Oracle Cloud Infrastructure-Dokumentation

Vom Kunden verwalteten Verschlüsselungsschlüssel in einem Remotemandanten verwenden

Zeigt die Schritte zum Auswählen von vom Kunden verwalteten Masterverschlüsselungsschlüsseln aus einem Vault in einem Remotemandanten an.

Wenn Sie vom Kunden verwaltete Masterverschlüsselungsschlüssel mit einem Vault in einem Remotemandanten verwenden, müssen sich der Vault und die Instanz der autonomen KI-Datenbank in derselben Region befinden. Um den Mandanten zu ändern, klicken Sie auf der Anmeldeseite auf Mandanten ändern. Nachdem Sie den Mandanten geändert haben, müssen Sie dieselbe Region sowohl für den Vault als auch für die Instanz der autonomen KI-Datenbank auswählen.

  1. Führen Sie die erforderlichen vom Kunden verwalteten Verschlüsselungsschlüsselvoraussetzungsschritte nach Bedarf aus. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln in einer autonomen KI-Datenbank in OCI Vault.
  2. Wählen Sie auf der Seite Details aus der Dropdown-Liste Weitere Aktionen die Option Verschlüsselungsschlüssel verwalten aus.
  3. Wählen Sie auf der Seite Verschlüsselungsschlüssel verwalten die Option Mit einem vom Kunden verwalteten Schlüssel verschlüsseln aus.

    Wenn Sie bereits vom Kunden verwaltete Schlüssel verwenden und die TDE-Schlüssel rotieren möchten, führen Sie diese Schritte aus, und verwenden Sie eine andere Schlüssel-OCID mit derselben Vault-OCID, oder verwenden Sie eine neue Vault-OCID und eine neue Schlüssel-OCID. Auf diese Weise können Sie einen Schlüssel verwenden, der sich vom aktuellen Masterverschlüsselungsschlüssel unterscheidet.

  4. Wählen Sie unter Schlüsseltyp die Option Oracle aus.
  5. Klicken Sie unter Schlüsselspeicherort auf Unterschiedlicher Mandant.
  6. Geben Sie eine Remotemandanten-Vault-OCID ein.
  7. Geben Sie eine Masterverschlüsselungsschlüssel-OCID für den Remotemandanten ein.
  8. Klicken Sie auf Speichern.

Der Lebenszyklusstatus ändert sich in Wird aktualisiert. Wenn die Anforderung abgeschlossen ist, wird im Lebenszyklusstatus Verfügbar angezeigt.

Nachdem die Anforderung abgeschlossen ist, werden die Schlüsselinformationen in der Oracle Cloud Infrastructure-Konsole auf der Seite "Autonomous Database-Informationen" unter der Überschrift Verschlüsselung angezeigt. In diesem Bereich wird das Feld Verschlüsselungsschlüssel mit einem Link zum Masterverschlüsselungsschlüssel und das Feld Verschlüsselungsschlüssel-OCID mit der Masterverschlüsselungsschlüssel-OCID angezeigt.

  • BYOK (Bring Your Own Key) im Vault-Service verwenden
    Wenn Sie einen vom Kunden verwalteten Schlüssel mit dem OCI Vault-Service erstellen, können Sie auch Ihr eigenes Schlüsselmaterial (Bring Your Own Key oder BYOK) importieren, anstatt dass der Vault-Service das Schlüsselmaterial intern generiert.

Übergeordnetes Thema: Masterverschlüsselungsschlüssel in OCI Vault verwalten

Bring Your Own Keys (BYOK) im Vault-Service verwenden

Wenn Sie einen vom Kunden verwalteten Schlüssel mit dem OCI Vault-Service erstellen, können Sie auch Ihr eigenes Schlüsselmaterial (Bring Your Own Key oder BYOK) importieren, anstatt dass der Vault-Service das Schlüsselmaterial intern generiert.

Bevor Sie Ihre eigenen Schlüssel in den Vault-Service verwenden können, müssen Sie mehrere vorbereitende Konfigurationsaufgaben ausführen, um einen Tresor zu erstellen und den Masterverschlüsselungsschlüssel zu importieren und diesen Tresor und seine Schlüssel dann in Autonomous Database verfügbar zu machen, insbesondere:
  1. Erstellen sie einen vault im Vault-Service, indem sie die anweisungen unter So erstellen Sie einen neu Vault befolgen.
    Nach dem Erstellen des Vaults können Sie mindestens einen Masterverschlüsselungsschlüssel im Vault erstellen. Befolgen Sie dazu die Anweisungen in So erstellen Sie einen neuen Masterverschlüsselungsschlüssel. Sie können auch einen Kundenverschlüsselungsschlüssel in einen vorhandenen Vault importieren. Wählen Sie beim Befolgen dieser Anweisungen die folgenden Optionen aus:
    • Erstellen in Compartment: Oracle empfiehlt, dass Sie den Masterverschlüsselungsschlüssel in demselben Compartment wie den Vault erstellen, d.h. das Compartment, das speziell für die Vaults mit vom Kunden verwalteten Schlüsseln erstellt wurde.
    • Schutzmodus: Wählen Sie einen geeigneten Wert in der Dropdown-Liste aus:
      • HSM zur Erstellung eines Masterverschlüsselungsschlüssels, der in einem Hardwaresicherheitsmodul (HSM) gespeichert und verarbeitet wird.
      • Software zur Erstellung eines Masterverschlüsselungsschlüssels, der in einem Softwaredateisystem im Vault-Service gespeichert wird. Softwaregeschützte Schlüssel werden mit einem HSM-basierten Root-Schlüssel im Ruhezustand geschützt. Sie können Softwareschlüssel in andere Schlüsselverwaltungsgeräte oder eine andere OCI-Cloud-Region exportieren. Im Gegensatz zu HSM-Schlüsseln sind softwaregeschützte Schlüssel kostenlos.
    • Schlüsselformalgorithmus: AES
    • Schlüsselformlänge: 256 Bit
    • Externen Schlüssel importieren: Um einen Kundenverschlüsselungsschlüssel (BYOK) zu verwenden, wählen Sie Externen Schlüssel importieren aus, und geben Sie die folgenden Details an:
      • Wrapping-Schlüsselinformationen. Dieser Abschnitt ist schreibgeschützt, Sie können jedoch die Details des öffentlichen Wrapping Keys anzeigen.
      • Wrapping-Algorithmus. Wählen Sie einen Wrapping-Algorithmus aus der Dropdown-Liste aus.
      • Datenquelle für externen Schlüssel. Laden Sie die Datei hoch, die das gewrappte RSA-Schlüsselmaterial enthält.
    Hinweis

    Sie können das Schlüsselmaterial entweder als neue externe Schlüsselversion importieren oder auf den Namen eines vorhandenen Masterverschlüsselungsschlüssels klicken und mit einer neuen Schlüsselversion rotieren.
  2. Mit dem IAM-Service können Sie eine dynamische Gruppe erstellen und eine Policy definieren, die Ihrer autonomen AI-Datenbankinstanz Zugriff auf den von Ihnen erstellten Masterverschlüsselungsschlüssel erteilt.

Weitere Informationen finden Sie unter Schlüsselmaterial als externe Schlüsselversion importieren.