Oracle Cloud Infrastructure-Dokumentation

Verschlüsselungsschlüssel auf externen Geräten verwalten

Hier erfahren Sie, wie Sie Datenbankverschlüsselungsschlüssel speichern und verwalten.

Es gibt zwei Optionen zum Speichern und Verwalten von Datenbankverschlüsselungsschlüsseln für autonome Datenbanken auf Exadata Cloud@Customer:
  1. In der Gast-VM auf der Exadata-Infrastruktur.
  2. Auf einem externen Schlüsselverwaltungsgerät. Oracle Key Vault ist das aktuell unterstützte Gerät.

Übergeordnetes Thema: Autonomous Database on Exadata Cloud@Customer

Oracle Key Vault

Oracle Key Vault ist eine sicherheitserprobte Full-Stack-Software-Appliance, mit der Sie Schlüssel und Sicherheitsobjekte im Unternehmen zentral verwalten können.

Hinweis

Oracle Key Vault ist ein vom Kunden bereitgestelltes und verwaltetes System, das nicht zu den von Oracle Cloud Infrastructure verwalteten Services gehört.

Überblick über Keystore

Integrieren Sie Ihren On-Premise-Oracle Key Vault (OKV) in vom Kunden verwaltete Datenbank-Cloud-Services, um Ihre kritischen Daten On Premise zu sichern.

Durch die Integration von Oracle Key Vault können Sie Ihre Verschlüsselungsschlüssel vollständig kontrollieren und sicher auf einem externen, zentralisierten Schlüsselverwaltungsgerät speichern.

OKV ist für Oracle-Wallets, Java Keystores und Oracle Advanced Security Transparent Data Encryption-(TDE-)Masterschlüssel optimiert. Oracle Key Vault unterstützt den OASIS KMIP-Standard. Die sichere Full-Stack-Software-Appliance verwendet Oracle Linux und Oracle Database für Sicherheit, Verfügbarkeit und Skalierbarkeit und kann auf kompatibler Hardware Ihrer Wahl bereitgestellt werden.

OKV stellt auch eine REST-Schnittstelle bereit, über die Clients Endpunkte automatisch registrieren und Wallets und Schlüssel einrichten können. Damit autonome Datenbanken auf Exadata Cloud@Customer eine Verbindung zur OKV-REST-Schnittstelle herstellen können, erstellen Sie einen Keystore in Ihrem Mandanten zum Speichern der IP-Adresse und der Administratorzugangsdaten Ihres OKV. Exadata Cloud@Customer speichert das OKV-REST-Benutzeradministratorkennwort, das für die Verbindung zur OKV-Appliance erforderlich ist, vorübergehend in einer kennwortgeschützten Wallet-Datei, damit die in der Kunden-VM ausgeführte Software eine Verbindung zum OKV-Server herstellen kann. Nach der Migration der TDE-Schlüssel zu OKV entfernt die Cloud-Automatisierungssoftware das Kennwort aus der Wallet-Datei. Stellen Sie sicher, dass Sie im Vault-Service von Oracle ein Secret erstellen. Es dient zum Speichern des Kennworts, das für autonome Datenbanken zur Verbindung mit OKV für die Schlüsselverwaltung erforderlich ist.

Weitere Informationen finden Sie unter "Oracle Key Vault".

Erforderliche IAM-Policy zur Verwaltung von OKV auf Oracle Exadata Database Service on Cloud@Customer

Prüfen Sie die IAM-(Identity Access Management-)Policy zur Verwaltung von OKV auf Oracle Exadata Database Service on Cloud@Customer-Systemen.

Eine Policy ist ein IAM-Dokument, das angibt, wer welchen Zugriff auf Ihre Ressourcen hat. Der Begriff hat verschiedene Bedeutungen: Er bezeichnet eine einzelne in der Policy-Sprache geschriebene Anweisung, eine Sammlung von Anweisungen in einem benannten "Policy"-Dokument (dem eine Oracle Cloud-ID (OCID) zugewiesen ist) oder den gesamten Policy-Text, mit dem Ihre Organisation den Zugriff auf Ressourcen steuert.

