Masterverschlüsselungsschlüssel in Oracle Key Vault verwalten
Autonomous AI Database unterstützt vom Kunden verwaltete TDE-(Transparent Data Encryption-)Schlüssel, die sich in Oracle Key Vault (OKV) befinden.
Voraussetzungen zur Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Oracle Key Vault
Beschreibt die erforderlichen Schritte zur Verwendung von vom Kunden verwalteten Masterverschlüsselungsschlüsseln, die in Oracle Key Vault (OKV) in einer autonomen KI-Datenbank gespeichert sind.
Anforderungen:
-
Die Instanz der autonomen KI-Datenbank muss private Endpunkte verwenden.
-
Autonome KI-Datenbank unterstützt OKV-Instanzen, die sich in privaten Netzwerken befinden und über dasselbe Netzwerk zugänglich sind, in dem sich die autonome KI-Datenbank befindet.
Weitere Informationen finden Sie unter VCN- und Subnetzverwaltung und Oracle Key Vault auf einer Oracle Cloud Infrastructure-VM-Compute-Instanz bereitstellen.
Beschränkung:
- OKV wird in regionsübergreifenden Autonomous Data Guard-Standbys nicht unterstützt.
Führen Sie die folgenden Schritte aus:
-
Erstellen Sie einen OKV-Endpunkt, ein Wallet und einen TDE-Masterschlüssel.
-
Melden Sie sich bei der OKV-Instanz an.
-
Kopieren Sie die öffentliche IP-Adresse oder die private IP-Adresse auf der Detailseite der OKV-Instanz, und fügen Sie sie in einen Browser ein.
-
Geben Sie auf der Anmeldeseite der OKV-Instanz den Benutzernamen und das Kennwort ein.
-
-
Erstellen und registrieren Sie einen OKV-Endpunkt.
-
Klicken Sie auf der OKV-Homepage auf Endpunkte.
-
Klicken Sie auf der Detailseite für Endpunkte auf Hinzufügen, und geben Sie einen Namen für den Endpunkt ein.
-
Lassen Sie alle anderen Einstellungen standardmäßig zu, und klicken Sie auf Registrieren.
Beispiel:

Beschreibung der Abbildung sec_okv_epregister.png
Weitere Informationen finden Sie unter Endpunkte hinzufügen, löschen oder erneut registrieren.
-
-
Wallet erstellen
Das OKV-Wallet enthält den TDE-Masterverschlüsselungsschlüssel.
-
Navigieren Sie von der OKV-Homepage zur Seite Schlüssel und Wallets.
-
Klicken Sie unter Wallets auf der Seite Schlüssel und Wallets auf Erstellen.
-
Geben Sie den Namen des Wallets in das Feld Name ein, und klicken Sie auf Speichern.
Beispiel:

Beschreibung der Abbildung sec_okv_wallet.png
Weitere Informationen finden Sie unter Virtuelles Wallet erstellen.
-
-
Erstellen Sie einen TDE-Masterverschlüsselungsschlüssel im Wallet.
-
Wählen Sie Schlüssel und Secrets aus, und klicken Sie auf Erstellen.
-
Wählen Sie unter Anwendungsschlüssel die Option TDE-Masterverschlüsselungsschlüssel aus.
-
Wählen Sie für Extractable die Option True aus.
-
Stellen Sie sicher, dass das Deaktivierungsdatum leer ist.
Beispiel:

Beschreibung der Abbildung sec_okv_key.png
- Klicken Sie unter Wallet-Mitgliedschaft auf Wallet auswählen.
-
Wählen Sie in der angezeigten Liste der Wallets das im vorherigen Schritt erstellte Wallet aus, und klicken Sie auf Schließen.
-
Klicken Sie auf Erstellen. Der TDE-Masterverschlüsselungsschlüssel wird erstellt und unter Wallet-Inhalt angezeigt.
-
-
Ändern Sie den Endpunkt, um das zuvor erstellte Wallet zum Standard-Wallet zu machen.
-
Navigieren Sie zur Detailseite des Endpunkts.
-
Wählen Sie im Bereich "Standard-Wallet" die Option Wallet auswählen aus.
-
Wählen Sie auf der Seite "Wallet auswählen" das zuvor erstellte Wallet aus, und klicken Sie auf Auswählen.
-
Klicken Sie auf Speichern.
-
-
Aktivieren Sie RESTful-Services.
Hinweis
Hinweis: RESTful Services müssen auf der OKV-Instanz aktiviert sein, damit der curl-Befehl in einem nachfolgenden Schritt erfolgreich ausgeführt werden kann, um das Wallet herunterzuladen.-
Wählen Sie auf der OKV-Homepage die Registerkarte System aus.
-
Klicken Sie im linken Navigationsbereich auf Festlegen.
-
Wählen Sie unter "Systemkonfiguration" die Option Restful Services aus.
-
Klicken Sie auf Alle und dann auf Speichern.
-
-
-
Stellen Sie eine autonome AI-Datenbankinstanz mit den folgenden erforderlichen Einstellungen bereit:
-
Wählen Sie unter Netzwerkzugriff auswählen die Option Nur Zugriff auf privaten Endpunkt aus.
-
Wählen Sie unter Virtuelles Cloud-Netzwerk das VCN aus, in dem diese Datenbankinstanz ausgeführt wird.
-
Wählen Sie unter Subnetz das private Subnetz aus, in dem diese Datenbankinstanz ausgeführt wird.
-
Wählen Sie unter Netzwerksicherheitsgruppen (NSGs) die Sicherheitsgruppe aus.
-
Bei den Einstellungen für den Verschlüsselungsschlüssel wird standardmäßig Verschlüsselung mit einem von Oracle verwalteten Schlüssel verwendet. Diese Einstellungen werden in vom Kunden verwaltete Schlüssel in OKV geändert, nachdem diese erforderlichen Schritte abgeschlossen sind. Die vom Kunden verwalteten Schlüssel werden beim Instanz-Provisioning deaktiviert. Weitere Informationen finden Sie unter Verschlüsselungsschlüssel von Kunden in einer autonomen KI-Datenbank mit Oracle Key Vault verwenden.
-
-
Stellen Sie eine Verbindung zur Instanz der autonomen KI-Datenbank her, und erstellen Sie ein Verzeichnis für das OKV-Wallet.
-
Stellen Sie als ADMIN-Benutzer eine Verbindung zur autonomen KI-Datenbankinstanz des privaten Endpunkts her.
Beispiel: Melden Sie sich bei der Datenbankinstanz OKVDEMO1 an:
<pre class="copy"><code>SQL> connect ADMIN/*<password>*@OKVDEMO1_low</code></pre> -
Erstellen Sie ein Verzeichnisobjekt in der Instanz der autonomen KI-Datenbank.
Beispiel:
<pre class="copy"><code>SQL> create directory okv_dir as 'okvdir';</code></pre> -
Prüfen Sie, ob das Verzeichnis erstellt wurde.
Beispiel: Die folgenden Anweisungen erstellen das Verzeichnisobjekt
OKV_DIR, und die Anweisungsergebnisse zeigen den Verzeichnisnamen (OKV_DIR) und den Verzeichnispfad (/u03/dbfs/<path data>/data/okvdir) an.<pre class="copy"><code>SQL> connect ADMIN/<*admin password*>#@OKVDEMO1_low Connected SQL> SQL> create directory okv_dir as 'okvdir'; Directory created. SQL> select * from dba_directories where directory_name = 'OKV_DIR'; OWNER --------------------------------------------------------------------- DIRECTORY_NAME --------------------------------------------------------------------- DIRECTORY_PATH --------------------------------------------------------------------- ORIGIN_CON_ID ------------- SYS OKV_DIR /u03/dbfs/<*path data*>/data/okvdir SQL></code></pre>
-
-
Laden Sie das Endpunkt-Wallet in das Verzeichnisobjekt herunter, das in der Instanz der autonomen KI-Datenbank erstellt wurde. Dieses Wallet ist nicht das virtuelle TDE-Wallet in OKV, das den TDE-Masterverschlüsselungsschlüssel enthält. Dieses Wallet enthält die erforderlichen Zertifikate, um eine mTLS 1.2-Verbindung zwischen OKV und der autonomen AI-Datenbank herzustellen.
-
