Masterverschlüsselungsschlüssel in AWS Key Management Service verwalten

Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln, die in Amazon Web Services (AWS) Key Management Service (KMS) in einer autonomen KI-Datenbank gespeichert sind.

1. Erstellen Sie eine AWS-Richtlinie, die Lesezugriff auf AWS KMS gewährt.

   Weitere Informationen finden Sie unter IAM-Policy für den Zugriff auf AWS KMS erstellen und Voraussetzungen für das AWS-Management zur Verwendung von Amazon-Ressourcennamen (ARNs) ausführen.

   Beispiel: Die Policy ADBS_AWS_Policy1 wurde erstellt:
   
   Beschreibung der Abbildung sec_aws_policy.png
   

   Die Policy ADBS_AWS_Policy1 umfasst die Berechtigung für den Zugriff auf KMS.
   
   Beschreibung der Abbildung sec_aws_perm.png
   

2. Erstellen Sie eine AWS-Rolle, und hängen Sie die Policy an die Rolle an.

   Anweisungen finden Sie unter IAM-Rolle für den Zugriff auf AWS-Services erstellen.

   Beispiel: Eine Rolle ADBS_AWS_Role1 wurde erstellt:

   
   

   
   Beschreibung der Abbildung sec_aws_role.png

   
   

   In diesem Beispiel ist die Policy ADBS_AWS_Policy1 der Rolle ADBS_AWS_Role1 zugeordnet:

   
   

   
   Beschreibung der Abbildung sec_aws_att_policy.png

   
   

   Auf der Seite mit den Policy-Details wird die Rolle in diesem Beispiel unter Als Berechtigungs-Policy zugeordnet aufgeführt:

   
   

   
   Beschreibung der Abbildung sec_aws_att_role.png

   
   
3. Geben Sie eine Vertrauensbeziehung für die Rolle an.

   Bearbeiten Sie die Trust-Beziehung der AWS-Rolle so, dass sie den Benutzer-ARN von Oracle und eine externe ID (Mandanten-OCID) für zusätzliche Sicherheit enthält.

   1. Bei Abfrage der autonomen KI-Datenbank CLOUD_INTEGRATIONS.

      Beispiel:

      SELECT * FROM CLOUD.INTEGRATIONS;

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      Die Ansicht CLOUD_INTEGRATIONS ist für den Benutzer ADMIN oder einen Benutzer mit der Rolle DWROLE verfügbar.

   2. Kopieren Sie die PARAM_VALUE für aws_user_arn, und speichern Sie den Wert für einen nachfolgenden Schritt.
   3. Rufen Sie die Mandanten-OCID ab, die für die externe ID erforderlich ist.

      Klicken Sie in der OCI-Konsole auf Ihr Profil, und wählen Sie Mandant aus, um zur Seite mit den Mandantendetails zu gelangen. Kopieren Sie die Mandanten-OCID, und speichern Sie sie für einen nachfolgenden Schritt.

      Beispiel:

      
      

      
      Beschreibung der Abbildung sec_aws_ocid.png

      
      
   4. Navigieren Sie im AWS-Portal zur vertrauenswürdigen Entitäten für die Rolle, und scrollen Sie zur "Principal"-Anweisung.
   5. Geben Sie für "Principal" "AWS" als gespeicherte Oracle-Benutzer-ARN an, und geben Sie für "Condition" "sts:ExternalId" als gespeicherte OCID an.

      Beispiel:

      
      

      
      Beschreibung der Abbildung sec_aws_trustrel.png

      
      

Zeigt die Schritte zum Verschlüsseln Ihrer autonomen KI-Datenbank mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln an, die sich im AWS Key Management Service (KMS) befinden.

