Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in Autonomous Database in OCI Vault

Führen Sie die folgenden erforderlichen Schritte aus, um vom Kunden verwaltete Schlüssel in Autonomous Database in OCI Vault zu verwenden:

  1. Erstellen Sie einen Oracle Cloud Infrastructure Vault.
    1. Öffnen Sie die Oracle Cloud Infrastructure-Konsole, indem Sie neben Oracle Cloud auf Navigationssymbol klicken.
    2. Klicken Sie im linken Navigationsmenü von Oracle Cloud Infrastructure auf Identität und Sicherheit.
    3. Klicken Sie unter Key Management und Secret Management auf Vault.
    4. Wählen Sie einen vorhandenen Vault, oder erstellen Sie einen neuen Vault.

      Weitere Informationen finden Sie unter Vault erstellen.

  2. Erstellen Sie im Vault einen Masterverschlüsselungsschlüssel.
    Hinweis

    Beim Erstellen des Schlüssels müssen Sie die folgenden Optionen verwenden:
    • Schlüsselausprägung: Algorithmus: AES (symmetrischer Schlüssel für Ver- und Entschlüsselung)

    • Schlüsselform: Länge: 256 Bit

    Weitere Informationen finden Sie unter Masterverschlüsselungsschlüssel erstellen und Überblick über Key Management.

  3. Erstellen Sie dynamische Gruppen- und Policy-Anweisungen für die dynamische Gruppe, um den Zugriff auf Oracle Cloud Infrastructure-Ressourcen (Vaults und Schlüssel) zu ermöglichen.
    Dieser Schritt hängt davon ab, ob sich der Vault auf demselben Mandanten wie die Autonomous Database-Instanz oder auf einem anderen Mandanten befindet:

Sie müssen den Vault und die Schlüssel replizieren, um vom Kunden verwaltete Verschlüsselungsschlüssel mit Autonomous Data Guard mit einer Remotestandbydatenbank zu verwenden. Vom Kunden verwaltete Verschlüsselungsschlüssel werden nur mit einer einzelnen regionsübergreifenden Autonomous Data Guard-Standbydatenbank unterstützt. Mehrere regionsübergreifende Standbydatenbanken werden nicht unterstützt, da Oracle Cloud Infrastructure Vault nur die Replikation in einer Remoteregion unterstützt.

In den folgenden Themen finden Sie weitere Informationen:

Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault im selben Mandanten wie Datenbank erstellen

Erstellen Sie eine dynamische Gruppe und Policys, um Zugriff auf den Vault und die Schlüssel für vom Kunden verwaltete Schlüssel zu erteilen, wenn sich der Vault und die Schlüssel in demselben Mandanten wie die Autonomous Database-Instanz befinden.

  1. Erstellen Sie eine dynamische Gruppe, um den Masterverschlüsselungsschlüssel für die Autonomous Database-Instanz zugänglich zu machen.
    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität & Sicherheit.
    2. Klicken Sie unter Identität auf Domains, und wählen Sie eine Identitätsdomain aus (oder erstellen Sie eine neue Identitätsdomain).
    3. Klicken Sie unter Identitätsdomain auf Dynamische Gruppen.
    4. Klicken Sie auf Dynamische Gruppe erstellen, und geben Sie einen Namen, eine Beschreibung und eine Regel ein.
      • Dynamische Gruppe für eine vorhandene Datenbank erstellen:

        Sie können angeben, dass eine Autonomous Database-Instanz Teil der dynamischen Gruppe ist. Die dynamische Gruppe im folgenden Beispiel enthält nur die Autonomous Database, deren OCID im Parameter resource.id angegeben ist:

        resource.id = '<your_Autonomous_Database_instance_OCID>'
      • Dynamische Gruppe für eine Datenbank erstellen, die noch nicht bereitgestellt wurde:

        Wenn Sie die dynamische Gruppe erstellen, bevor Sie eine Autonomous Database-Instanz bereitstellen oder klonen, ist die OCID für die neue Datenbank noch nicht verfügbar. Erstellen Sie in diesem Fall eine dynamische Gruppe, in der die Ressourcen in einem bestimmten Compartment angegeben werden:

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Klicken Sie auf Erstellen.
  2. Schreiben Sie Policy-Anweisungen für die dynamische Gruppe, um den Zugriff auf Oracle Cloud Infrastructure-Ressourcen (Vaults und Schlüssel) zu ermöglichen.
    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität & Sicherheit und anschließend auf Policys.
    2. Um Policys für eine dynamische Gruppe zu schreiben, klicken Sie auf Policy erstellen, und geben Sie einen Namen und eine Beschreibung ein,
    3. Verwenden Sie Policy Builder, um eine Policy für Vault und Schlüssel im lokalen Mandanten zu erstellen.

      Beispiel: Mit der folgenden Option können die Mitglieder der dynamischen Gruppe DGKeyCustomer1 auf die Vaults und Schlüssel im Compartment training zugreifen:

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Diese Beispiel-Policy gilt für ein einzelnes Compartment. Sie können angeben, dass eine Policy für Ihren Mandanten, ein Compartment, eine Ressource oder eine Gruppe von Ressourcen gilt.

      Um vom Kunden verwaltete Schlüssel mit Autonomous Data Guard mit einer Remotestandbydatenbank zu verwenden, ist auch die folgende Policy erforderlich:

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Klicken Sie auf Erstellen, um die Policy zu speichern.

Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault in einem anderen Mandanten als der Datenbank erstellen

Führen Sie diese Schritte aus, um vom Kunden verwaltete Schlüssel zu verwenden, wenn sich die Autonomous Database-Instanz sowie Vaults und Schlüssel in verschiedenen Mandanten befinden.

In diesem Fall müssen Sie OCID-Werte angeben, wenn Sie zu vom Kunden verwalteten Schlüsseln wechseln. Darüber hinaus müssen Sie dynamische Gruppen und Policys definieren, mit denen die Autonomous Database-Instanz Vaults und Schlüssel in einem anderen Mandanten verwenden kann.

  1. Kopieren Sie die Masterverschlüsselungsschlüssel-OCID.
  2. Kopieren Sie die Vault-OCID.
  3. Kopieren Sie die Mandanten-OCID (den Remotemandanten, der Vaults und Schlüssel enthält).
  4. Erstellen Sie im Mandanten mit der Autonomous Database-Instanz eine dynamische Gruppe.
    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole im Mandanten mit der Autonomous Database-Instanz auf Identität und Sicherheit.
    2. Klicken Sie unter Identität auf Domains, und wählen Sie eine Identitätsdomain aus (oder erstellen Sie eine neue Identitätsdomain).
    3. Klicken Sie unter Identitätsdomain auf Dynamische Gruppen.
    4. Klicken Sie auf Dynamische Gruppe erstellen, und geben Sie einen Namen, eine Beschreibung und eine Regel ein.
      • Dynamische Gruppe für eine vorhandene Datenbank erstellen:

        Sie können angeben, dass eine Autonomous Database-Instanz Teil der dynamischen Gruppe ist. Die dynamische Gruppe im folgenden Beispiel enthält nur die Autonomous Database, deren OCID im Parameter resource.id angegeben ist:

        resource.id = '<your_Autonomous_Database_instance_OCID>'
      • Dynamische Gruppe für eine Datenbank erstellen, die noch nicht bereitgestellt wurde:

        Wenn Sie die dynamische Gruppe erstellen, bevor Sie eine Autonomous Database-Instanz bereitstellen oder klonen, ist die OCID für die neue Datenbank noch nicht verfügbar. Erstellen Sie in diesem Fall eine dynamische Gruppe, in der die Ressourcen in einem bestimmten Compartment angegeben werden:

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Klicken Sie auf Erstellen.
  5. Definieren Sie im Mandanten mit der Autonomous Database-Instanz die Policys, um den Zugriff auf Vaults und Schlüssel zuzulassen (wo sich die Vaults und Schlüssel in einem anderen Mandanten befinden).
    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität & Sicherheit.
    2. Klicken Sie unter Identität auf Policys.
    3. Um eine Policy zu schreiben, klicken Sie auf Policy erstellen.
    4. Geben Sie auf die Seite "Policy erstellen" einen Namen sowie eine Beschreibung ein.
    5. Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen.
    6. Fügen Sie im Policy Builder Policys hinzu, damit die Autonomous Database-Instanz auf Vaults und Schlüssel im verschiedenen Mandanten zugreifen kann. Fügen Sie außerdem Policys für die IAM-Gruppe hinzu, zu der der IAM-Benutzer gehört, damit die Oracle Cloud Infrastructure-Konsole für die Autonomous Database-Instanz Details zu dem Schlüssel anzeigen kann, der sich in einem anderen Mandanten befindet.

      Beispiel: Rufen Sie in der generischen Policy den Mandanten mit der Autonomous Database-Instanz Tenancy-1 und dem Mandanten mit Vaults und Schlüsseln, Tenancy-2, auf:

      Kopieren Sie die folgende Policy, und ersetzen Sie die Variablen und Namen durch die von Ihnen definierten Werte, wobei der dynamische Gruppenname ADB-DynamicGroup die dynamische Gruppe ist, die Sie in Schritt 4 erstellt haben:

      define tenancy REMTEN as <ocid of tenancy-2>
      endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
      endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
      endorse group MyUserGroup to use vaults in tenancy REMTEN
      endorse group MyUserGroup to use keys in tenancy REMTEN

      Beispiel: Mit der folgenden Option können die Mitglieder der dynamischen Gruppe DGKeyCustomer1 auf die Remote-Vaults und -Schlüssel im Mandanten training2 zugreifen:

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
      endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
      endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
      endorse group MyUserGroup to use vaults in tenancy training2
      endorse group MyUserGroup to use keys in tenancy training2
    7. Klicken Sie auf Erstellen, um die Policy zu speichern.
  6. Kopieren Sie die Mandanten-OCID (den Mandanten, der die Autonomous Database-Instanz enthält).
  7. Kopieren Sie die OCID der dynamischen Gruppe (für die dynamische Gruppe, die Sie in Schritt 4 erstellt haben).
  8. Definieren Sie im Remotemandanten mit Vaults und Schlüsseln eine dynamische Gruppe und Policys, damit die Autonomous Database-Instanz auf Vaults und Schlüssel zugreifen kann.
    1. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Identität & Sicherheit.
    2. Klicken Sie unter Identität auf Policys.
    3. Um eine Policy zu erstellen, klicken Sie auf Policy erstellen.
    4. Geben Sie auf die Seite "Policy erstellen" einen Namen sowie eine Beschreibung ein.
    5. Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen.
    6. Fügen Sie im Policy Builder Policys und eine dynamische Gruppe hinzu, um Zugriff auf die dynamische Gruppe im Mandanten mit der Autonomous Database-Instanz (Mandant-1) zu erteilen, sodass die Autonomous Database-Instanz die Vaults und Schlüssel in Mandant-2 verwenden kann. Außerdem müssen Sie Policys hinzufügen, damit die Benutzergruppe auf den Vault und die Schlüssel zugreifen kann, um Informationen in der Oracle Cloud Infrastructure-Konsole für die Autonomous Database-Instanz in einem anderen Mandanten anzuzeigen.

      Erstellen Sie mit Policy Builder eine dynamische Gruppe und eine Policy für Vaults und Schlüssel.

      define tenancy ADBTEN as <ocid of tenancy-1>
      define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
      define group REMGROUP as <group-ocid> 
      admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
      admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
      admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
      admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Beispiel: Definieren Sie im Remotemandanten Folgendes, damit die Mitglieder der dynamischen Gruppe DGKeyCustomer1 und der Gruppe REMGROUP auf die Remote-Vaults und -Schlüssel im Mandanten training2 zugreifen können:

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
      define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
      define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
      admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
      admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
      admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
      admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Klicken Sie auf Erstellen, um die Policy zu speichern.