Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln, die sich in Amazon Web Services (AWS) Key Management Service (KMS) in Autonomous Database befinden.

1. Erstellen Sie eine AWS-Richtlinie, die Lesezugriff auf AWS KMS gewährt.

   Weitere Informationen finden Sie unter IAM-Policy für den Zugriff auf AWS KMS erstellen und AWS-Managementvoraussetzungen für die Verwendung von Amazon-Ressourcennamen (ARNs) ausführen.

   Beispiel: Die Policy ADBS_AWS_Policy1 wurde erstellt:
   
   Beschreibung der Abbildung sec_aws_policy.png
   

   Die ADBS_AWS_Policy1-Policy enthält die Berechtigung für den Zugriff auf KMS.
   
   Beschreibung der Abbildung sec_aws_perm.png
   

2. Erstellen Sie eine AWS-Rolle, und verknüpfen Sie die Policy mit der Rolle.

   Anweisungen finden Sie unter IAM-Rolle für den Zugriff auf AWS-Services erstellen.

   Beispiel: Eine ADBS_AWS_Role1-Rolle wurde erstellt:

   
   

   
   Beschreibung der Abbildung sec_aws_role.png

   
   

   In diesem Beispiel ist die Policy ADBS_AWS_Policy1 der Rolle ADBS_AWS_Role1 zugeordnet:

   
   

   
   Beschreibung der Abbildung sec_aws_att_policy.png

   
   

   In diesem Beispiel wird die Rolle auf der Seite mit den Policy-Details unter Als Berechtigungs-Policy angehängt aufgeführt:

   
   

   
   Beschreibung der Abbildung sec_aws_att_role.png

   
   
3. Geben Sie eine Vertrauensstellung für die Rolle an.

   Bearbeiten Sie die Vertrauensbeziehung der AWS-Rolle, um den Oracle-Benutzer-ARN und eine externe ID (Mandanten-OCID) für zusätzliche Sicherheit einzuschließen.

   1. Fragen Sie in Autonomous Database CLOUD_INTEGRATIONS ab.

      Beispiele:

      SELECT * FROM CLOUD.INTEGRATIONS;

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      Die View CLOUD_INTEGRATIONS ist für den Benutzer ADMIN oder für einen Benutzer mit der Rolle DWROLE verfügbar.

   2. Kopieren Sie PARAM_VALUE für aws_user_arn, und speichern Sie den Wert für einen nachfolgenden Schritt.
   3. Rufen Sie die für die externe ID erforderliche Mandanten-OCID ab.

      Klicken Sie in der OCI-Konsole auf Ihr Profil, und wählen Sie Mandant aus, um zur Seite mit den Mandantendetails zu gelangen. Kopieren Sie die Mandanten-OCID, und speichern Sie sie für einen nachfolgenden Schritt.

      Beispiele:

      
      

      
      Beschreibung der Abbildung sec_aws_ocid.png

      
      
   4. Navigieren Sie im AWS-Portal zu den Vertrauenswürdigen Entitys für die Rolle, und scrollen Sie zur "Principal"-Anweisung.
   5. Geben Sie unter "Principal" "AWS" als gespeicherten Oracle-Benutzer-ARN an, und geben Sie unter "Condition" "sts:ExternalId" als gespeicherte OCID an.

      Beispiele:

      
      

      
      Beschreibung der Abbildung sec_aws_trustrel.png

      
      

Hier werden die Schritte zum Verschlüsseln Ihrer Autonomous Database mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln dargestellt, die sich in AWS Key Management Service (KMS) befinden.

