輪換加密金鑰
您可以使用 Oracle Cloud Infrastructure 主控台,輪換與 Dedicated Exadata Infrastructure 上的 Autonomous Database 相關聯的主要加密金鑰。
輪換自治式容器資料庫的加密金鑰
必要的 IAM 原則
manage autonomous-container-databases
程序
- 移至要輪換其加密金鑰之自治式容器資料庫的詳細資訊頁面。
如需指示,請參閱檢視自治式容器資料庫的詳細資訊。
- 在動作底下,按一下循環加密金鑰。
- (選用) 若要使用客戶加密金鑰 (BYOK),請選取使用客戶提供的金鑰 (BYOK) 旋轉。僅 Oracle Public Cloud 支援 BYOK。
- 外部 KMS :在外部 HSM 中會自動指派金鑰版本給每個第三方金鑰。
- 輪換外部 HSM 中的第三方金鑰,讓外部 HSM 產生新的金鑰版本。
- 複製輪換金鑰的版本 ID,然後使用它輪換 OCI 金鑰管理 (EKMS) 中的金鑰參照,讓 OCI 金鑰管理 (EKMS) 能夠建立新的金鑰版本 OCID。
- 從 EKMS 複製新建立的金鑰版本 OCID。
- OCI 保存庫:在金鑰版本 OCID 中輸入匯入的客戶加密金鑰的 OCID。您輸入的金鑰版本 OCID 必須與自治式容器資料庫目前的加密金鑰關聯。
- 外部 KMS :在外部 HSM 中會自動指派金鑰版本給每個第三方金鑰。
- 按一下循環加密金鑰。
自治式容器資料庫會轉為更新狀態,加密金鑰會輪換,自治式容器資料庫則會回到作用中狀態。加密金鑰的輪換方式取決於是否為 Oracle 管理或客戶管理:
- Oracle 管理的金鑰:Autonomous Database 會輪換加密金鑰,並將新值儲存在自治式容器資料庫所在 Exadata 系統上的安全金鑰存放區中。
- 客戶管理的金鑰:Autonomous Database 使用基礎技術 (Oracle Cloud Infrastructure Vault) 作為 Oracle Public Cloud 上的自治式容器資料庫,或使用 Oracle Public Cloud 或 Exadata Cloud@Customer 上自治式容器資料庫的 Oracle Key Vault (OKV),輪換金鑰並將新值儲存為基礎技術的新版本,然後將此新版本與自治式容器資料庫建立關聯。
您可以從自治式容器資料庫詳細資訊頁面,檢視最新的金鑰版本 OCID 和整個金鑰歷史記錄。
附註:
如果是具有客戶管理金鑰的跨區域資料保全,待命所使用的複製保存庫會是唯讀的。因此,當待命資料庫從容錯移轉擔任主要角色時,您就無法輪換金鑰。
旋轉 Autonomous Database 的加密金鑰
您可以從 Autonomous Database 的詳細資訊頁面輪換加密金鑰。
- 前往您要輪換其加密金鑰之 Autonomous Database 的詳細資訊頁面。
如需相關指示,請參閱檢視專用 Autonomous Database 的詳細資訊。
-
On Oracle Public Cloud, click Rotate Encryption Key under More actions, and on Exadata Cloud@Customer, click Rotate Encryption Key under Actions.
- (選用) 若要使用客戶加密金鑰 (BYOK),請選取使用客戶提供的金鑰 (BYOK) 旋轉。僅 Oracle Public Cloud 支援 BYOK。
- 外部 KMS :在外部 HSM 中會自動指派金鑰版本給每個第三方金鑰。
- 輪換外部 HSM 中的第三方金鑰,讓外部 HSM 產生新的金鑰版本。
- 複製輪換金鑰的版本 ID,然後使用它輪換 OCI 金鑰管理 (EKMS) 中的金鑰參照,讓 OCI 金鑰管理 (EKMS) 能夠建立新的金鑰版本 OCID。
- 從 EKMS 複製新建立的金鑰版本 OCID。
- OCI 保存庫:在金鑰版本 OCID 中輸入匯入的客戶加密金鑰的 OCID。您輸入的金鑰版本 OCID 必須與自治式容器資料庫目前的加密金鑰關聯。
- 外部 KMS :在外部 HSM 中會自動指派金鑰版本給每個第三方金鑰。
- 按一下循環加密金鑰。
Autonomous Database 會進入更新狀態,加密金鑰會輪換,而 Autonomous Database 會回到作用中狀態。加密金鑰的輪換方式取決於是否為 Oracle 管理或客戶管理:
- Oracle 管理的金鑰:Autonomous Database 會輪換加密金鑰,並將新值儲存在 Autonomous Database 所在 Exadata 系統上的安全金鑰存放區中。
- 客戶管理的金鑰:Autonomous Database 在 Oracle Public Cloud 或 Exadata Cloud@Customer 上的 Oracle Public Cloud 或 Oracle Key Vault (OKV) for Autonomous Container Databases 上使用基礎技術 (Oracle Cloud Infrastructure Vault for Autonomous Container Databases),以輪換金鑰並將新值儲存為基礎技術中的新金鑰版本,然後將此新版本與 Autonomous Database 關聯。
您可以從 Autonomous Database 詳細資訊頁面,檢視最新的金鑰版本 OCID 和整個金鑰歷史記錄。
附註:
如果是具有客戶管理金鑰的跨區域資料保全,待命所使用的複製保存庫會是唯讀的。因此,當待命資料庫從容錯移轉擔任主要角色時,您就無法輪換金鑰。