Oracle Cloud Infrastructure-Dokumentation

Masterverschlüsselungsschlüssel in Oracle Key Vault verwalten

Autonomous Database unterstützt vom Kunden verwaltete transparente Datenverschlüsselungs-(TDE-)Schlüssel, die sich in Oracle Key Vault (OKV) befinden.

Übergeordnetes Thema: Verschlüsselungsschlüssel in Autonomous Database verwalten

Vom Kunden verwaltete Verschlüsselungsschlüssel in Oracle Key Vault verwenden - Voraussetzungen

Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln, die sich in Oracle Key Vault (OKV) in Autonomous Database befinden.

Anforderungen:
Einschränkungen:
  • Mandantenübergreifender Zugriff, bei dem sich die Autonomous Database-Instanz und OKV in verschiedenen Mandanten befinden, wird nicht unterstützt.
  • OKV wird in regionsübergreifenden Standbys nicht unterstützt.
  • OKV wird in aktualisierbaren Klonen nicht unterstützt.

Gehen Sie folgendermaßen vor:

  1. Erstellen Sie einen OKV-Endpunkt, ein Wallet und einen TDE-Masterschlüssel.
    1. Melden Sie sich bei der OKV-Instanz an.
      • Kopieren Sie die öffentliche IP-Adresse oder die private IP-Adresse auf der Detailseite der OKV-Instanz, und fügen Sie sie in einen Browser ein.
      • Geben Sie auf der Anmeldeseite der OKV-Instanz den Benutzernamen und das Kennwort ein.
    2. Erstellen und registrieren Sie einen OKV-Endpunkt.
    3. Wallet erstellen.

      Das OKV-Wallet enthält den TDE-Masterverschlüsselungsschlüssel.

    4. Erstellen Sie einen TDE-Masterverschlüsselungsschlüssel im Wallet.
      • Wählen Sie Schlüssel und Secrets aus, und klicken Sie auf Erstellen.
      • Wählen Sie unter Anwendungsschlüssel die Option TDE-Masterverschlüsselungsschlüssel aus.
      • Wählen Sie unter Extractable die Option True aus.
      • Stellen Sie sicher, dass das Deaktivierungsdatum leer ist.

        Beispiele:


        Beschreibung von sec_okv_extractable.png folgt
        Beschreibung der Abbildung sec_okv_extractable.png

      • Klicken Sie unter Wallet-Mitgliedschaft auf Wallet auswählen.
      • Wählen Sie in der angezeigten Liste der Wallets das im vorherigen Schritt erstellte Wallet aus, und klicken Sie auf Schließen.
      • Klicken Sie auf Erstellen. Der TDE-Masterverschlüsselungsschlüssel wird erstellt und unter Wallet-Inhalt angezeigt.

        Beispiele:


        Beschreibung von sec_okv_key.png folgt
        Beschreibung der Abbildung sec_okv_key.png

    5. Ändern Sie den Endpunkt, um das zuvor erstellte Wallet zum Standard-Wallet zu machen.
      • Navigieren Sie zur Detailseite des Endpunkts.
      • Wählen Sie im Bereich "Standard-Wallet" die Option Wallet auswählen aus.
      • Wählen Sie auf der Seite "Wallet auswählen" das zuvor erstellte Wallet aus, und klicken Sie auf Auswählen.
      • Klicken Sie auf Speichern.
    6. RESTful-Services aktivieren.
      Hinweis

