Voraussetzungen für die Verwendung kundenverwalteter Verschlüsselungsschlüssel in Autonomous Database in OCI Vault

Führen Sie die folgenden erforderlichen Schritte aus, um vom Kunden verwaltete Schlüssel in Autonomous Database in OCI Vault zu verwenden:

Erstellen Sie einen Oracle Cloud Infrastructure Vault.
1. Um die Oracle Cloud Infrastructure-Konsole zu öffnen, klicken Sie neben "Oracle Cloud" auf .
2. Klicken Sie im linken Oracle Cloud Infrastructure-Navigationsmenü auf Identität und Sicherheit.
3. Klicken Sie unter Key Management & Secret Management auf Vault.
4. Wählen Sie einen vorhandenen Vault aus, oder erstellen Sie einen neuen Vault.
  
  Weitere Details finden Sie unter Vault erstellen.
Master-Verschlüsselungsschlüssel im Vault erstellen.
Hinweis

Beim Erstellen des Schlüssels müssen Sie die folgenden Optionen verwenden:
- Schlüsselform: Algorithmus: AES (für Ver- und Entschlüsselung verwendeter symmetrischer Schlüssel)
- Schlüsselform: Länge: 256 Bit
Weitere Informationen finden Sie unter Masterschlüsselungsschlüssel erstellen und Überblick über Key Management.
Beschreibung der Abbildung adb_security_vault_key.png
Erstellen Sie dynamische Gruppen- und Policy-Anweisungen für die dynamische Gruppe, um den Zugriff auf Oracle Cloud Infrastructure-Ressourcen (Vaults und Schlüssel) zu ermöglichen.
Dieser Schritt hängt davon ab, ob sich der Vault auf demselben Mandanten wie die Autonomous Database-Instanz oder auf einem anderen Mandanten befindet:
- Vault und Schlüssel befinden sich in demselben Mandanten wie die Autonomous Database-Instanz. Weitere Informationen finden Sie unter Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault im selben Mandanten wie die Datenbank erstellen.
- Vault und Schlüssel befinden sich in einem anderen Mandanten. Weitere Informationen finden Sie unter Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault in einem anderen Mandanten als der Datenbank erstellen.

Sie müssen den Vault und die Schlüssel replizieren, um vom Kunden verwaltete Verschlüsselungsschlüssel mit Autonomous Data Guard mit einer Remote-Standbydatenbank zu verwenden. Kundenverwaltete Verschlüsselungsschlüssel werden nur bei einer einzelnen regionsübergreifenden Autonomous Data Guard-Standby unterstützt. Mehrere regionsübergreifende Standbys werden nicht unterstützt, da Oracle Cloud Infrastructure Vault die Replikation nur in einer Remoteregion unterstützt.

In den folgenden Themen finden Sie weitere Informationen:

Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault im selben Mandanten wie die Datenbank erstellen
Erstellen Sie dynamische Gruppen und Policys, um Zugriff auf den Vault und die Schlüssel für vom Kunden verwaltete Schlüssel zu erteilen, wenn sich der Vault und die Schlüssel in demselben Mandanten wie die Autonomous Database-Instanz befinden.
Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault in einem anderen Mandanten als die Datenbank erstellen
Führen Sie diese Schritte aus, um vom Kunden verwaltete Schlüssel zu verwenden, wenn sich die Autonomous Database-Instanz sowie Vaults und Schlüssel in verschiedenen Mandanten befinden.

Übergeordnetes Thema: Masterverschlüsselungsschlüssel in OCI Vault verwalten

Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault im selben Mandanten wie Datenbank erstellen

Erstellen Sie dynamische Gruppen und Policys, um Zugriff auf den Vault und die Schlüssel für vom Kunden verwaltete Schlüssel zu erteilen, wenn sich der Vault und die Schlüssel im selben Mandanten wie die Autonomous Database-Instanz befinden.

