vault (OKV)，或 Oracle Database@AWS 上適用於自治式 AI 資料庫的 AWS KMS) 可輪換金鑰並將新值儲存為基礎技術中的金鑰新版本，然後將此新版本與自治式容器資料庫建立關聯。

輪換 AWS KMS 金鑰會為相同的金鑰產生新的加密相關資訊環境。

您可以從「自治式容器資料庫」詳細資訊頁面檢視最新的「金鑰版本 OCID」和整個「金鑰歷史記錄」。這不適用於 AWS KMS 金鑰。

注意：如果是具有客戶管理金鑰的跨區域 Data Guard，則待命使用的複製保存庫是唯讀的。因此，當待命資料庫假定容錯移轉的主要角色時，您就無法輪換金鑰。