Masterverschlüsselungsschlüssel in Oracle Key Vault verwalten

Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln, die in Oracle Key Vault (OKV) in einer autonomen KI-Datenbank gespeichert sind.

1. Erstellen Sie einen OKV-Endpunkt, ein Wallet und einen TDE-Masterschlüssel.
   1. Melden Sie sich bei der OKV-Instanz an.

      • Kopieren Sie die öffentliche IP-Adresse oder die private IP-Adresse auf der Detailseite der OKV-Instanz, und fügen Sie sie in einen Browser ein.

      • Geben Sie auf der Anmeldeseite der OKV-Instanz den Benutzernamen und das Kennwort ein.

   2. Erstellen und registrieren Sie einen OKV-Endpunkt.
      • Klicken Sie auf der OKV-Homepage auf Endpunkte.
      • Klicken Sie auf der Detailseite für Endpunkte auf Hinzufügen, und geben Sie einen Namen für den Endpunkt ein.
      • Lassen Sie alle anderen Einstellungen standardmäßig zu, und klicken Sie auf Registrieren.

        Beispiel:
        
        Beschreibung der Abbildung sec_okv_epregister.png
        

        Weitere Informationen finden Sie unter Endpunkte hinzufügen, löschen oder erneut registrieren.

   3. Wallet erstellen

      Das OKV-Wallet enthält den TDE-Masterverschlüsselungsschlüssel.

      • Navigieren Sie von der OKV-Homepage zur Seite Schlüssel und Wallets.
      • Klicken Sie auf der Seite Schlüssel und Wallets unter Wallets auf Erstellen.
      • Geben Sie den Namen des Wallets in das Feld Name ein, und klicken Sie auf Speichern.

        Beispiel:

        
        
        
        Beschreibung der Abbildung sec_okv_wallet.png
        
        

        Weitere Informationen finden Sie unter Virtuelles Wallet erstellen.

   4. Erstellen Sie einen TDE-Masterverschlüsselungsschlüssel im Wallet.
      • Wählen Sie Schlüssel und Secrets aus, und klicken Sie auf Erstellen.
      • Wählen Sie unter Anwendungsschlüssel die Option TDE-Masterverschlüsselungsschlüssel aus.
      • Wählen Sie unter Extrahierbar die Option Wahr aus.
      • Stellen Sie sicher, dass das Deaktivierungsdatum leer ist.

        Beispiel:

        
        
        
        Beschreibung der Abbildung sec_okv_key.png
        
        
      • Klicken Sie unter Wallet-Mitgliedschaft auf Wallet auswählen.
      • Wählen Sie in der angezeigten Liste der Wallets das im vorherigen Schritt erstellte Wallet aus, und klicken Sie auf Schließen.
      • Klicken Sie auf Erstellen. Der TDE-Masterverschlüsselungsschlüssel wird erstellt und unter Wallet-Inhalt angezeigt.
   5. Ändern Sie den Endpunkt, um das zuvor erstellte Wallet zum Standard-Wallet zu machen.
      • Navigieren Sie zur Detailseite des Endpunkts.
      • Wählen Sie im Bereich "Standard-Wallet" die Option Wallet auswählen aus.
      • Wählen Sie auf der Seite "Wallet auswählen" das zuvor erstellte Wallet aus, und klicken Sie auf Auswählen.
      • Klicken Sie auf Speichern.
   6. Aktivieren Sie RESTful-Services.
      Hinweis
      
      RESTful Services müssen auf der OKV-Instanz aktiviert sein, damit der curl-Befehl in einem nachfolgenden Schritt erfolgreich ausgeführt werden kann, um das Wallet herunterzuladen.

      • Wählen Sie auf der OKV-Homepage die Registerkarte System aus.
      • Klicken Sie im linken Navigationsbereich auf Einstellung.
      • Wählen Sie unter "Systemkonfiguration" die Option Restful Services aus.
      • Klicken Sie auf Alle und dann auf Speichern.
2. Stellen Sie eine autonome AI-Datenbankinstanz mit den folgenden erforderlichen Einstellungen bereit:
   1. Wählen Sie unter Netzwerkzugriff auswählen die Option Nur Zugriff auf privaten Endpunkt aus.
   2. Wählen Sie unter Virtuelles Cloud-Netzwerk das VCN aus, in dem diese Datenbankinstanz ausgeführt wird.
   3. Wählen Sie unter Subnetz das private Subnetz aus, in dem diese Datenbankinstanz ausgeführt wird.
   4. Wählen Sie unter Netzwerksicherheitsgruppen (NSGs) die Sicherheitsgruppe aus.
   5. Für die Einstellungen für Verschlüsselungsschlüssel wird standardmäßig Verschlüsselung mit einem von Oracle verwalteten Schlüssel verwendet. Diese Einstellungen werden in vom Kunden verwaltete Schlüssel in OKV geändert, nachdem diese erforderlichen Schritte abgeschlossen sind. Die vom Kunden verwalteten Schlüssel werden beim Instanz-Provisioning deaktiviert. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel von Kunden in einer autonomen KI-Datenbank mit Oracle Key Vault verwenden.
3. Stellen Sie eine Verbindung zur Instanz der autonomen KI-Datenbank her, und erstellen Sie ein Verzeichnis für das OKV-Wallet.
   1. Stellen Sie als ADMIN-Benutzer eine Verbindung zur autonomen KI-Datenbankinstanz des privaten Endpunkts her.
      Beispiel: Melden Sie sich bei der Datenbankinstanz OKVDEMO1 an:

