Masterverschlüsselungsschlüssel in Azure Key Vault verwalten

Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln in einer autonomen KI-Datenbank, die sich in Azure Key Vault befindet.

1. Erstellen Sie eine autonome KI-Datenbankinstanz, die die Standardeinstellung für den Verschlüsselungsschlüssel von Mit einem von Oracle verwalteten Schlüssel verschlüsseln verwendet. Weitere Informationen finden Sie unter Autonome KI-Datenbankinstanz bereitstellen.
   Hinweis
   
   Verschlüsselungsschlüsseleinstellungen für vom Kunden verwaltete Schlüssel in Azure Key Vault sind während des Erstellungsprozesses nicht verfügbar. Die Optionen sind nach dem Provisioning verfügbar, wenn Sie die Instanz bearbeiten.
2. Erstellen Sie einen Azure Key Vault mit einem TDE-(Transparent Data Encryption-)Masterschlüssel.

   Weitere Informationen finden Sie unter Azure Key Vault.

3. Aktivieren Sie die Azure-Service-Principal-Authentifizierung mit dem Azure-Verzeichnis tenant_id, um der Instanz der autonomen KI-Datenbank Zugriff auf den Azure-Key Vault zu gewähren.
   1. Rufen Sie die Microsoft Azure Active Directory-Mandanten-ID ab.

      
      
      Beschreibung der Abbildung sec_az_tenant_id.png
      

      Weitere Informationen finden Sie unter So finden Sie Ihre Azure Active Directory-Mandanten-ID.

   2. Stellen Sie eine Verbindung zu Ihrer Instanz als ADMIN her.
   3. Aktivieren Sie Azure-Service-Principal mit DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. Der Wert von azure_tenantid ist die Azure-Verzeichnis-ID, die Sie im vorherigen Schritt abgerufen haben.
      Beispiel:

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Dies ermöglicht die Azure-Service-Principal-Authentifizierung und erstellt eine Azure-Anwendung für Autonomous AI Database im Azure-Portal. Weitere Informationen finden Sie unter Azure Service Principal aktivieren.

4. Geben Sie der Azure-Anwendung die Zustimmung zum Zugriff auf Azure-Ressourcen aus der autonomen KI-Datenbank.
   1. Bei Abfrage der autonomen KI-Datenbank CLOUD_INTEGRATIONS.

      Beispiel:

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      Die Ansicht CLOUD_INTEGRATIONS ist für den Benutzer ADMIN oder einen Benutzer mit der Rolle DWROLE verfügbar.

   2. Öffnen Sie in einem Browser die Azure-Zustimmungs-URL, die durch den Parameter azure_consent_url angegeben wird.

      Beispiel: Kopieren Sie die azure_consent_url aus den Abfrageergebnissen, und geben Sie die URL in Ihren Browser ein:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      Die Seite Angeforderte Berechtigungen wird geöffnet und zeigt eine Einwilligungsanforderung wie folgt an:

      
      Beschreibung der Abbildung azure_consent.png
5. Rufen Sie den Azure-Anwendungsnamen ab.
   1. Bei Abfrage der autonomen KI-Datenbank CLOUD_INTEGRATIONS.

      Beispiel:

      SELECT * FROM CLOUD_INTEGRATIONS;

   2. Kopieren Sie den Wert client_id, der in consent_url enthalten ist.

      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

   3. Suchen Sie im Azure-Portal unter client_id. Die Anwendungs-ID wird unter Microsoft Entra ID angezeigt.

      
      
      Beschreibung der Abbildung sec_az_app_name.png
      

   4. Kopieren Sie die Anwendungskennung. Dieser Wert wird in nachfolgenden Schritten verwendet, um dieser Anwendung Zugriff auf Schlüssel im Azure Key Vault zu gewähren.
6. Weisen Sie die erforderlichen Rollen für die Azure-Anwendung zu, um auf den Azure Key Vault zuzugreifen.
   1. Navigieren Sie im Azure-Portal zu den Zugriffsrichtlinien für den Azure Key Vault.