Erstellen Sie eine dynamische Gruppe, um den Masterverschlüsselungsschlüssel für die Autonomous Database-Instanz freizugeben.
1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
2. Klicken Sie unter Identität auf Domains, und wählen Sie eine Identitätsdomain aus (oder erstellen Sie eine neue Identitätsdomain).
3. Klicken Sie unter Identitätsdomain auf Dynamische Gruppen.
4. Klicken Sie auf dynamische Gruppe erstellen, und geben Sie einen Namen, eine Beschreibung und eine Regel ein.
  - Dynamische Gruppe für eine vorhandene Datenbank erstellen:
    
    Sie können angeben, dass eine Autonomous Database-Instanz Teil der dynamischen Gruppe ist. Die dynamische Gruppe im folgenden Beispiel enthält nur die Autonomous Database-Instanz, deren OCID im Parameter resource.id angegeben ist:
```
resource.id = '<your_Autonomous_Database_instance_OCID>'
```
  - Erstellen Sie eine dynamische Gruppe für eine Datenbank, die noch nicht durch Provisioning bereitgestellt wurde:
    
    Wenn Sie die dynamische Gruppe erstellen, bevor Sie eine Autonomous Database-Instanz bereitstellen oder klonen, ist die OCID für die neue Datenbank noch nicht verfügbar. Erstellen Sie in diesem Fall eine dynamische Gruppe, in der die Ressourcen in einem bestimmten Compartment angegeben werden:
```
resource.compartment.id = '<your_Compartment_OCID>'
```
5. Klicken Sie auf Erstellen.
Schreiben Sie Policy-Anweisungen für die dynamische Gruppe, um den Zugriff auf Oracle Cloud Infrastructure-Ressourcen (Vults und Schlüssel) zu ermöglichen.
1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit und dann auf Policys.
2. Um Policys für eine dynamische Gruppe zu schreiben, klicken Sie auf Policy erstellen, und geben Sie einen Namen und eine Beschreibung ein.
3. Mit Policy Builder können Sie eine Policy für Vault und Schlüssel im lokalen Mandanten erstellen.
  Beispiel: Der folgende Befehl ermöglicht den Mitgliedern der dynamischen Gruppe DGKeyCustomer1 den Zugriff auf die Vaults und Schlüssel im Compartment training:
```
Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training
```
  Diese Beispiel-Policy gilt für ein einzelnes Compartment. Sie können angeben, dass eine Policy für Ihren Mandanten, ein Compartment, eine Ressource oder eine Ressourcengruppe gilt.
  
  Um vom Kunden verwaltete Schlüssel mit Autonomous Data Guard mit einer Remotestandbydatenbank zu verwenden, ist auch die folgende Policy erforderlich:
```
Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
```
4. Klicken Sie auf Erstellen, um die Policy zu speichern.
In den folgenden Themen finden Sie weitere Informationen:

Übergeordnetes Thema: Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Autonomous Database in OCI Vault

Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault in einem anderen Mandanten als der Datenbank erstellen

Führen Sie diese Schritte aus, um vom Kunden verwaltete Schlüssel zu verwenden, wenn sich die Autonomous Database-Instanz und die Vaults und Schlüssel in verschiedenen Mandanten befinden.

In diesem Fall müssen Sie OCID-Werte angeben, wenn Sie zu vom Kunden verwalteten Schlüsseln wechseln. Darüber hinaus müssen Sie dynamische Gruppen und Policys definieren, mit denen die Autonomous Database-Instanz Vaults und Schlüssel in einem anderen Mandanten verwenden kann.

Kopieren Sie die Master-Verschlüsselungsschlüssel-OCID.
Kopieren Sie die Vault-OCID.
Kopieren Sie die Mandanten-OCID (den Remotemandanten, der Vaults und Schlüssel enthält).
Erstellen Sie im Mandanten mit der Autonomous Database-Instanz eine dynamische Gruppe.
1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole im Mandanten mit der Autonomous Database-Instanz auf Identität und Sicherheit.
2. Klicken Sie unter Identität auf Domains, und wählen Sie eine Identitätsdomain aus (oder erstellen Sie eine neue Identitätsdomain).
3. Klicken Sie unter Identitätsdomain auf Dynamische Gruppen.
4. Klicken Sie auf dynamische Gruppe erstellen, und geben Sie einen Namen, eine Beschreibung und eine Regel ein.
  - Dynamische Gruppe für eine vorhandene Datenbank erstellen:
    
    Sie können angeben, dass eine Autonomous Database-Instanz Teil der dynamischen Gruppe ist. Die dynamische Gruppe im folgenden Beispiel enthält nur die Autonomous Database-Instanz, deren OCID im Parameter resource.id angegeben ist:
```
resource.id = '<your_Autonomous_Database_instance_OCID>'
```
  - Erstellen Sie eine dynamische Gruppe für eine Datenbank, die noch nicht durch Provisioning bereitgestellt wurde:
    