1. Führen Sie gegebenenfalls die erforderlichen Schritte aus, die für den vom Kunden verwalteten Verschlüsselungsschlüssel erforderlich sind. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in AWS Key Management Service.
2. Erstellen Sie eine Autonomous Database-Instanz, die die Standardeinstellung für den Verschlüsselungsschlüssel Mit einem von Oracle verwalteten Schlüssel verschlüsseln verwendet. Weitere Informationen finden Sie unter Autonomous Database-Instanz bereitstellen.
   Hinweis
   
   Verschlüsselungsschlüsseleinstellungen für vom Kunden verwaltete Schlüssel in AWS Key Vault sind während des Erstellungsprozesses der Autonomous Database-Instanz nicht verfügbar. Die Optionen sind nach dem Provisioning beim Bearbeiten der Instanz verfügbar.
3. Klicken Sie auf der Seite Details für die Autonomous Database-Instanz auf Weitere Aktionen, und wählen Sie Verschlüsselungsschlüssel verwalten aus.
   Hinweis
   
   Wenn Sie bereits vom Kunden verwaltete Schlüssel in AWS KMS verwenden und die TDE-Schlüssel rotieren möchten, führen Sie die folgenden Schritte aus, und wählen Sie einen anderen (als den aktuell ausgewählten) Schlüssel aus.
4. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
5. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Amazon Web Services (AWS) aus.
   
   

   
   Beschreibung der Abbildung sec_aws.png

   
   
6. Geben Sie die Serviceendpunkt-URI ein.

   Der Serviceendpunkt-URI ist die AWS-Region, in der sich das AWS KMS befindet.

   1. Wechseln Sie zum AWS-Portal und navigieren Sie zum KMS, in dem sich Ihr Schlüssel befindet.
   2. Suchen Sie den Regionsnamen in der oberen Leiste des Portals.

      Beispiel: Dieses KMS befindet sich in der Region Ohio:

      
      

      
      Beschreibung der Abbildung sec_aws_region.png

      
      
   3. Suchen Sie den Endpunkt für die Region. Gehen Sie zu AWS Key Management Service-Endpunkte und -Quotas, und suchen Sie den Endpunkt für den AWS-Regionsnamen, in dem sich Ihr AWS KMS befindet.

      Beispiel: Wenn der AWS-Regionsname Ohio lautet, lautet der Endpunkt kms.us-east-2.amazonaws.com.

   4. Geben Sie den Endpunkt für die Serviceendpunkt-URI ein.
7. Geben Sie die Kennung oder den Alias ein.
   1. Navigieren Sie zur Seite mit den Schlüsseldetails im AWS-Portal. Kopieren Sie den Alias oder die Patientennummer des Schlüssels.

      Beispiel: Der Alias für ADBS_TestAWSKMSKey ist ausgewählt:

      
      

      
      Beschreibung der Abbildung sec_aws_alias.png

      
      
   2. Geben Sie den Alias oder die ARN des Schlüssels in das Feld Schlüssel-ARN oder Alias ein.
      Wenn Sie den Alias eingeben, stellen Sie dem Eintrag alias/ voran. Beispiel: Wenn der Alias ADBS_TestAWSKMSKey lautet, geben Sie Folgendes ein:

      alias/ADBS_TestAWSKMSKey

      Bei der Eingabe der ARN ist kein Präfix erforderlich. Beispiel: Wenn der ARN arn.aws.kms.us-east-2:37807956...bd154 lautet, geben Sie Folgendes ein:

      arn.aws.kms.us-east-2:37807956...bd154

8. Geben Sie die ARN-Rolle ein (optional).
   1. Navigieren Sie zur Seite mit den Rollendetails im AWS-Portal.
   2. Auf dieser Seite kopieren Sie den ARN der Rolle.

      Beispiel: Der ARN für ADBS_AWS_Role1 wird kopiert:

      
      

      
      Beschreibung der Abbildung sec_aws_arn_role.png

      
      
   3. Geben Sie den kopierten ARN in das Feld ARN-Rolle ein.
9. Geben Sie eine externe ID ein (optional).

   Geben Sie als externe ID tenant_ocid ein.

10. Klicken Sie auf Speichern.

    Beispiele:

    
    

    
    Beschreibung der Abbildung sec_aws_save.png

    
    

Der Lebenszyklusstatus ändert sich in Wird aktualisiert. Wenn die Anforderung abgeschlossen ist, wird im Lebenszyklusstatus Verfügbar angezeigt.

Nach Abschluss der Anforderung werden die Schlüsselinformationen in der Oracle Cloud Infrastructure-Konsole auf der Detailseite der Autonomous Database-Instanz unter der Überschrift Verschlüsselung angezeigt.

Beispiele:

Beschreibung der Abbildung sec_aws_done.png