Masterverschlüsselungsschlüssel in Azure Key Vault verwalten

Autonomous Database unterstützt vom Kunden verwaltete TDE-Schlüssel (Transparent Data Encryption), die sich in Azure Key Vault befinden.

Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Azure Key Vault

Beschreibt erforderliche Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln in Autonomous Database, die sich in Azure Key Vault befinden.

Einschränkungen:
  • Azure Key Vault wird nur in kommerziellen Regionen unterstützt.
  • Azure Key Vault wird in regionsübergreifenden Autonomous Data Guard-Standbys nicht unterstützt.
  • Folgende Schlüsselausprägungen und -größen werden unterstützt:

    • RSA 2048, 3072 und 4096
    • EC-P256, EC-P256K, EC-P384, EC-P521

Führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Autonomous Database-Instanz, die die Standardeinstellung für den Verschlüsselungsschlüssel Mit einem von Oracle verwalteten Schlüssel verschlüsseln verwendet. Weitere Informationen finden Sie unter Autonomous Database-Instanz bereitstellen.
    Hinweis

    Verschlüsselungsschlüsseleinstellungen für vom Kunden verwaltete Schlüssel in Azure Key Vault sind während des Erstellungsprozesses nicht verfügbar. Die Optionen sind nach dem Provisioning verfügbar, wenn Sie die Instanz bearbeiten.
  2. Erstellen Sie einen Azure Key Vault mit einem TDE-(Transparent Data Encryption-)Masterschlüssel.

    Weitere Informationen finden Sie unter Azure Key Vault.

  3. Aktivieren Sie die Principal-Authentifizierung des Azure-Service mit dem Azure-Verzeichnis tenant_id, um der Autonomous Database-Instanz Zugriff auf den Azure-Key Vault zu gewähren.
    1. Rufen Sie die Microsoft Azure Active Directory-Mandanten-ID ab.
    2. Stellen Sie eine Verbindung zu Ihrer Instanz als ADMIN her.
    3. Aktivieren Sie Azure-Service-Principal mit DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. Der Wert von azure_tenantid ist die Azure-Verzeichnis-ID, die Sie im vorherigen Schritt abgerufen haben.
      Beispiel:
      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Dadurch wird die Principal-Authentifizierung des Azure-Service aktiviert und eine Azure-Anwendung für Autonomous Database im Azure-Portal erstellt. Weitere Informationen finden Sie unter Azure Service Principal aktivieren.

  4. Geben Sie der Azure-Anwendung die Zustimmung zum Zugriff auf Azure-Ressourcen von Autonomous Database.
    1. Führen Sie in Autonomous Database die Abfrage CLOUD_INTEGRATIONS aus.

      Beispiel:

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      Die Ansicht CLOUD_INTEGRATIONS ist für den Benutzer ADMIN oder einen Benutzer mit der Rolle DWROLE verfügbar.

    2. Öffnen Sie in einem Browser die Azure-Zustimmungs-URL, die durch den Parameter azure_consent_url angegeben wird.

      Beispiel: Kopieren Sie die azure_consent_url aus den Abfrageergebnissen, und geben Sie die URL in Ihren Browser ein:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      Die Seite Angeforderte Berechtigungen wird geöffnet und zeigt eine Einwilligungsanforderung wie folgt an:

      Beschreibung von azure_consent.png folgt
      Beschreibung der Abbildung azure_consent.png
  5. Rufen Sie den Azure-Anwendungsnamen ab.
    1. Führen Sie in Autonomous Database die Abfrage CLOUD_INTEGRATIONS aus.

      Beispiel:

      SELECT * FROM CLOUD_INTEGRATIONS;
    2. Kopieren Sie den Wert client_id, der in consent_url enthalten ist.
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...
    3. Suchen Sie im Azure-Portal unter client_id. Die Anwendungs-ID wird unter Microsoft Entra ID angezeigt.
    4. Kopieren Sie die Anwendungskennung. Dieser Wert wird in nachfolgenden Schritten verwendet, um dieser Anwendung Zugriff auf Schlüssel im Azure Key Vault zu gewähren.
  6. Weisen Sie die erforderlichen Rollen für die Azure-Anwendung zu, um auf den Azure Key Vault zuzugreifen.
    1. Navigieren Sie im Azure-Portal zu den Zugriffsrichtlinien für den Azure Key Vault.

      Die Liste der Anwendungen mit Zugriff auf diesen Vault wird angezeigt.

    2. Klicken Sie auf der Seite "Zugriffs-Policys" auf + Erstellen, um eine Zugriffs-Policy für die Anwendung für den Zugriff auf diesen Key Vault zu erstellen.
    3. Wählen Sie für Berechtigungen auf der Seite "Zugriffs-Policy erstellen" alle Schlüsselberechtigungen aus, einschließlich: Schlüsselverwaltungsvorgänge, Kryptografievorgänge, privilegierte Schlüsselvorgänge und Rotations-Policy-Vorgänge, und klicken Sie auf Weiter.
    4. Suchen Sie unter "Principal" den Anwendungsnamen.
    5. Wählen Sie den angezeigten Anwendungsnamen aus, und klicken Sie auf Weiter.
    6. Wählen Sie für die Anwendung (optional) die Option Weiter aus.
    7. Prüfen Sie die Policy-Details, und klicken Sie auf Erstellen, um sie zu prüfen und zu erstellen.
    8. Klicken Sie auf der Detailseite für Azure Key Vault auf "Aktualisieren", und suchen Sie nach dem Anwendungsnamen. Sie ist in der angezeigten Liste der Anwendungen mit der Berechtigung zum Zugriff auf Schlüssel in diesem Azure Key Vault enthalten.

    Weitere Informationen finden Sie unter Key Vault-Zugriffs-Policy zuweisen.

Vom Kunden verwaltete Verschlüsselungsschlüssel in Autonomous Database mit Azure Key Vault verwenden

Zeigt die Schritte zum Verschlüsseln Ihrer Autonomous Database mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln an, die sich in Azure Key Vault befinden.

Führen Sie die folgenden Schritte aus:

  1. Führen Sie die erforderlichen vom Kunden verwalteten Masterschlüsselvoraussetzungsschritte aus. Siehe Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Azure Key Vault.
  2. Wählen Sie auf der Seite Details aus der Dropdown-Liste Weitere Aktionen die Option Verschlüsselungsschlüssel verwalten aus.
    Hinweis

    Wenn Sie bereits vom Kunden verwaltete TDE-Schlüssel (Transparent Data Encryption) verwenden, die in Azure Key Vault gespeichert sind, und die Schlüssel rotieren möchten, führen Sie diese Schritte aus, und wählen Sie einen anderen Schlüssel aus (wählen Sie einen anderen Schlüssel aus als den aktuell ausgewählten TDE-Masterschlüssel).

  3. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
  4. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Microsoft Azure aus.
  5. Geben Sie im Feld Vault-URI die Azure Vault-URI ein.
    1. Navigieren Sie im Azure-Portal zum Azure Key Vault.
    2. Wählen Sie die Azure Key Vault-Seite Überblick aus, und kopieren Sie die angezeigte Vault-URI.
    3. Geben Sie die kopierte Azure Vault-URI in das Feld Vault-URI auf der Seite "Autonomous Database-Verschlüsselungsschlüssel verwalten" ein.
  6. Geben Sie im Feld Schlüsselname den Namen des Azure-Schlüsselnamens ein.
    1. Navigieren Sie im Azure-Portal zum Azure Key Vault, und wählen Sie Schlüssel aus. Eine Liste der Schlüssel für diesen Vault wird angezeigt.
    2. Kopieren Sie den gewünschten Schlüsselnamen aus der Liste der angezeigten Schlüssel.
    3. Geben Sie den kopierten Azure-Schlüsselnamen auf der Seite "Autonomous Database-Verschlüsselungsschlüssel verwalten" in das Feld Schlüsselname ein.
  7. Klicken Sie auf Speichern.

Der Lebenszyklusstatus ändert sich in Wird aktualisiert. Wenn die Anforderung abgeschlossen ist, wird im Lebenszyklusstatus Verfügbar angezeigt.

Nachdem die Anforderung abgeschlossen ist, werden die Schlüsselinformationen in der Oracle Cloud Infrastructure-Konsole auf der Seite "Autonomous Database-Informationen" unter der Überschrift Verschlüsselung angezeigt. In diesem Bereich wird der Verschlüsselungsschlüssel Vom Kunden verwalteter Schlüssel (Microsoft Azure) angezeigt. Außerdem werden die Vault-URI und der Schlüsselname angezeigt.

Beispiel:
Beschreibung von sec_az_results.png folgt
Beschreibung der Abbildung sec_az_results.png