Ein Compartment ist eine Sammlung aus zusammengehörigen Ressourcen, auf die nur bestimmte Gruppen zugreifen können, denen ein Administrator in Ihrer Organisation eine Berechtigung erteilt hat.

Damit Sie Oracle Cloud Infrastructure verwenden können, müssen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen Policy erhalten, unabhängig davon, ob Sie die Konsole, die REST-API mit einem Software Development Kit (SDK), eine Befehlszeilenschnittstelle (CLI) oder ein anderes Tool verwenden. Wenn Sie beim Versuch, eine Aktion auszuführen, eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollten.

Für Administratoren: Mit der Policy in "Verwalten von DB-Systemen durch Datenbankadministratoren zulassen" kann die angegebene Gruppe alle Vorgänge mit Datenbanken und zugehörigen Datenbankressourcen durchführen.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter "Erste Schritte mit Policys" und "Allgemeine Policys". Wenn Sie mehr über das Verfassen von Policys für Datenbanken erfahren möchten, lesen Sie "Details zum Database-Service".

Ressourcen taggen

Sie können Ihre Ressourcen mit Tags versehen, um sie entsprechend Ihren Geschäftsanforderungen zu organisieren.

Sie können Tags beim Erstellen einer Ressource zuweisen oder die Ressource später mit den gewünschten Tags aktualisieren. Allgemeine Informationen zum Zuweisen von Tags finden Sie unter "Ressourcentags".

Ressourcen in ein anderes Compartment verschieben

Sie können OKV-Vault-, Secret- und Keystore-Ressourcen von einem Compartment in ein anderes verschieben.

Nachdem Sie eine OCI-Ressource in ein neues Compartment verschoben haben, werden sofort inhärente Policys angewendet, die sich auf den Zugriff auf die Ressource auswirken. Das Verschieben einer OKV-Vault-Ressource wirkt sich nicht auf den Zugriff auf OKV-Vault-Schlüssel oder OKV-Vault-Secrets aus, die der OKV-Vault enthält. Sie können einen OKV-Vault-Schlüssel oder OKV-Vault-Secrets unabhängig vom Verschieben des zugehörigen OKV-Vaults von einem Compartment in ein anderes verschieben. Weitere Informationen finden Sie unter Compartments verwalten.

Oracle Exadata Database Service on Cloud@Customer für die Arbeit mit Oracle Key Vault einrichten

Voraussetzungen
  1. OKV ist eingerichtet, und es besteht Netzwerkzugriff über das Exadata-Clientnetzwerk. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, damit die OKV-Clientsoftware und die Oracle-Datenbankinstanz auf den OKV-Server zugreifen können.
  2. Die REST-Schnittstelle ist über die OKV-Benutzeroberfläche aktiviert.
  3. Erstellen Sie den Benutzer "OKV REST Administrator".

    Sie können einen beliebigen qualifizierten Benutzernamen Ihrer Wahl verwenden, z.B. "okv_rest_user". Verwenden Sie für ADB-C@C und ExaDB-C@C denselben oder andere REST-Benutzer. Diese Datenbanken können in demselben oder in verschiedenen On-Premise-OKV-Clustern als Schlüssel verwaltet werden. ExaDB-C@C erfordert einen REST-Benutzer mit der Berechtigung create endpoint. ADB-C@C benötigt einen REST-Benutzer mit den Berechtigungen create endpoint und create endpoint group.

  4. Zugangsdaten des OKV-Administrators und die IP-Adresse für die Verbindung mit OKV liegen vor.

Weitere Informationen finden Sie unter Netzwerkportanforderungen, Oracle Key Vault-Benutzer verwalten und Administrative Rollen und Benutzerberechtigungen verwalten.