      SQL> connect ADMIN/<password>@OKVDEMO1_low

   2. Erstellen Sie ein Verzeichnisobjekt in der Instanz der autonomen KI-Datenbank.
      Beispiel:

      SQL> create directory okv_dir as 'okvdir';

   3. Prüfen Sie, ob das Verzeichnis erstellt wurde.
      Beispiel: Die folgenden Anweisungen erstellen das Verzeichnisobjekt OKV_DIR, und die Anweisungsergebnisse zeigen den Verzeichnisnamen (OKV_DIR) und den Verzeichnispfad (/u03/dbfs/<path data>/data/okvdir) an.

      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
      Connected
      SQL>
      SQL> create directory okv_dir as 'okvdir';
      Directory created.
      SQL> select * from dba_directories where directory_name = 'OKV_DIR';
      OWNER
      –--------------------------------------------------------------------
      DIRECTORY_NAME
      –--------------------------------------------------------------------
      DIRECTORY_PATH
      –--------------------------------------------------------------------
      ORIGIN_CON_ID
      –------------
      SYS
      OKV_DIR
      /u03/dbfs/<path data>/data/okvdir
      SQL>

4. Laden Sie das Endpunkt-Wallet in das Verzeichnisobjekt herunter, das in der Instanz der autonomen KI-Datenbank erstellt wurde. Dieses Wallet ist nicht das virtuelle TDE-Wallet in OKV, das den TDE-Masterverschlüsselungsschlüssel enthält. Dieses Wallet enthält die erforderlichen Zertifikate, um eine mTLS 1.2-Verbindung zwischen OKV und der autonomen AI-Datenbank herzustellen.
   1. Laden Sie das Wallet für den Endpunkt aus der OKV-Instanz herunter.
      Führen Sie den folgenden Befehl von einer Compute-Instanz aus, die sich im selben Netzwerk wie OKV befindet:

      curl -k -X POST
       --location https://OKV server:5695/okv/cloud/utility/endpoint/download/sso
       --data "token=Enrollment Token"
       --output cwallet.sso

      Dabei gilt:

      • OKV server ist der interne vollqualifizierte Domainname oder die private IP-Adresse, die auf der Detailseite der OKV-Instanz gefunden werden.

      • Enrollment Token ist das Registrierungstoken für den Endpunkt, der auf der Seite "Endpunkte" gefunden wird.

      Beispiel:

      $ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso 
                                 --data "token=H5r8NzqxopYOgkZC" 
                                 --output cwallet.sso
      % Total    % Received % Xferd Average Speed   Time    Time    Time  Current 
               Dload  Upload  Total   Spent    Left  Speed
      100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172 
      
      ls -altr ./cwallet.sso 
      -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso

      Nachdem das Wallet heruntergeladen wurde, ändert sich der Endpunkt in der OKV-Instanz von REGISTERED in ENROLLED.

   2. Laden Sie das Wallet in Object Storage hoch.

      Laden Sie die Wallet-Datei mit "Objekt hochladen" von Ihrem lokalen Rechner in den Objektspeicher-Bucket hoch. Weitere Informationen finden Sie unter Objekt in einen Bucket hochladen.

   3. Generieren Sie in Object Storage eine URL für vorab authentifizierte Anforderungen (PAR) für die hochgeladene Wallet-Datei. Weitere Informationen finden Sie unter Vorab authentifizierte Anforderung in Object Storage erstellen.
   4. Melden Sie sich von der VM aus als ADMIN-Benutzer bei der Datenbankinstanz an.
   5. Führen Sie in der Datenbankinstanz die Prozedur DBMS_CLOUD.GET_OBJECT aus, um das Wallet aus Object Storage in das Wallet-Verzeichnis der Datenbankinstanz herunterzuladen.
      Beispiel:

      BEGIN
          DBMS_CLOUD.GET_OBJECT(
              object_uri => '<PAR URL>',
              directory_name => '<wallet_dir>');
      END;
      /

      • Dabei gilt:

        • object_uri ist die PAR-URL, die für die Wallet-Datei in Object Storage generiert wurde.
        • directory_name ist der Name des in der Datenbankinstanz erstellten Wallet-Verzeichnisses.