Laden Sie das Wallet für den Endpunkt aus der OKV-Instanz herunter.
Führen Sie den folgenden Befehl von einer Compute-Instanz aus, die sich im selben Netzwerk wie OKV befindet:
<pre class="copy"><code>curl -k -X POST --location https**:**//*OKV server*:5695/okv/cloud/utility/endpoint/download/sso --data "token=*Enrollment Token*" --output cwallet.sso</code></pre>Dabei gilt:
-
OKV serverist der interne vollqualifizierte Domainname (FQDN) oder die private IP-Adresse. Wenn Sie eine OCI-VM zum Hosten von OKV verwenden, kann dieser Wert auf der Seite mit den OCI-OKV-Instanzdetails auf der Registerkarte Networking unter "Primäre VNIC" abgerufen werden. -
Enrollment Tokenist das Registrierungstoken für den Endpunkt, der auf der Seite "Endpunkte" gefunden wird.
Beispiel:
<pre class="copy"><code>$ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso --data "token=H5r8NzqxopYOgkZC" --output cwallet.sso % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 3697 100 3675 100 22 2157 12 0:00:01 0:00:01 --:--:-- 2172 ls -altr ./cwallet.sso -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso</code></pre>Nachdem das Wallet heruntergeladen wurde, ändert sich der Endpunkt in der OKV-Instanz von REGISTERED in ENROLLED.
-
-
Laden Sie das Wallet in Object Storage hoch.
Laden Sie die Wallet-Datei mit "Objekt hochladen" von Ihrem lokalen Rechner in den Objektspeicher-Bucket hoch. Weitere Informationen finden Sie unter Objekt in einen Bucket hochladen.
-
Generieren Sie in Object Storage eine URL für vorab authentifizierte Anforderungen (PAR) für die hochgeladene Wallet-Datei. Weitere Informationen finden Sie unter Vorab authentifizierte Anforderung in Object Storage erstellen.
-
Melden Sie sich von der VM aus als ADMIN-Benutzer bei der Datenbankinstanz an.
-
Führen Sie in der Datenbankinstanz die Prozedur
DBMS_CLOUD.GET_OBJECTaus, um das Wallet aus Object Storage in das Wallet-Verzeichnis der Datenbankinstanz herunterzuladen.Beispiel:
<pre class="copy"><code>BEGIN DBMS_CLOUD.GET_OBJECT( object_uri => '*<PAR URL>*', directory_name => '*<wallet_dir>*'); END; /</code></pre>-
Dabei gilt:
-
object_uriist die PAR-URL, die für die Wallet-Datei in Object Storage generiert wurde. -
directory_nameist der Name des in der Datenbankinstanz erstellten Wallet-Verzeichnisses.
Weitere Informationen finden Sie unter GET_OBJECT-Prozedur und -Funktion.
-
-
-
Wallet aus Object Storage löschen
-
-
Kopieren Sie den Wert Eindeutige ID aus der Spalte Details aus dem Wallet-Content.
-
Extrahieren Sie den Zertifikat-DN.
Führen Sie den folgenden Befehl aus, um den Zertifikat-DN abzurufen:
<pre class="copy"><code>$ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'</code></pre> Output <pre class="copy"><code>CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us</code></pre>Hier ist CN der Zertifikats-DN.
Alternativ können Sie die Zertifikats-DN-Details von der OKV-Konsole abrufen.
-
Melden Sie sich bei der OKV-Instanz an, und klicken Sie auf die Registerkarte System.
-
Klicken Sie im linken Navigationsbereich unter "System" auf Einstellungen.
-
Klicken Sie unter Zertifikate auf Servicezertifikate.
-
Suchen Sie im Abschnitt Aktuelles CA-Zertifikat nach Common Name (Zertifikat-DN), und verwenden Sie diesen Wert als Zertifikats-DN, anstatt den obigen Befehl
opensslauszuführen.
-
-
Vom Kunden verwaltete Verschlüsselungsschlüssel in einer autonomen KI-Datenbank mit Oracle Key Vault verwenden
Zeigt die Schritte zur Verschlüsselung Ihrer autonomen KI-Datenbank mit vom Kunden verwalteten Masterverschlüsselungsschlüsseln an, die sich in Oracle Key Vault (OKV) befinden.
Führen Sie die folgenden Schritte aus:
-
Führen Sie die erforderlichen vom Kunden verwalteten Verschlüsselungsschlüsselvoraussetzungsschritte nach Bedarf aus. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Oracle Key Vault.
-
Klicken Sie auf der Seite Details für die Instanz der autonomen KI-Datenbank auf Weitere Aktionen, und wählen Sie Verschlüsselungsschlüssel verwalten aus.

