管理加密金鑰
本文提供有關加密和加密金鑰的詳細資訊。
Oracle Base Database Service 使用通透資料加密 (TDE) 來加密表格和表格空間中儲存的資料。
- 通透資料加密
- 基準資料庫服務使用 TDE 來加密及解密所有使用者建立的表格空間。
- 加密金鑰
- 您可以選擇使用自己的加密金鑰 (客戶管理的金鑰) 或使用 Oracle 管理的金鑰來加密資料庫。依照預設,基準資料庫服務使用 Oracle 管理的金鑰。客戶管理的金鑰儲存在 OCI 保存庫中,此金鑰是資料庫主機外部的金鑰。
- OCI 保存庫金鑰
- 在 OCI 保存庫中,「加密金鑰」是包含一或多個用於加密和解密之金鑰版本的邏輯實體。這些金鑰版本可由 OCI 保存庫自動產生,也可以從外部來源 (Bring-Your-Own-Key) 匯入。
如需詳細資訊,請參閱通透資料加密簡介和 OCI Vault 金鑰管理。
相關主題
一般資訊
建立新資料庫系統時,會將金鑰同時指定給容器資料庫和可插拔資料庫。
金鑰版本 (若有提供) 只會用於容器資料庫,不適用於其可插拔資料庫。可插拔資料庫將會被指定自動產生的新金鑰版本。建立可插拔資料庫時,無法指定特定的金鑰版本。
可插拔資料庫一律會使用與容器資料庫相同的金鑰,但使用相同或不同的金鑰版本。
您可以指定任何金鑰版本,包括所選金鑰的最新版本。
資料庫預設是使用 Oracle 管理的金鑰來設定。不過,您可以選擇使用客戶管理的金鑰進行設定。
輪換加密金鑰
輪換加密金鑰作業會產生相同金鑰的新金鑰版本。
您可以執行任意數目的按鍵循環。定期輪換金鑰可限制一個金鑰版本加密或簽署的資料量。淘汰的金鑰歷史記錄也隨之維護,這可讓您輪換金鑰,而且仍然能夠解密先前金鑰加密的資料。
容器資料庫和可插拔資料庫層次的旋轉金鑰彼此獨立運作。容器資料庫上的輪換金鑰作業將不會輪換可插拔資料庫中的金鑰。同樣地,在一個可插拔資料庫中輪換金鑰也不會輪換其他可插拔資料庫或其容器資料庫中的金鑰。
若要確保使用最新版本,請從 OCI 主控台的資料庫詳細資訊頁面 (而非 Vault 服務的主控台頁面) 輪換金鑰。
附註:
輪換加密金鑰不適用於使用 Oracle 管理的加密的資料庫。若要使用 OCI 主控台輪換加密金鑰,請參閱資料庫的輪換加密金鑰和可插拔資料庫的輪換加密金鑰。
指派金鑰版本
您可以為容器資料庫與可插式資料庫建立新的金鑰版本,並加以指派。只能變更金鑰版本。此金鑰無法變更 。
若要使用 OCI 主控台指定金鑰版本,請參閱指定資料庫的新金鑰版本和指定可插拔資料庫的新金鑰版本。
變更金鑰管理
您可以從 Oracle 管理的金鑰切換至現有資料庫上的客戶管理金鑰。不過,不支援從客戶管理的金鑰切換至 Oracle 管理的金鑰。
當容器資料庫的金鑰變更時,它也會自動套用至可插式資料庫。可插式資料庫的金鑰無法個別變更。可插拔資料庫將一律使用與容器資料庫相同的金鑰,但是可以使用相同或不同的金鑰版本。
切換至客戶管理的金鑰時,容器資料庫及其所有可插拔資料庫都必須開啟,且所有表格空間都必須為讀 / 寫模式。
若要使用 OCI 主控台變更金鑰管理類型,請參閱變更資料庫的金鑰管理類型。