      RESTful Services müssen in der OKV-Instanz aktiviert sein, damit der curl-Befehl in einem nachfolgenden Schritt erfolgreich ausgeführt werden kann, um das Wallet herunterzuladen.
      • Wählen Sie auf der OKV-Homepage die Registerkarte System aus.
      • Klicken Sie im linken Navigationsbereich auf Einstellen.
      • Wählen Sie unter "Systemkonfiguration" die Option Restful Services aus.
      • Klicken Sie auf Alle und dann auf Speichern.
  2. Stellen Sie eine Autonomous Database-Instanz mit den folgenden erforderlichen Einstellungen bereit:
    1. Wählen Sie unter Netzwerkzugriff auswählen die Option Nur Zugriff über privaten Endpunkt aus.
    2. Wählen Sie unter Virtuelles Cloud-Netzwerk das VCN aus, in dem diese Datenbankinstanz ausgeführt wird.
    3. Wählen Sie unter Subnetz das private Subnetz aus, in dem diese Datenbankinstanz ausgeführt wird.
    4. Wählen Sie unter Network Security Groups (NSGs) die Sicherheitsgruppe aus.
    5. Bei den Einstellungen für Verschlüsselungsschlüssel lautet der Standardwert Verschlüsselung mit einem von Oracle verwalteten Schlüssel. Diese Einstellungen werden in vom Kunden verwaltete Schlüssel in OKV geändert, nachdem diese erforderlichen Schritte abgeschlossen sind. Die vom Kunden verwalteten Schlüssel werden beim Instanz-Provisioning deaktiviert. Weitere Informationen finden Sie unter Virtualisierte Verschlüsselungsschlüssel in Autonomous Database mit Oracle Key Vault verwenden.
  3. Stellen Sie eine Verbindung zur Autonomous Database-Instanz her, und erstellen Sie ein Verzeichnis für das OKV-Wallet.
    1. Melden Sie sich als ADMIN-Benutzer bei der Autonomous Database-Instanz des privaten Endpunkts an.
      Beispiel: Melden Sie sich bei der Datenbankinstanz OKVDEMO1 an:
      SQL> connect ADMIN/<password>@OKVDEMO1_low
    2. Erstellen Sie ein Verzeichnisobjekt in der Autonomous Database-Instanz.
      Beispiele:
      SQL> create directory okv_dir as 'okvdir';
    3. Prüfen Sie, ob das Verzeichnis erstellt wurde.
      Beispiel: Die folgenden Anweisungen erstellen das Verzeichnisobjekt OKV_DIR, und die Anweisungsergebnisse zeigen den Verzeichnisnamen (OKV_DIR) und den Verzeichnispfad (/u03/dbfs/<path data>/data/okvdir) an.
      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
Connected
SQL>
SQL> create directory okv_dir as 'okvdir';
Directory created.
SQL> select * from dba_directories where directory_name = 'OKV_DIR';
OWNER
–--------------------------------------------------------------------
DIRECTORY_NAME
–--------------------------------------------------------------------
DIRECTORY_PATH
–--------------------------------------------------------------------
ORIGIN_CON_ID
–------------
SYS
OKV_DIR
/u03/dbfs/<path data>/data/okvdir
SQL>
  4. Laden Sie das OKV-Wallet in das Verzeichnisobjekt herunter, das in der Autonomous Database-Instanz erstellt wurde.
    1. Laden Sie das Wallet für den Endpunkt von der OKV-Instanz herunter.
      Führen Sie den folgenden Befehl auf dem Client aus:
      curl -k -X POST
 --location https://<OKV server>:5695/okv/cloud/utility/endpoint/download/sso
 --data "token=<Enrollment Token>"
 --output cwallet.sso
      wobei:
      • OKV server: ist der interne vollqualifizierte Domainname (FQDN) oder die private IP, die auf der Detailseite der OKV-Instanz gefunden werden.
      • Enrollment Token: ist das Registrierungstoken für den Endpunkt, der auf der Seite "Endpunkte" gefunden wird.

      Nachdem das Wallet heruntergeladen wurde, zeigt der Endpunkt auf der OKV-Instanz den Status "Angemeldet" an. Alternativ können Sie das Wallet auch herunterladen, indem Sie den Endpunktnamen auswählen und auf "Herunterladen (Wallet)" klicken.

    2. Laden Sie das Wallet in Object Storage hoch.

      Laden Sie die Wallet-Datei mit "Objekt hochladen" vom lokalen Rechner in den Objektspeicher-Bucket hoch. Weitere Informationen finden Sie unter Objekt in einen Bucket hochladen.

    3. Generieren Sie in Object Storage eine URL für die vorab authentifizierte Anforderung (PAR) für die hochgeladene Wallet-Datei. Weitere Informationen finden Sie unter Vorab authentifizierte Anforderung in Object Storage erstellen.
    4. Melden Sie sich von der VM aus als ADMIN-Benutzer bei der Datenbankinstanz an.
    5. Führen Sie in der Datenbankinstanz die Prozedur DBMS_CLOUD.GET_OBJECT aus, um das Wallet aus Object Storage in das Wallet-Verzeichnis der Datenbankinstanz herunterzuladen.
      Beispiele:
      BEGIN
    DBMS_CLOUD.GET_OBJECT(
        object_uri => '<PAR URL>',
        directory_name => '<wallet_dir>');
END;
/
      • wobei:
        • object_uri ist die für die Wallet-Datei in Object Storage generierte PAR-URL.
        • directory_name ist der Name des Wallet-Verzeichnisses, das in der Datenbankinstanz erstellt wurde.