1. Führen Sie die erforderlichen vom Kunden verwalteten Verschlüsselungsschlüsselvoraussetzungsschritte nach Bedarf aus. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in AWS Key Management Service.
2. Erstellen Sie eine autonome KI-Datenbankinstanz, die die Standardeinstellung für den Verschlüsselungsschlüssel von Mit einem von Oracle verwalteten Schlüssel verschlüsseln verwendet. Weitere Informationen finden Sie unter Autonome KI-Datenbankinstanz bereitstellen.
   Hinweis
   
   Verschlüsselungsschlüsseleinstellungen für vom Kunden verwaltete Schlüssel in AWS Key Vault sind während des Erstellungsprozesses der autonomen KI-Datenbankinstanz nicht verfügbar. Die Optionen sind nach dem Provisioning verfügbar, wenn Sie die Instanz bearbeiten.
3. Klicken Sie auf der Seite Details für die Instanz der autonomen KI-Datenbank auf Weitere Aktionen, und wählen Sie Verschlüsselungsschlüssel verwalten aus.
   Hinweis
   
   Wenn Sie bereits vom Kunden verwaltete Schlüssel in AWS KMS verwenden und die TDE-Schlüssel rotieren möchten, führen Sie diese Schritte aus, und wählen Sie einen anderen Schlüssel aus (wählen Sie einen anderen Schlüssel aus als den aktuell ausgewählten Masterverschlüsselungsschlüssel).
4. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
5. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Amazon Web Services (AWS) aus.
   
   

   
   Beschreibung der Abbildung sec_aws.png

   
   
6. Geben Sie die Serviceendpunkt-URI ein.

   Der Service-Endpunkt-URI ist die AWS-Region, in der sich das AWS KMS befindet.

   1. Navigieren Sie zum AWS-Portal, und navigieren Sie zum KMS, in dem sich Ihr Schlüssel befindet.
   2. Suchen Sie den Regionsnamen, der in der oberen Leiste des Portals aufgeführt ist.

      Beispiel: Dieses KMS befindet sich in der Region Ohio:

      
      

      
      Beschreibung der Abbildung sec_aws_region.png

      
      
   3. Suchen Sie den Endpunkt für die Region. Gehen Sie zu AWS Key Management Service-Endpunkte und -Quotas, und suchen Sie den Endpunkt für den AWS-Regionsnamen, in dem sich Ihr AWS-KMS befindet.

      Beispiel: Wenn der AWS-Regionsname Ohio lautet, lautet der Endpunkt kms.us-east-2.amazonaws.com.

   4. Geben Sie den Endpunkt für die Serviceendpunkt-URI ein.
7. Geben Sie die Schlüssel-ARN oder den Alias ein.
   1. Navigieren Sie zur Seite mit den Schlüsseldetails im AWS-Portal. Kopieren Sie den Alias oder die ARN des Schlüssels.

      Beispiel: Der Alias für ADBS_TestAWSKMSKey ist ausgewählt:

      
      

      
      Beschreibung der Abbildung sec_aws_alias.png

      
      
   2. Geben Sie den Alias oder die ARN des Schlüssels in das Feld Schlüssel-ARN oder -Alias ein.
      Wenn Sie den Alias eingeben, stellen Sie dem Eintrag alias/ voran. Beispiel: Wenn der Alias ADBS_TestAWSKMSKey lautet, geben Sie Folgendes ein:

      alias/ADBS_TestAWSKMSKey

      Bei der Eingabe der ARN ist kein Präfix erforderlich. Beispiel: Wenn die ARN arn.aws.kms.us-east-2:37807956...bd154 ist, geben Sie Folgendes ein:

      arn.aws.kms.us-east-2:37807956...bd154

8. Geben Sie die ARN-Rolle ein (optional).
   1. Navigieren Sie zur Seite "Rollendetails" im AWS-Portal.
   2. ARN der Rolle kopieren

      Beispiel: Die ARN für ADBS_AWS_Role1 wird kopiert:

      
      

      
      Beschreibung der Abbildung sec_aws_arn_role.png

      
      
   3. Geben Sie den kopierten ARN in das Feld ARN-Rolle ein.
9. Geben Sie die externe ID ein (optional).

   Geben Sie als externe ID tenant_ocid ein.

10. Klicken Sie auf Speichern.

    Beispiel:

    
    

    
    Beschreibung der Abbildung sec_aws_save.png

    
    

Der Lebenszyklusstatus ändert sich in Wird aktualisiert. Wenn die Anforderung abgeschlossen ist, wird im Lebenszyklusstatus Verfügbar angezeigt.

Nachdem die Anforderung abgeschlossen ist, werden die Schlüsselinformationen in der Oracle Cloud Infrastructure-Konsole auf der Detailseite der Autonomous Database-Instanz unter der Überschrift Verschlüsselung angezeigt.

Beispiel:

Beschreibung der Abbildung sec_aws_done.png