Beschreibung der Abbildung sec_okv_manage.png
Hinweis
Hinweis: Wenn Sie bereits vom Kunden verwaltete Schlüssel in OKV verwenden und die TDE-Schlüssel rotieren möchten, führen Sie diese Schritte aus, und wählen Sie einen anderen Schlüssel aus (wählen Sie einen anderen Schlüssel aus als den aktuell ausgewählten Masterverschlüsselungsschlüssel). Sie können jedoch keinen OKV-Schlüssel verwenden, der zuvor auf derselben Instanz der autonomen KI-Datenbank verwendet wurde. -
Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.
-
Wählen Sie in der Dropdown-Liste Schlüsseltyp die Option Oracle Key Vault (OKV) aus.
Im Dialogfeld "Verschlüsselungsschlüssel verwalten" werden die Oracle Key Vault-(OKV-)Optionen angezeigt.

-
Geben Sie folgende Informationen ein:
-
OKV-UUID: Geben Sie die eindeutige ID des TDE-Masterschlüssels für den Schlüssel in der OKV-Instanz ein.
So suchen Sie nach diesem Wert:
-
Melden Sie sich bei der OKV-Instanz an, und wählen Sie Schlüssel und Wallets aus.
-
Klicken Sie auf den Namen des Standard-Wallets für den Endpunkt der autonomen KI-Datenbank.
-
Scrollen Sie zu Wallet-Inhalt, und kopieren Sie die eindeutige ID aus der Spalte Details.
Beispiel:
<pre class="copy"><code>BC63511B-4B4A-411C-A71C-4AA90005F632 OKV Server URI: ok Certificate DN:</code></pre> Click the endpoint name, then click the green **Download (PEM format)**; this downloads the "CA.pem" to your computer. Extract the certificate DN with a command such as: <pre class="copy"><code>$ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'</code></pre>Beispiel:
<pre class="copy"><code>CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us</code></pre> -
Klicken Sie auf den Namen des Standard-Wallets für den Endpunkt der autonomen KI-Datenbank.
-
Scrollen Sie zu Zugriff auf Wallet-Inhalt, und kopieren Sie die eindeutige ID.

-
Fügen Sie die eindeutige ID in das Feld OKV-UUID ein.
- OKV-Server-URI - Geben Sie den internen vollqualifizierten Domainnamen oder die private IP ein, die auf der Detailseite der OKV-Instanz gefunden wurde.
Beispiel: Wenn Sie eine OCI-VM zum Hosten von OKV verwenden, finden Sie diesen Wert auf der Detailseite der OKV-Instanz unter Primäre VNIC:

Beschreibung der Abbildung sec_okv_fqdn.png
-
Zertifikat-DN - Geben Sie den Distinguished Name (DN) des Zertifikats ein.
-
Zertifikats-ID (Optional) - Geben Sie Ihre Zertifikats-ID ein, oder lassen Sie das Feld leer.
Hinweis
Hinweis: Dieses Feld ist optional, wenn Sie OKV-Versionen 21.9 und höher verwenden. Wenn Sie OKV-Versionen unter 21.9 verwenden, ist die Zertifikats-ID erforderlich. -
Verzeichnisname: Geben Sie den Verzeichnisnamen ein, in dem das Wallet in der Instanz der autonomen KI-Datenbank gespeichert wird.
-
-
-
Klicken Sie auf Speichern.
Wenn der Speichervorgang erfolgreich abgeschlossen wurde, werden die Verschlüsselungseinstellungen für die Instanz der autonomen KI-Datenbank aktualisiert, sodass vom Kunden verwalteter Schlüssel (Oracle Key Vault (OKV)) angezeigt wird, und der Status der Arbeitsanforderung wird als erfolgreich angezeigt.

Weitere Informationen finden Sie unter Hinweise zur Verwendung von vom Kunden verwalteten Schlüsseln mit autonomen KI-Datenbanken.