    Wenn Sie die dynamische Gruppe erstellen, bevor Sie eine Autonomous Database-Instanz bereitstellen oder klonen, ist die OCID für die neue Datenbank noch nicht verfügbar. Erstellen Sie in diesem Fall eine dynamische Gruppe, in der die Ressourcen in einem bestimmten Compartment angegeben werden:
```
resource.compartment.id = '<your_Compartment_OCID>'
```
5. Klicken Sie auf Erstellen.
Definieren Sie im Mandanten mit der Autonomous Database-Instanz die Policys, um Zugriff auf Vaults und Schlüssel zuzulassen (wo sich die Vaults und Schlüssel in einem anderen Mandanten befinden).
1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
2. Klicken Sie unter Identität auf Policys.
3. Um eine Policy zu schreiben, klicken Sie auf Policy erstellen.
4. Geben Sie auf der Seite "Policy erstellen" einen Namen und eine Beschreibung ein.
5. Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen aus.
  
  Beschreibung der Abbildung adb_keys_create_policy_manual.png
6. Fügen Sie im Policy Builder Policys hinzu, damit die Autonomous Database-Instanz auf Vaults und Schlüssel im verschiedenen Mandanten zugreifen kann. Fügen Sie außerdem Policys für die IAM-Gruppe hinzu, zu der der IAM-Benutzer gehört, damit die Oracle Cloud Infrastructure-Konsole für die Autonomous Database-Instanz Details zum Schlüssel anzeigen kann, der sich in einem anderen Mandanten befindet.
  Beispiel: Rufen Sie in der generischen Policy den Mandanten mit der Autonomous Database-Instanz Tenancy-1 und dem Mandanten mit Vaults und Schlüsseln Tenancy-2 auf:
  
  Kopieren Sie die folgende Policy, und ersetzen Sie die Variablen und Namen durch die von Ihnen definierten Werte. Dabei ist der Name der dynamischen Gruppe ADB-DynamicGroup die dynamische Gruppe, die Sie in Schritt 4 erstellt haben:
```
define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN
```
  Beispiel: Mit dem folgenden Befehl können die Mitglieder der dynamischen Gruppe DGKeyCustomer1 auf die Remote-Vaults und -Schlüssel im Mandanten training2 zugreifen:
```
define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
```
7. Klicken Sie auf Erstellen, um die Policy zu speichern.
Kopieren Sie die Mandanten-OCID (den Mandanten, der die Autonomous Database-Instanz enthält).
Kopieren Sie die OCID der dynamischen Gruppe (für die in Schritt 4 erstellte dynamische Gruppe).
Definieren Sie im Remotemandanten mit Vaults und Schlüsseln eine dynamische Gruppe und Policys, damit die Autonomous Database-Instanz auf Vaults und Schlüssel zugreifen kann.
1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
2. Klicken Sie unter Identität auf Policys.
3. Um eine Policy zu erstellen, klicken Sie auf Policy erstellen.
4. Geben Sie auf der Seite "Policy erstellen" einen Namen und eine Beschreibung ein.
5. Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen aus.
6. Fügen Sie im Policy Builder Policys und eine dynamische Gruppe hinzu, um Zugriff auf die dynamische Gruppe im Mandanten mit der Autonomous Database-Instanz (Mandant-1) zu erteilen, sodass die Autonomous Database-Instanz die Vaults und Schlüssel in Tenancy-2 verwenden kann. Außerdem müssen Sie Policys hinzufügen, damit die Benutzergruppe auf den Vault und die Schlüssel zugreifen kann, um Informationen in der Oracle Cloud Infrastructure-Konsole für die Autonomous Database-Instanz in einem anderen Mandanten anzuzeigen.
  Mit dem Policy Builder können Sie eine dynamische Gruppe und eine Policy für Vaults und Schlüssel erstellen.
```
define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
```
  Beispiel: Definieren Sie im Remotemandanten Folgendes, damit die Mitglieder der dynamischen Gruppe DGKeyCustomer1 und der Gruppe REMGROUP auf die Remote-Vaults und -Schlüssel im Mandanten mit dem Namen training2 zugreifen können:
```
define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
```
7. Klicken Sie auf Erstellen, um die Policy zu speichern.

Übergeordnetes Thema: Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Autonomous Database in OCI Vault

Oracle Cloud Infrastructure-Dokumentation