輪換加密金鑰

您可以使用 Oracle Cloud Infrastructure 主控台,輪換與專用 Exadata 基礎架構上的自治式 AI 資料庫關聯的主要加密金鑰。

相關主題

輪換自治式容器資料庫的加密金鑰

必要的 IAM 原則

manage autonomous-container-databases

程序

  1. 移至要輪換其加密金鑰之自治式容器資料庫的詳細資訊頁面。

    如需指示,請參閱檢視自治式容器資料庫的詳細資訊

  2. 動作底下,按一下循環加密金鑰
  3. (選用) 若要使用客戶加密金鑰 (BYOK),請選取使用客戶提供的金鑰 (BYOK) 旋轉。僅 Oracle Public Cloud 支援 BYOK。
    • 外部 KMS :在外部 HSM 中會自動指派金鑰版本給每個第三方金鑰。
      • 輪換外部 HSM 中的第三方金鑰,讓外部 HSM 產生新的金鑰版本。
      • 複製輪換金鑰的版本 ID,然後使用它輪換 OCI 金鑰管理 (EKMS) 中的金鑰參照,讓 OCI 金鑰管理 (EKMS) 能夠建立新的金鑰版本 OCID。
      • 從 EKMS 複製新建立的金鑰版本 OCID。
    • OCI 保存庫:在金鑰版本 OCID 中輸入匯入的客戶加密金鑰的 OCID。您輸入的金鑰版本 OCID 必須與自治式容器資料庫目前的加密金鑰關聯。
  4. 按一下循環加密金鑰
自治式容器資料庫會轉為更新狀態,加密金鑰會輪換,自治式容器資料庫則會回到作用中狀態。加密金鑰的輪換方式取決於是否為 Oracle 管理或客戶管理:
  • Oracle 管理的金鑰Autonomous AI Database 會輪換加密金鑰,將新值儲存在自治式容器資料庫所在 Exadata 系統的安全金鑰存放區中。
  • 客戶管理的金鑰Autonomous AI Database 使用基礎技術 (Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud and Multicloud 部署,或 Oracle Public CloudExadata Cloud@Customer 上的 Oracle Key Vault (OKV) for Autonomous Container Databases,或 Oracle Database@AWS 上的自治式 AI 資料庫的 AWS KMS,輪換金鑰並將新值儲存為基礎技術中的新金鑰版本,然後將此新版本與自治式容器資料庫建立關聯。

    輪換 AWS KMS 金鑰會為相同的金鑰產生新的加密相關資訊環境。

    您可以從「自治式容器資料庫」詳細資訊頁面檢視最新的金鑰版本 OCID 和整個金鑰歷史記錄。這不適用於 AWS KMS 金鑰。

    附註:

    如果是具有客戶管理金鑰的跨區域資料保全,待命所使用的複製保存庫會是唯讀的。因此,當待命資料庫從容錯移轉擔任主要角色時,您就無法輪換金鑰。

輪換 Autonomous AI Database 的加密金鑰

您可以從自治式 AI 資料庫詳細資訊頁面輪換加密金鑰。

  1. 前往您要輪換加密金鑰之 Autonomous AI Database詳細資訊頁面。

    如需說明,請參閱檢視專用 Autonomous AI Database 的詳細資訊。

  2. On Oracle Public Cloud, click Rotate Encryption Key under More actions, and on Exadata Cloud@Customer, click Rotate Encryption Key under Actions.

  3. (選用) 若要使用客戶加密金鑰 (BYOK),請選取使用客戶提供的金鑰 (BYOK) 旋轉。僅 Oracle Public Cloud 支援 BYOK。
    • 外部 KMS :在外部 HSM 中會自動指派金鑰版本給每個第三方金鑰。
      • 輪換外部 HSM 中的第三方金鑰,讓外部 HSM 產生新的金鑰版本。
      • 複製輪換金鑰的版本 ID,然後使用它輪換 OCI 金鑰管理 (EKMS) 中的金鑰參照,讓 OCI 金鑰管理 (EKMS) 能夠建立新的金鑰版本 OCID。
      • 從 EKMS 複製新建立的金鑰版本 OCID。
    • OCI 保存庫:在金鑰版本 OCID 中輸入匯入的客戶加密金鑰的 OCID。您輸入的金鑰版本 OCID 必須與自治式容器資料庫目前的加密金鑰關聯。
  4. 按一下循環加密金鑰
Autonomous AI Database 將進入更新狀態,加密金鑰會輪換,而 Autonomous AI Database 則回到現用狀態。加密金鑰的輪換方式取決於加密金鑰是由 Oracle 管理或由客戶管理:
  • Oracle 管理的金鑰Autonomous AI Database 會輪換加密金鑰,並將新值儲存在 Autonomous AI Database 所在 Exadata 系統的安全金鑰存放區中。
  • 客戶管理的金鑰Autonomous AI Database 使用基礎技術 (Oracle Cloud Infrastructure Vault for Autonomous Container Databases on Oracle Public Cloud and Multicloud 部署,或 Oracle Public CloudExadata Cloud@Customer 上的 Oracle Key Vault (OKV) for Autonomous Container Databases,或 Oracle Database@AWS 上的自治式 AI 資料庫的 AWS KMS,輪換金鑰並將新值儲存為基礎技術中的新金鑰版本,然後將此新版本與自治式容器資料庫建立關聯。

    輪換 AWS KMS 金鑰會為相同的金鑰產生新的加密相關資訊環境。

    您可以從「自治式容器資料庫」詳細資訊頁面檢視最新的金鑰版本 OCID 和整個金鑰歷史記錄。這不適用於 AWS KMS 金鑰。

    附註:

    如果是具有客戶管理金鑰的跨區域資料保全,待命所使用的複製保存庫會是唯讀的。因此,當待命資料庫從容錯移轉擔任主要角色時,您就無法輪換金鑰。