Masterverschlüsselungsschlüssel in AWS Key Management Service verwalten
Die autonome KI-Datenbank unterstützt vom Kunden verwaltete TDE-Schlüssel (Transparent Data Encryption), die sich im AWS Key Management Service (KMS) befinden.
Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in AWS Key Management Service
Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln, die in Amazon Web Services (AWS) Key Management Service (KMS) in einer autonomen KI-Datenbank gespeichert sind.
Einschränkungen:
-
AWS KMS wird nur in kommerziellen Regionen unterstützt.
-
AWS KMS wird in regionsübergreifendem Autonomous Data Guard-Standby nicht unterstützt.
Führen Sie die folgenden Schritte aus:
-
Erstellen Sie eine AWS-Richtlinie, die Lesezugriff auf AWS KMS gewährt.
Anweisungen finden Sie unter IAM-Policy für den Zugriff auf AWS KMS erstellen. Weitere Informationen finden Sie unter AWS-Managementvoraussetzungen für die Verwendung von Amazon-Ressourcennamen (ARNs) ausführen.
Beispiel: Die Policy
ADBS_AWS_Policy1wurde erstellt:
Beschreibung der Abbildung sec_aws_policy.png
Die Policy
ADBS_AWS_Policy1umfasst die Berechtigung für den Zugriff auf KMS.
-
Erstellen Sie eine AWS-Rolle, und hängen Sie die Policy an die Rolle an.
Anweisungen finden Sie unter IAM-Rolle für den Zugriff auf AWS-Services erstellen.
Beispiel: Eine Rolle
ADBS_AWS_Role1wurde erstellt:
Beschreibung der Abbildung sec_aws_role.png
In diesem Beispiel ist die Policy
ADBS_AWS_Policy1der RolleADBS_AWS_Role1zugeordnet:
Beschreibung der Abbildung sec_aws_att_policy.png
Auf der Seite mit den Policy-Details wird die Rolle in diesem Beispiel unter Als Berechtigungs-Policy zugeordnet aufgeführt:

-
Geben Sie eine Vertrauensbeziehung für die Rolle an.
Bearbeiten Sie die Trust-Beziehung der AWS-Rolle so, dass sie den Benutzer-ARN von Oracle und eine externe ID (Mandanten-OCID) für zusätzliche Sicherheit enthält.
-
Bei Abfrage der autonomen KI-Datenbank
CLOUD_INTEGRATIONS.Beispiel:
SELECT * FROM CLOUD.INTEGRATIONS;SELECT * FROM CLOUD_INTEGRATIONS; PARAM_NAME PARAM_VALUE --------------- ------------------------------------------------------------------------------------------------------------------------------------------ aws_arn arn:aws:iam:...:user/oraclearnDie Ansicht
CLOUD_INTEGRATIONSist für den BenutzerADMINoder einen Benutzer mit der RolleDWROLEverfügbar. -
Kopieren Sie die
PARAM_VALUEfüraws_user_arn, und speichern Sie den Wert für einen nachfolgenden Schritt. -
Rufen Sie die Mandanten-OCID ab, die für die externe ID erforderlich ist.
Klicken Sie in der OCI-Konsole auf Ihr Profil, und wählen Sie Mandant aus, um zur Seite mit den Mandantendetails zu gehen. Kopieren Sie die Mandanten-OCID, und speichern Sie sie für einen nachfolgenden Schritt.
Beispiel:

-
Navigieren Sie im AWS-Portal zu den Vertrauenswürdigen Entitys für die Rolle, und scrollen Sie zur "Principal"-Anweisung.
-
Geben Sie für
"Principal""AWS" als gespeicherte Oracle-Benutzer-ARN an, und geben Sie für"Condition""sts:ExternalId" als gespeicherte OCID an.Beispiel:

-
Vom Kunden verwaltete Verschlüsselungsschlüssel in einer autonomen KI-Datenbank mit dem AWS Key Management Service verwenden
Zeigt die Schritte zum Verschlüsseln Ihrer autonomen KI-Datenbank mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln an, die sich im AWS Key Management Service (KMS) befinden.
Führen Sie die folgenden Schritte aus:
-
Führen Sie die erforderlichen vom Kunden verwalteten Verschlüsselungsschlüsselvoraussetzungsschritte nach Bedarf aus. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in AWS Key Management Service.
-
Erstellen Sie eine autonome AI-Datenbankinstanz, die die Standardeinstellung für den Verschlüsselungsschlüssel von Mit einem von Oracle verwalteten Schlüssel verschlüsseln verwendet. Weitere Informationen finden Sie unter Autonome KI-Datenbankinstanz bereitstellen.
Hinweis
Hinweis: Verschlüsselungsschlüsseleinstellungen für vom Kunden verwaltete Schlüssel in AWS Key Vault sind während des Erstellungsprozesses der autonomen KI-Datenbankinstanz nicht verfügbar. Die Optionen sind nach dem Provisioning verfügbar, wenn Sie die Instanz bearbeiten. -
Klicken Sie auf der Seite Details für die Instanz der autonomen KI-Datenbank auf Weitere Aktionen, und wählen Sie Verschlüsselungsschlüssel verwalten aus.
Hinweis
Hinweis: Wenn Sie bereits vom Kunden verwaltete Schlüssel in AWS KMS verwenden und die TDE-Schlüssel rotieren möchten, führen Sie die folgenden Schritte aus, und wählen Sie einen anderen Schlüssel aus (wählen Sie einen anderen Schlüssel aus als den aktuell ausgewählten Masterverschlüsselungsschlüssel). -
Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
-
Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Amazon Web Services (AWS) aus.

-
Geben Sie die Serviceendpunkt-URI ein.
Der Service-Endpunkt-URI ist die AWS-Region, in der sich das AWS KMS befindet.
-
Navigieren Sie zum AWS-Portal, und navigieren Sie zum KMS, in dem sich Ihr Schlüssel befindet.
-
Suchen Sie den Regionsnamen, der in der oberen Leiste des Portals aufgeführt ist.
Beispiel: Dieses KMS befindet sich in der Region Ohio:

-
Suchen Sie den Endpunkt für die Region. Gehen Sie zu AWS Key Management Service-Endpunkte und -Quotas, und suchen Sie den Endpunkt für den AWS-Regionsnamen, in dem sich Ihr AWS-KMS befindet.
Beispiel: Wenn der AWS-Regionsname
Ohiolautet, lautet der Endpunktkms.us-east-2.amazonaws.com. -
Geben Sie den Endpunkt für die Serviceendpunkt-URI ein.
-
-
Geben Sie die Schlüssel-ARN oder den Alias ein.
-
Navigieren Sie zur Seite mit den Schlüsseldetails im AWS-Portal. Kopieren Sie den Alias oder die ARN des Schlüssels.
Beispiel: Der Alias für
ADBS_TestAWSKMSKeyist ausgewählt:
-
Geben Sie den Alias oder die ARN des Schlüssels in das Feld Schlüssel-ARN oder Alias ein.
Wenn Sie den Alias eingeben, stellen Sie dem Eintrag
alias/voran. Beispiel: Wenn der AliasADBS_TestAWSKMSKeylautet, geben Sie Folgendes ein:alias/ADBS_TestAWSKMSKeyBei der Eingabe der ARN ist kein Präfix erforderlich. Beispiel: Wenn die ARN
arn.aws.kms.us-east-2:37807956...bd154ist, geben Sie Folgendes ein:arn.aws.kms.us-east-2:37807956...bd154
-
-
Geben Sie die ARN-Rolle ein (optional).
-
Navigieren Sie zur Seite "Rollendetails" im AWS-Portal.
-
ARN der Rolle kopieren
Beispiel: Die ARN für
ADBS_AWS_Role1wird kopiert:
-
Geben Sie den kopierten ARN in das Feld ARN-Rolle ein.
-
-
Geben Sie die externe ID ein (optional).
Geben Sie als externe ID
tenant_ocidein. -
Klicken Sie auf Speichern.
Beispiel:

Beschreibung der Abbildung sec_aws_save.png
Der Lebenszyklusstatus wird in Wird aktualisiert geändert. Wenn die Anforderung abgeschlossen ist, wird im Lebenszyklusstatus Verfügbar angezeigt.
Nachdem die Anforderung abgeschlossen ist, werden die Schlüsselinformationen in der Oracle Cloud Infrastructure-Konsole auf der Detailseite der autonomen KI-Datenbank unter der Überschrift Verschlüsselung angezeigt.
Beispiel:

Beschreibung der Abbildung sec_aws_done.png
Weitere Informationen finden Sie unter Hinweise zur Verwendung von vom Kunden verwalteten Schlüsseln mit autonomen KI-Datenbanken.