Masterverschlüsselungsschlüssel in AWS Key Management Service verwalten

Die autonome KI-Datenbank unterstützt vom Kunden verwaltete TDE-Schlüssel (Transparent Data Encryption), die sich im AWS Key Management Service (KMS) befinden.

Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in AWS Key Management Service

Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln, die in Amazon Web Services (AWS) Key Management Service (KMS) in einer autonomen KI-Datenbank gespeichert sind.

Einschränkungen:

  • AWS KMS wird nur in kommerziellen Regionen unterstützt.

  • AWS KMS wird in regionsübergreifendem Autonomous Data Guard-Standby nicht unterstützt.

Führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine AWS-Richtlinie, die Lesezugriff auf AWS KMS gewährt.

    Anweisungen finden Sie unter IAM-Policy für den Zugriff auf AWS KMS erstellen. Weitere Informationen finden Sie unter AWS-Managementvoraussetzungen für die Verwendung von Amazon-Ressourcennamen (ARNs) ausführen.

    Beispiel: Die Policy ADBS_AWS_Policy1 wurde erstellt:

    Beschreibung von sec_aws_policy.png folgt

    Beschreibung der Abbildung sec_aws_policy.png

    Die Policy ADBS_AWS_Policy1 umfasst die Berechtigung für den Zugriff auf KMS.

    Beschreibung von sec_aws_perm.png folgt

    Beschreibung der Abbildung sec_aws_perm.png

  2. Erstellen Sie eine AWS-Rolle, und hängen Sie die Policy an die Rolle an.

    Anweisungen finden Sie unter IAM-Rolle für den Zugriff auf AWS-Services erstellen.

    Beispiel: Eine Rolle ADBS_AWS_Role1 wurde erstellt:

    Beschreibung von sec_aws_role.png folgt

    Beschreibung der Abbildung sec_aws_role.png

    In diesem Beispiel ist die Policy ADBS_AWS_Policy1 der Rolle ADBS_AWS_Role1 zugeordnet:

    Beschreibung von sec_aws_att_policy.png folgt

    Beschreibung der Abbildung sec_aws_att_policy.png

    Auf der Seite mit den Policy-Details wird die Rolle in diesem Beispiel unter Als Berechtigungs-Policy zugeordnet aufgeführt:

    Beschreibung von sec_aws_att_role.png folgt

    Beschreibung der Abbildung sec_aws_att_role.png

  3. Geben Sie eine Vertrauensbeziehung für die Rolle an.

    Bearbeiten Sie die Trust-Beziehung der AWS-Rolle so, dass sie den Benutzer-ARN von Oracle und eine externe ID (Mandanten-OCID) für zusätzliche Sicherheit enthält.

    1. Bei Abfrage der autonomen KI-Datenbank CLOUD_INTEGRATIONS.

      Beispiel:

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:...:user/oraclearn

      Die Ansicht CLOUD_INTEGRATIONS ist für den Benutzer ADMIN oder einen Benutzer mit der Rolle DWROLE verfügbar.

    2. Kopieren Sie die PARAM_VALUE für aws_user_arn, und speichern Sie den Wert für einen nachfolgenden Schritt.

    3. Rufen Sie die Mandanten-OCID ab, die für die externe ID erforderlich ist.

      Klicken Sie in der OCI-Konsole auf Ihr Profil, und wählen Sie Mandant aus, um zur Seite mit den Mandantendetails zu gehen. Kopieren Sie die Mandanten-OCID, und speichern Sie sie für einen nachfolgenden Schritt.

      Beispiel:

      Beschreibung von sec_aws_ocid.png folgt

      Beschreibung der Abbildung sec_aws_ocid.png

    4. Navigieren Sie im AWS-Portal zu den Vertrauenswürdigen Entitys für die Rolle, und scrollen Sie zur "Principal"-Anweisung.

    5. Geben Sie für "Principal" "AWS" als gespeicherte Oracle-Benutzer-ARN an, und geben Sie für "Condition" "sts:ExternalId" als gespeicherte OCID an.

      Beispiel:

      Beschreibung von sec_aws_trustrel.png folgt

      Beschreibung der Abbildung sec_aws_trustrel.png

Vom Kunden verwaltete Verschlüsselungsschlüssel in einer autonomen KI-Datenbank mit dem AWS Key Management Service verwenden

Zeigt die Schritte zum Verschlüsseln Ihrer autonomen KI-Datenbank mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln an, die sich im AWS Key Management Service (KMS) befinden.

Führen Sie die folgenden Schritte aus:

  1. Führen Sie die erforderlichen vom Kunden verwalteten Verschlüsselungsschlüsselvoraussetzungsschritte nach Bedarf aus. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in AWS Key Management Service.

  2. Erstellen Sie eine autonome AI-Datenbankinstanz, die die Standardeinstellung für den Verschlüsselungsschlüssel von Mit einem von Oracle verwalteten Schlüssel verschlüsseln verwendet. Weitere Informationen finden Sie unter Autonome KI-Datenbankinstanz bereitstellen.