        Weitere Informationen finden Sie unter GET_OBJECT Prozedur und Funktion.

   6. Wallet aus Object Storage löschen

Zeigt die Schritte zur Verschlüsselung Ihrer autonomen KI-Datenbank mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln an, die sich in Oracle Key Vault (OKV) befinden.

1. Führen Sie die erforderlichen vom Kunden verwalteten Verschlüsselungsschlüsselvoraussetzungsschritte nach Bedarf aus. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Oracle Key Vault.
2. Klicken Sie auf der Seite Details für die Instanz der autonomen KI-Datenbank auf Weitere Aktionen, und wählen Sie Verschlüsselungsschlüssel verwalten aus.

   
   
   Beschreibung der Abbildung sec_okv_manage.png
   

   Hinweis
   
   

   Wenn Sie bereits vom Kunden verwaltete Schlüssel in OKV verwenden und die TDE-Schlüssel rotieren möchten, führen Sie diese Schritte aus, und wählen Sie einen anderen Schlüssel aus (wählen Sie einen anderen Schlüssel aus als den aktuell ausgewählten Masterverschlüsselungsschlüssel). Sie können jedoch keinen OKV-Schlüssel verwenden, der zuvor auf derselben Instanz der autonomen KI-Datenbank verwendet wurde.

3. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
4. Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Oracle Key Vault (OKV) aus.

   Im Dialogfeld "Verschlüsselungsschlüssel verwalten" werden die Oracle Key Vault-(OKV-)Optionen angezeigt.
   
   Beschreibung der Abbildung sec_okv.png
   

5. Geben Sie folgende Informationen ein:

   • OKV-UUID: Geben Sie die eindeutige ID des TDE-Masterschlüssels für den Schlüssel in der OKV-Instanz ein.

     So suchen Sie nach diesem Wert:

     1. Melden Sie sich bei der OKV-Instanz an, und wählen Sie Schlüssel und Wallets aus.

     2. Klicken Sie auf den Namen des Standard-Wallets für den Endpunkt der autonomen KI-Datenbank.

     3. Scrollen Sie zu Wallet-Inhalt, und kopieren Sie die eindeutige ID aus der Spalte Details.

        Beispiel:

        BC63511B-4B4A-411C-A71C-4AA90005F632
        OKV Server URI: ok
        Certificate DN:

        Klicken Sie auf den Endpunktnamen, und klicken Sie dann auf den grünen Download (PEM-Format). Dadurch wird "CA.pem" auf Ihren Computer heruntergeladen.

        Extrahieren Sie den Zertifikats-DN mit einem folgenden Befehl:

        $ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'

        Beispiel:

        CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us

     4. Klicken Sie auf den Namen des Standard-Wallets für den Endpunkt der autonomen KI-Datenbank.

     5. Scrollen Sie zu Zugriff auf Wallet-Inhalte, und kopieren Sie die eindeutige ID.

        .

        
        
        Beschreibung der Abbildung sec_okv_uuid.png
        

     6. Fügen Sie die eindeutige ID in das Feld OKV-UUID ein.

   • OKV-Server-URI: Geben Sie den internen vollqualifizierten Domainnamen oder die private IP ein, die auf der Detailseite der OKV-Instanz gefunden wurde.

     Beispiel: Wenn Sie eine OCI-VM zum Hosten von OKV verwenden, finden Sie diesen Wert auf der Detailseite der OKV-Instanz unter Primäre VNIC:

     
     
     Beschreibung der Abbildung sec_okv_fqdn.png
     

   • Zertifikat-DN: Geben Sie den Distinguished Name (DN) des Zertifikats ein.
   • Zertifikats-ID (Optional) - Geben Sie Ihre Zertifikats-ID ein, oder lassen Sie das Feld leer.
     Hinweis
     
     Dieses Feld ist optional, wenn OKV-Versionen 21.9 und höher verwendet werden. Wenn Sie OKV-Versionen unter 21.9 verwenden, ist die Zertifikats-ID erforderlich.
   • Verzeichnisname: Geben Sie den Verzeichnisnamen ein, in dem das Wallet in der Instanz der autonomen KI-Datenbank gespeichert wird.
6. Klicken Sie auf Speichern.