        Weitere Informationen finden Sie unter GET_OBJECT Prozedur und Funktion.

    6. Löschen Sie das Wallet aus Object Storage.

Benutzerdefinierte Verschlüsselungsschlüssel in Autonomous Database mit Oracle Key Vault verwenden

Hier werden die Schritte zum Verschlüsseln Ihrer Autonomous Database mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln dargestellt, die sich in Oracle Key Vault (OKV) befinden.

Gehen Sie folgendermaßen vor:

  1. Führen Sie gegebenenfalls die erforderlichen Schritte aus, die für den vom Kunden verwalteten Verschlüsselungsschlüssel erforderlich sind. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Oracle Key Vault.
  2. Klicken Sie auf der Seite Details für die Autonomous Database-Instanz auf Weitere Aktionen, und wählen Sie Verschlüsselungsschlüssel verwalten aus.


    Beschreibung von sec_okv_manage.png folgt
    Beschreibung der Abbildung sec_okv_manage.png

    Hinweis

    Wenn Sie bereits vom Kunden verwaltete Schlüssel in OKV verwenden und die TDE-Schlüssel rotieren möchten, führen Sie die folgenden Schritte aus, und wählen Sie einen anderen (als den aktuell ausgewählten) Schlüssel aus. Sie können jedoch keinen OKV-Schlüssel verwenden, der zuvor in derselben Autonomous Database-Instanz verwendet wurde.

  3. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
  4. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Oracle Key Vault (OKV) aus.

    Im Dialogfeld "Verschlüsselungsschlüssel verwalten" werden die Oracle Key Vault-(OKV-)Optionen angezeigt.
    Beschreibung von sec_okv.png folgt
    Beschreibung der Abbildung sec_okv.png

  5. Geben Sie folgende Informationen ein:
    • OKV-UUID: Geben Sie die eindeutige ID des TDE-Masterschlüssels für den Schlüssel in der OKV-Instanz ein.

      So suchen Sie diesen Wert:

      1. Melden Sie sich bei der OKV-Instanz an, und wählen Sie Endpunkte aus.
      2. Wählen Sie den Endpunkt aus, der das Wallet und den Schlüssel enthält.
      3. Scrollen Sie zu Zugriff auf Wallet-Inhalt, und kopieren Sie die eindeutige ID.


        Beschreibung von sec_okv_uuid.png folgt
        Beschreibung der Abbildung sec_okv_uuid.png

      4. Fügen Sie die eindeutige ID in das Feld OKV UUID ein.
    • OKV-Server-URI: Geben Sie den internen vollqualifizierten Domainnamen oder die private IP ein, die auf der Detailseite der OKV-Instanz gefunden wurde.

      Beispiel: Wenn Sie OKV mit einer OCI-VM hosten, finden Sie diesen Wert auf der Detailseite der OKV-Instanz unter Primäre VNIC:


      Beschreibung von sec_okv_fqdn.png folgt
      Beschreibung der Abbildung sec_okv_fqdn.png

    • Zertifikats-DN: Geben Sie den eindeutigen Zertifikatnamen (DN) ein.
    • Zertifikats-ID (Optional): Geben Sie Ihre Zertifikats-ID ein, oder lassen Sie das Feld leer.
      Hinweis

      Dieses Feld ist bei Verwendung der OKV-Versionen 21.9 und höher optional. Wenn Sie OKV-Versionen unter 21.9 verwenden, ist die Zertifikats-ID erforderlich.
    • Verzeichnisname: Geben Sie den Verzeichnisnamen ein, in dem das Wallet in der Autonomous Database-Instanz gespeichert wird.
  6. Klicken Sie auf Speichern.

Wenn der Speichervorgang erfolgreich abgeschlossen wurde, werden die Verschlüsselungseinstellungen für die Autonomous Database-Instanz aktualisiert, sodass Vom Kunden verwalteter Schlüssel (Oracle Key Vault (OKV)) angezeigt wird, und der Arbeitsanforderungsstatus wird als erfolgreich angezeigt.


Beschreibung von sec_okv_done.png folgt
Beschreibung der Abbildung sec_okv_done.png

Weitere Informationen finden Sie unter Hinweise zur Verwendung vom Kunden verwalteter Schlüssel mit Autonomous Database.