    Hinweis

    Hinweis: Verschlüsselungsschlüsseleinstellungen für vom Kunden verwaltete Schlüssel in AWS Key Vault sind während des Erstellungsprozesses der autonomen KI-Datenbankinstanz nicht verfügbar. Die Optionen sind nach dem Provisioning verfügbar, wenn Sie die Instanz bearbeiten.

  3. Klicken Sie auf der Seite Details für die Instanz der autonomen KI-Datenbank auf Weitere Aktionen, und wählen Sie Verschlüsselungsschlüssel verwalten aus.

    Hinweis

    Hinweis: Wenn Sie bereits vom Kunden verwaltete Schlüssel in AWS KMS verwenden und die TDE-Schlüssel rotieren möchten, führen Sie die folgenden Schritte aus, und wählen Sie einen anderen Schlüssel aus (wählen Sie einen anderen Schlüssel aus als den aktuell ausgewählten Masterverschlüsselungsschlüssel).

  4. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.

  5. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Amazon Web Services (AWS) aus.

    Beschreibung von sec_aws.png folgt

    Beschreibung der Abbildung sec_aws.png

  6. Geben Sie die Serviceendpunkt-URI ein.

    Der Service-Endpunkt-URI ist die AWS-Region, in der sich das AWS KMS befindet.

    1. Navigieren Sie zum AWS-Portal, und navigieren Sie zum KMS, in dem sich Ihr Schlüssel befindet.

    2. Suchen Sie den Regionsnamen, der in der oberen Leiste des Portals aufgeführt ist.

      Beispiel: Dieses KMS befindet sich in der Region Ohio:

      Beschreibung von sec_aws_region.png folgt

      Beschreibung der Abbildung sec_aws_region.png

    3. Suchen Sie den Endpunkt für die Region. Gehen Sie zu AWS Key Management Service-Endpunkte und -Quotas, und suchen Sie den Endpunkt für den AWS-Regionsnamen, in dem sich Ihr AWS-KMS befindet.

      Beispiel: Wenn der AWS-Regionsname Ohio lautet, lautet der Endpunkt kms.us-east-2.amazonaws.com.

    4. Geben Sie den Endpunkt für die Serviceendpunkt-URI ein.

  7. Geben Sie die Schlüssel-ARN oder den Alias ein.

    1. Navigieren Sie zur Seite mit den Schlüsseldetails im AWS-Portal. Kopieren Sie den Alias oder die ARN des Schlüssels.

      Beispiel: Der Alias für ADBS_TestAWSKMSKey ist ausgewählt:

      Beschreibung von sec_aws_alias.png folgt

      Beschreibung der Abbildung sec_aws_alias.png

    2. Geben Sie den Alias oder die ARN des Schlüssels in das Feld Schlüssel-ARN oder Alias ein.

      Wenn Sie den Alias eingeben, stellen Sie dem Eintrag alias/ voran. Beispiel: Wenn der Alias ADBS_TestAWSKMSKey lautet, geben Sie Folgendes ein:

      alias/ADBS_TestAWSKMSKey

      Bei der Eingabe der ARN ist kein Präfix erforderlich. Beispiel: Wenn die ARN arn.aws.kms.us-east-2:37807956...bd154 ist, geben Sie Folgendes ein:

      arn.aws.kms.us-east-2:37807956...bd154
  8. Geben Sie die ARN-Rolle ein (optional).

    1. Navigieren Sie zur Seite "Rollendetails" im AWS-Portal.

    2. ARN der Rolle kopieren

      Beispiel: Die ARN für ADBS_AWS_Role1 wird kopiert:

      Beschreibung von sec_aws_arn_role.png folgt

      Beschreibung der Abbildung sec_aws_arn_role.png

    3. Geben Sie den kopierten ARN in das Feld ARN-Rolle ein.

  9. Geben Sie die externe ID ein (optional).

    Geben Sie als externe ID tenant_ocid ein.

  10. Klicken Sie auf Speichern.

    Beispiel:

    Beschreibung von sec_aws_save.png folgt

    Beschreibung der Abbildung sec_aws_save.png

    Der Lebenszyklusstatus wird in Wird aktualisiert geändert. Wenn die Anforderung abgeschlossen ist, wird im Lebenszyklusstatus Verfügbar angezeigt.

Nachdem die Anforderung abgeschlossen ist, werden die Schlüsselinformationen in der Oracle Cloud Infrastructure-Konsole auf der Detailseite der autonomen KI-Datenbank unter der Überschrift Verschlüsselung angezeigt.

Beispiel:

Beschreibung von sec_aws_done.png folgt

Beschreibung der Abbildung sec_aws_done.png

Weitere Informationen finden Sie unter Hinweise zur Verwendung von vom Kunden verwalteten Schlüsseln mit autonomen KI-Datenbanken.