Masterverschlüsselungsschlüssel in Azure Key Vault verwalten

Autonomous AI Database unterstützt vom Kunden verwaltete TDE-(Transparent Data Encryption-)Schlüssel, die sich in Azure Key Vault befinden.

Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Azure Key Vault

Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln in einer autonomen KI-Datenbank, die sich in Azure Key Vault befindet.

Einschränkungen:

  • Azure Key Vault wird nur in kommerziellen Regionen unterstützt.

  • Azure Key Vault wird in regionsübergreifenden Autonomous Data Guard-Standbys nicht unterstützt.

  • Folgende Schlüsselausprägungen und -größen werden unterstützt:

    • RSA 2048, 3072 und 4096

    • EC-P256, EC-P256K, EC-P384, EC-P521

Führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine autonome AI-Datenbankinstanz, die die Standardeinstellung für den Verschlüsselungsschlüssel von Mit einem von Oracle verwalteten Schlüssel verschlüsseln verwendet. Weitere Informationen finden Sie unter Autonome KI-Datenbankinstanz bereitstellen.

    Hinweis

    Hinweis: Verschlüsselungsschlüsseleinstellungen für vom Kunden verwaltete Schlüssel in Azure Key Vault sind während des Erstellungsprozesses nicht verfügbar. Die Optionen sind nach dem Provisioning verfügbar, wenn Sie die Instanz bearbeiten.

  2. Erstellen Sie einen Azure Key Vault mit einem TDE-(Transparent Data Encryption-)Masterschlüssel.

    Weitere Informationen finden Sie unter Azure Key Vault.

  3. Aktivieren Sie die Azure-Service-Principal-Authentifizierung mit dem Azure-Verzeichnis tenant_id, um der Instanz der autonomen KI-Datenbank Zugriff auf den Azure-Key Vault zu gewähren.

    1. Rufen Sie die Microsoft Azure Active Directory-Mandanten-ID ab.

      Beschreibung von sec_az_tenant_id.png folgt

      Beschreibung der Abbildung sec_az_tenant_id.png

      Weitere Informationen finden Sie unter So finden Sie Ihre Azure Active Directory-Mandanten-ID.

    2. Stellen Sie eine Verbindung zu Ihrer Instanz als ADMIN her.

    3. Aktivieren Sie Azure-Service-Principal mit DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. Der Wert von azure_tenantid ist die Azure-Verzeichnis-ID, die Sie im vorherigen Schritt abgerufen haben.

      Beispiel:

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Dies ermöglicht die Azure-Service-Principal-Authentifizierung und erstellt eine Azure-Anwendung für Autonomous AI Database im Azure-Portal. Weitere Informationen finden Sie unter Azure Service Principal aktivieren.

  4. Geben Sie der Azure-Anwendung die Zustimmung zum Zugriff auf Azure-Ressourcen aus der autonomen KI-Datenbank.

    1. Bei Abfrage der autonomen KI-Datenbank CLOUD_INTEGRATIONS.

      Beispiel:

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      Die Ansicht CLOUD_INTEGRATIONS ist für den Benutzer ADMIN oder einen Benutzer mit der Rolle DWROLE verfügbar.

    2. Öffnen Sie in einem Browser die Azure-Zustimmungs-URL, die durch den Parameter azure_consent_url angegeben wird.

      Beispiel: Kopieren Sie die azure_consent_url aus den Abfrageergebnissen, und geben Sie die URL in Ihren Browser ein:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      Die Seite Angeforderte Berechtigungen wird geöffnet und zeigt eine Einwilligungsanforderung wie folgt an:

      Beschreibung von azure_consent.png folgt

      Beschreibung der Abbildung azure_consent.png

  5. Rufen Sie den Azure-Anwendungsnamen ab.

    1. Bei Abfrage der autonomen KI-Datenbank CLOUD_INTEGRATIONS.

      Beispiel:

      SELECT * FROM CLOUD_INTEGRATIONS;
    2. Kopieren Sie den Wert client_id, der in consent_url enthalten ist.

      PARAM_NAME        PARAM_VALUE
      
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=**d4f5...d5**&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...
    3. Suchen Sie im Azure-Portal unter client_id. Die Anwendungs-ID wird unter Microsoft Entra ID angezeigt.

      Beschreibung von sec_az_app_name.png folgt

      Beschreibung der Abbildung sec_az_app_name.png

    4. Kopieren Sie die Anwendungskennung. Dieser Wert wird in nachfolgenden Schritten verwendet, um dieser Anwendung Zugriff auf Schlüssel im Azure Key Vault zu gewähren.

  6. Weisen Sie die erforderlichen Rollen für die Azure-Anwendung zu, um auf den Azure Key Vault zuzugreifen.

    1. Navigieren Sie im Azure-Portal zu den Zugriffsrichtlinien für den Azure Key Vault.

      Die Liste der Anwendungen mit Zugriff auf diesen Vault wird angezeigt.

    2. Klicken Sie auf der Seite "Zugriffs-Policys" auf + Erstellen, um eine Zugriffs-Policy für die Anwendung für den Zugriff auf diesen Key Vault zu erstellen.

      Beschreibung von sec_az_acc_pol.png folgt

      Beschreibung der Abbildung sec_az_acc_pol.png

    3. Wählen Sie für Berechtigungen auf der Seite "Zugriffs-Policy erstellen" alle Schlüsselberechtigungen aus, einschließlich: Schlüsselverwaltungsvorgänge, Kryptografievorgänge, privilegierte Schlüsselvorgänge und Rotations-Policy-Vorgänge, und klicken Sie auf Weiter.

    4. Suchen Sie unter "Principal" den Anwendungsnamen.

    5. Wählen Sie den angezeigten Anwendungsnamen aus, und klicken Sie auf Weiter.

    6. Wählen Sie für die Anwendung (optional) die Option Weiter aus.

    7. Prüfen und erstellen Sie die Policy-Details, und klicken Sie auf Erstellen.

      Beschreibung von sec_az_create_pol.png folgt

      Beschreibung der Abbildung sec_az_create_pol.png

    8. Klicken Sie auf der Detailseite für Azure Key Vault auf "Aktualisieren", und suchen Sie nach dem Anwendungsnamen. Sie ist in der angezeigten Liste der Anwendungen mit der Berechtigung zum Zugriff auf Schlüssel in diesem Azure Key Vault enthalten.

    Weitere Informationen finden Sie unter Key Vault-Zugriffs-Policy zuweisen.

Vom Kunden verwaltete Verschlüsselungsschlüssel in einer autonomen KI-Datenbank mit Azure Key Vault verwenden

Zeigt die Schritte zum Verschlüsseln Ihrer autonomen KI-Datenbank mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln an, die sich in Azure Key Vault befinden.

Führen Sie die folgenden Schritte aus:

  1. Führen Sie die erforderlichen vom Kunden verwalteten Masterschlüsselvoraussetzungsschritte aus. Siehe Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Azure Key Vault.

  2. Wählen Sie in der Dropdown-Liste Weitere Aktionen auf der Seite Details die Option Verschlüsselungsschlüssel verwalten aus.

    Hinweis

    Hinweis: Wenn Sie bereits vom Kunden verwaltete TDE-(Transparent Data Encryption-)Schlüssel verwenden, die in Azure Key Vault gespeichert sind, und die Schlüssel rotieren möchten, führen Sie diese Schritte aus, und wählen Sie einen anderen Schlüssel aus (wählen Sie einen Schlüssel aus, der sich vom aktuell ausgewählten TDE-Masterschlüssel unterscheidet).

  3. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.

  4. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Microsoft Azure aus.

    Beschreibung von sec_azure.png folgt

    Beschreibung der Abbildung sec_azure.png

  5. Geben Sie im Feld Vault-URI die Azure Vault-URI ein.

    1. Navigieren Sie im Azure-Portal zum Azure Key Vault.

    2. Wählen Sie die Azure Key Vault-Seite Überblick aus, und kopieren Sie die angezeigte Vault-URI.

      Beschreibung von sec_az_vault_uri.png folgt

      Beschreibung der Abbildung sec_az_vault_uri.png

    3. Geben Sie die kopierte Azure Vault-URI in das Feld Vault-URI auf der Seite "Verschlüsselungsschlüssel verwalten" der autonomen KI-Datenbank ein.

  6. Geben Sie im Feld Schlüsselname den Namen des Azure-Schlüsselnamens ein.

    1. Navigieren Sie im Azure-Portal zum Azure Key Vault, und wählen Sie Schlüssel aus. Eine Liste der Schlüssel für diesen Vault wird angezeigt.

    2. Kopieren Sie den gewünschten Schlüsselnamen aus der Liste der angezeigten Schlüssel.

      Beschreibung von sec_az_key_name.png folgt

      Beschreibung der Abbildung sec_az_key_name.png

    3. Geben Sie den kopierten Azure-Schlüsselnamen in das Feld Schlüsselname auf der Seite "Verschlüsselungsschlüssel verwalten" der autonomen KI-Datenbank ein.

  7. Klicken Sie auf Speichern.

Der Lebenszyklusstatus wird in Wird aktualisiert geändert. Wenn die Anforderung abgeschlossen ist, wird im Lebenszyklusstatus Verfügbar angezeigt.

Nachdem die Anforderung abgeschlossen ist, werden die Schlüsselinformationen in der Oracle Cloud Infrastructure-Konsole auf der Seite "Informationen zur autonomen KI-Datenbank" unter der Überschrift Verschlüsselung angezeigt. In diesem Bereich wird der Verschlüsselungsschlüssel vom Kunden verwalteter Schlüssel (Microsoft Azure) angezeigt. Außerdem werden die Vault-URI und der Schlüsselname angezeigt.

Beispiel:

Beschreibung von sec_az_results.png folgt

Beschreibung der Abbildung sec_az_results.png

Weitere Informationen finden Sie unter Hinweise zur Verwendung von vom Kunden verwalteten Schlüsseln mit autonomen KI-Datenbanken.