      Die Liste der Anwendungen mit Zugriff auf diesen Vault wird angezeigt.

   2. Klicken Sie auf der Seite "Zugriffs-Policys" auf + Erstellen, um eine Zugriffs-Policy für die Anwendung für den Zugriff auf diesen Key Vault zu erstellen.

      
      
      Beschreibung der Abbildung sec_az_acc_pol.png
      

   3. Wählen Sie für Berechtigungen auf der Seite "Zugriffs-Policy erstellen" alle Schlüsselberechtigungen aus, einschließlich: Schlüsselverwaltungsvorgänge, Kryptografievorgänge, privilegierte Schlüsselvorgänge und Rotations-Policy-Vorgänge, und klicken Sie auf Weiter.
   4. Suchen Sie unter "Principal" den Anwendungsnamen.
   5. Wählen Sie den angezeigten Anwendungsnamen aus, und klicken Sie auf Weiter.
   6. Wählen Sie für die Anwendung (optional) die Option Weiter aus.
   7. Prüfen Sie die Policy-Details, und klicken Sie auf Erstellen, um sie zu prüfen und zu erstellen.

      
      
      Beschreibung der Abbildung sec_az_create_pol.png
      

   8. Klicken Sie auf der Detailseite für Azure Key Vault auf "Aktualisieren", und suchen Sie nach dem Anwendungsnamen. Sie ist in der angezeigten Liste der Anwendungen mit der Berechtigung zum Zugriff auf Schlüssel in diesem Azure Key Vault enthalten.

   Weitere Informationen finden Sie unter Key Vault-Zugriffs-Policy zuweisen.

Zeigt die Schritte zum Verschlüsseln Ihrer autonomen KI-Datenbank mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln an, die sich in Azure Key Vault befinden.

1. Führen Sie die erforderlichen vom Kunden verwalteten Masterschlüsselvoraussetzungsschritte aus. Siehe Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Azure Key Vault.
2. Wählen Sie auf der Seite Details aus der Dropdown-Liste Weitere Aktionen die Option Verschlüsselungsschlüssel verwalten aus.
   Hinweis
   
   

   Wenn Sie bereits vom Kunden verwaltete TDE-Schlüssel (Transparent Data Encryption) verwenden, die in Azure Key Vault gespeichert sind, und die Schlüssel rotieren möchten, führen Sie diese Schritte aus, und wählen Sie einen anderen Schlüssel aus (wählen Sie einen anderen Schlüssel aus als den aktuell ausgewählten TDE-Masterschlüssel).

3. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
4. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Microsoft Azure aus.

   
   
   Beschreibung der Abbildung sec_azure.png
   

5. Geben Sie im Feld Vault-URI die Azure Vault-URI ein.
   1. Navigieren Sie im Azure-Portal zum Azure Key Vault.
   2. Wählen Sie die Azure Key Vault-Seite Überblick aus, und kopieren Sie die angezeigte Vault-URI.

      
      
      Beschreibung der Abbildung sec_az_vault_uri.png
      

   3. Geben Sie die kopierte Azure Vault-URI in das Feld Vault-URI auf der Seite "Verschlüsselungsschlüssel verwalten" der autonomen KI-Datenbank ein.
6. Geben Sie im Feld Schlüsselname den Namen des Azure-Schlüsselnamens ein.
   1. Navigieren Sie im Azure-Portal zum Azure Key Vault, und wählen Sie Schlüssel aus. Eine Liste der Schlüssel für diesen Vault wird angezeigt.
   2. Kopieren Sie den gewünschten Schlüsselnamen aus der Liste der angezeigten Schlüssel.

      
      
      Beschreibung der Abbildung sec_az_key_name.png
      

   3. Geben Sie den kopierten Azure-Schlüsselnamen in das Feld Schlüsselname auf der Seite "Verschlüsselungsschlüssel verwalten" der autonomen KI-Datenbank ein.
7. Klicken Sie auf Speichern.