Schritt 1: Vault in OKV-Vault-Service erstellen und Secret zum Speichern des OKV-REST-Administratorkennworts hinzufügen

Die Exadata Cloud@Customer-Infrastruktur kommuniziert mit OKV über REST, wenn eine Oracle Database durch Provisioning bereitgestellt wird, um die Oracle Database zu registrieren und ein Wallet auf OKV anzufordern. Daher benötigt die Exadata-Infrastruktur Zugriff auf die REST-Admin-Zugangsdaten, um sich beim OKV-Server zu registrieren.

Diese Zugangsdaten werden sicher im Oracle Vault-Service in OCI als Secret gespeichert und werden von der Exadata Cloud@Customer-Infrastruktur nur bei Bedarf abgerufen. Bei Bedarf werden die Zugangsdaten in einer kennwortgeschützten Wallet-Datei gespeichert.

Um das OKV-Administratorkennwort im OKV Vault-Service zu speichern, erstellen Sie einen Vault. Befolgen Sie dazu die Anweisungen unter Vaults verwalten. Erstellen Sie dann ein Secret in diesem Vault. Befolgen Sie dazu die Anweisungen unter Secrets verwalten.

Schritt 2: Policy-Anweisung zur Verwendung des Secrets aus OKV Vault-Service durch Datenbankservice erstellen

Um dem Exadata-Datenbankservice die Berechtigung zur Verwendung des Secrets in OKV Vault für die Anmeldung bei der OKV-REST-Schnittstelle zu erteilen, navigieren Sie zu einer (oder erstellen Sie eine) IAM-Policy in einem Compartment, das sich in der Compartment-Hierarchie über dem Compartment befindet, das Ihre OKV- Vaults und -Secrets enthält. Fügen Sie dann eine Policy-Anweisung in diesem Format hinzu:
allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

Dabei ist <vaults-and-secrets-compartment> der Name des Compartments, in dem Sie Ihre OKV-Vaults und Secrets erstellt haben.

Nachdem der OKV- Vault und die IAM-Konfiguration eingerichtet wurden, können Sie den Oracle Key Vault-"Keystore" in OCI bereitstellen und mit Ihrem Exadata Cloud@Customer-VM-Cluster verknüpfen.

Schritt 3: Keystore erstellen

Führen Sie diese Schritte aus, um einen Keystore zur Verbindung mit einer On-Premise-Verschlüsselungsschlüssel-Appliance wie Oracle Key Vault (OKV) zu erstellen.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Exadata Database Service on Cloud@Customer.
  2. Wählen Sie Ihr Compartment aus.
  3. Klicken Sie auf Keystores.

    Auf der Seite Schlüsselspeicher werden die Liste der Namen von Keystores, die Anzahl der mit jeder Datenbank verknüpften Datenbanken und das Datum angezeigt, an dem jeder Keystore erstellt wurde.

  4. Klicken Sie auf Keystore erstellen.
  5. Geben Sie im Dialogfeld Keystore erstellen die folgenden allgemeinen Informationen ein:
    • Namen für Keystore angeben: Eine benutzerfreundliche Beschreibung oder andere Informationen, anhand derer Sie die Keystore-Ressource leicht identifizieren können. Geben Sie dabei keine vertraulichen Informationen ein.
    • Oracle Key Vault-Verbindungseinstellungen
      • Verbindungs-IP-Adressen: Geben Sie mindestens eine OKV-Clusterknoten-IP-Adresse ein. Mehrere kommagetrennte IP-Adressen ( desselben OKV-Clusters) sind möglich. Beispiel: 193.10.20.1, 193.10.20.2.
      • Administratorbenutzername: Geben Sie den Benutzernamen für okv_rest_user ein.
      • Administratorkennwort-Secret: Das Administratorkennwort wird mit dem Secret-Managementservice in OCI gespeichert. Wählen Sie den OKV- