Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln in Autonomous Database, die sich in Azure Key Vault befinden.

1. Erstellen Sie eine Autonomous Database-Instanz, die die Standardeinstellung für den Verschlüsselungsschlüssel Mit einem von Oracle verwalteten Schlüssel verschlüsseln verwendet. Weitere Informationen finden Sie unter Autonomous Database-Instanz bereitstellen.
   Hinweis
   
   Verschlüsselungsschlüsseleinstellungen für vom Kunden verwaltete Schlüssel in Azure Key Vault sind während des Erstellungsprozesses nicht verfügbar. Die Optionen sind nach dem Provisioning beim Bearbeiten der Instanz verfügbar.
2. Erstellen Sie einen Azure Key Vault mit einem Transparent Data Encryption-(TDE-)Masterschlüssel.

   Weitere Informationen finden Sie unter Info zu Azure Key Vault.

3. Aktivieren Sie die Azure-Service-Principal-Authentifizierung mit dem Azure-Verzeichnis tenant_id, damit die Autonomous Database-Instanz auf den Azure Key Vault zugreifen kann.
   1. Rufen Sie Ihre Mandanten-ID für Microsoft Azure Active Directory ab.

      
      
      Beschreibung der Abbildung sec_az_tenant_id.png
      

      Weitere Informationen finden Sie unter How to find your Azure Active Directory tenant ID.

   2. Melden Sie sich bei der Instanz als ADMIN an.
   3. Aktivieren Sie den Azure-Service- Principal mit DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. Der Wert von azure_tenantid ist die Azure-Verzeichnis-ID, die Sie im vorherigen Schritt erhalten haben.
      Beispiele:

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Dadurch wird die Azure-Service-Prinzipal-Authentifizierung aktiviert, und es wird eine Azure-Anwendung für Autonomous Database im Azure-Portal erstellt. Weitere Informationen finden Sie unter Azure-Service-Principal aktivieren.

4. Geben Sie die Zustimmung der Azure-Anwendung für den Zugriff auf Azure-Ressourcen in Autonomous Database an.
   1. Fragen Sie in Autonomous Database CLOUD_INTEGRATIONS ab.

      Beispiele:

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      Die View CLOUD_INTEGRATIONS ist für den Benutzer ADMIN oder für einen Benutzer mit der Rolle DWROLE verfügbar.

   2. Öffnen Sie in einem Browser die Azure-Zustimmungs-URL, die durch den Parameter azure_consent_url angegeben wird.

      Beispiel: Kopieren Sie azure_consent_url aus den Abfrageergebnissen, und geben Sie die URL in Ihren Browser ein:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      Die Seite Permissions requested wird geöffnet und zeigt eine Zustimmungsanforderung ähnlich der folgenden an:

      
      Beschreibung der Abbildung azure_consent.png
5. Rufen Sie den Azure-Anwendungsnamen ab.
   1. Fragen Sie in Autonomous Database CLOUD_INTEGRATIONS ab.

      Beispiele:

      SELECT * FROM CLOUD_INTEGRATIONS;

   2. Kopieren Sie den client_id-Wert, der in consent_url enthalten ist.

      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

   3. Suchen Sie im Azure-Portal unter client_id. Die Anwendungs-ID wird unter Microsoft Entra ID angezeigt.

      
      
      Beschreibung der Abbildung sec_az_app_name.png
      

   4. Kopieren Sie die Anwendungs-ID. Dieser Wert wird in nachfolgenden Schritten verwendet, um dieser Anwendung Zugriff auf Schlüssel im Azure Key Vault zu gewähren.
6. Weisen Sie die erforderlichen Rollen für die Azure-Anwendung zu, um auf den Azure Key Vault zuzugreifen.
   1. Navigieren Sie im Azure-Portal zu den Zugriffs-Policys für den Azure Key Vault.

      Die Liste der Anwendungen mit Zugriff auf diesen Vault wird angezeigt.

   2. Klicken Sie auf der Seite "Zugriffs-Policys" auf + Erstellen, um eine Zugriffs-Policy für die Anwendung für den Zugriff auf diesen Key Vault zu erstellen.

      
      
      Beschreibung der Abbildung sec_az_acc_pol.png
      

   3. Wählen Sie für Berechtigungen auf der Seite "Zugriffs-Policy erstellen" alle Schlüsselberechtigungen aus, einschließlich: Key Management-Vorgänge, Kryptografievorgänge, Vorgänge mit privilegierten Schlüsseln und Rotations-Policy-Vorgänge, und klicken Sie auf Weiter.
   4. Suchen Sie unter "Principal" den Anwendungsnamen.
   5. Wählen Sie den angezeigten Anwendungsnamen aus, und klicken Sie auf Weiter.
   6. Wählen Sie unter "Anwendung" (optional) die Option Weiter aus.
   7. Prüfen und erstellen Sie die Policy-Details, und klicken Sie auf Erstellen.

      
      
      Beschreibung der Abbildung sec_az_create_pol.png
      

   8. Klicken Sie auf der Detailseite von Azure Key Vault auf "Aktualisieren", und suchen Sie nach dem Anwendungsnamen. Es ist in der angezeigten Liste der Anwendungen mit der Berechtigung zum Zugriff auf Schlüssel in diesem Azure Key Vault enthalten.

   Weitere Informationen finden Sie unter Key Vault-Zugriffs-Policy zuweisen.

Hier werden die Schritte zum Verschlüsseln Ihrer Autonomous Database mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln angezeigt, die sich in Azure Key Vault befinden.

1. Führen Sie die erforderlichen Schritte aus, die für den vom Kunden verwalteten Masterschlüssel erforderlich sind. Siehe Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Azure Key Vault.
2. Wählen Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen die Option Verschlüsselungsschlüssel verwalten aus.
   Hinweis
   
   

   Wenn Sie bereits vom Kunden verwaltete TDE-Schlüssel (Transparent Data Encryption) verwenden, die in Azure Key Vault gespeichert sind, und die Schlüssel rotieren möchten, führen Sie die folgenden Schritte aus, und wählen Sie einen anderen (als den aktuell ausgewählten TDE-Masterschlüssel) Schlüssel aus.

3. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
4. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Microsoft Azure aus.

   
   
   Beschreibung der Abbildung sec_azure.png
   

5. Geben Sie im Feld Vault-URI die Azure Vault-URI ein.
   1. Navigieren Sie im Azure-Portal zum Azure Key Vault.
   2. Wählen Sie die Azure Key Vault-Seite Überblick aus, und kopieren Sie die angezeigte Vault-URI.

      
      
      Beschreibung der Abbildung sec_az_vault_uri.png
      

   3. Geben Sie die kopierte Azure Vault-URI in das Feld Vault-URI auf der Seite "Verschlüsselungsschlüssel verwalten" in Autonomous Database ein.
6. Geben Sie im Feld Schlüsselname den Namen des Azure-Schlüsselnamens ein.
   1. Navigieren Sie im Azure-Portal zum Azure Key Vault, und wählen Sie Schlüssel aus. Eine Liste der Schlüssel für diesen Vault wird angezeigt.
   2. Kopieren Sie den Schlüsselnamen aus der Liste der angezeigten Schlüssel, den Sie verwenden möchten.

      
      
      Beschreibung der Abbildung sec_az_key_name.png
      

   3. Geben Sie den kopierten Azure-Schlüsselnamen in das Feld Schlüsselname auf der Seite "Verschlüsselungsschlüssel verwalten" in Autonomous Database ein.
7. Klicken Sie auf Speichern.