輪換加密金鑰

您可以使用 Oracle Cloud Infrastructure 主控台，輪換與 Dedicated Exadata Infrastructure 上的 Autonomous Database 相關聯的主要加密金鑰。

相關主題

必要的 IAM 原則

manage autonomous-container-databases

程序

自治式容器資料庫會轉為更新狀態，加密金鑰會輪換，自治式容器資料庫則會回到作用中狀態。加密金鑰的輪換方式取決於是否為 Oracle 管理或客戶管理：

Oracle 管理的金鑰：Autonomous Database 會輪換加密金鑰，並將新值儲存在自治式容器資料庫所在 Exadata 系統上的安全金鑰存放區中。
客戶管理的金鑰：Autonomous Database 使用基礎技術 (Oracle Cloud Infrastructure Vault) 作為 Oracle Public Cloud 上的自治式容器資料庫，或使用 Oracle Public Cloud 或 Exadata Cloud@Customer 上自治式容器資料庫的 Oracle Key Vault (OKV)，輪換金鑰並將新值儲存為基礎技術的新版本，然後將此新版本與自治式容器資料庫建立關聯。
您可以從自治式容器資料庫詳細資訊頁面，檢視最新的金鑰版本 OCID 和整個金鑰歷史記錄。

附註：
如果是具有客戶管理金鑰的跨區域資料保全，待命所使用的複製保存庫會是唯讀的。因此，當待命資料庫從容錯移轉擔任主要角色時，您就無法輪換金鑰。

您可以從 Autonomous Database 的詳細資訊頁面輪換加密金鑰。

前往您要輪換其加密金鑰之 Autonomous Database 的詳細資訊頁面。
如需相關指示，請參閱檢視專用 Autonomous Database 的詳細資訊。
On Oracle Public Cloud, click Rotate Encryption Key under More actions, and on Exadata Cloud@Customer, click Rotate Encryption Key under Actions.
(選用) 若要使用客戶加密金鑰 (BYOK)，請選取使用客戶提供的金鑰 (BYOK) 旋轉。僅 Oracle Public Cloud 支援 BYOK。
- 外部 KMS ：在外部 HSM 中會自動指派金鑰版本給每個第三方金鑰。
  - 輪換外部 HSM 中的第三方金鑰，讓外部 HSM 產生新的金鑰版本。
  - 複製輪換金鑰的版本 ID，然後使用它輪換 OCI 金鑰管理 (EKMS) 中的金鑰參照，讓 OCI 金鑰管理 (EKMS) 能夠建立新的金鑰版本 OCID。
  - 從 EKMS 複製新建立的金鑰版本 OCID。
- OCI 保存庫：在金鑰版本 OCID 中輸入匯入的客戶加密金鑰的 OCID。您輸入的金鑰版本 OCID 必須與自治式容器資料庫目前的加密金鑰關聯。
按一下循環加密金鑰。

Autonomous Database 會進入更新狀態，加密金鑰會輪換，而 Autonomous Database 會回到作用中狀態。加密金鑰的輪換方式取決於是否為 Oracle 管理或客戶管理：

Oracle 管理的金鑰：Autonomous Database 會輪換加密金鑰，並將新值儲存在 Autonomous Database 所在 Exadata 系統上的安全金鑰存放區中。
客戶管理的金鑰：Autonomous Database 在 Oracle Public Cloud 或 Exadata Cloud@Customer 上的 Oracle Public Cloud 或 Oracle Key Vault (OKV) for Autonomous Container Databases 上使用基礎技術 (Oracle Cloud Infrastructure Vault for Autonomous Container Databases)，以輪換金鑰並將新值儲存為基礎技術中的新金鑰版本，然後將此新版本與 Autonomous Database 關聯。
您可以從 Autonomous Database 詳細資訊頁面，檢視最新的金鑰版本 OCID 和整個金鑰歷史記錄。

附註：
如果是具有客戶管理金鑰的跨區域資料保全，待命所使用的複製保存庫會是唯讀的。因此，當待命資料庫從容錯移轉擔任主要角色時，您就無法輪換金鑰。

Oracle 和 (或) 其關係企業。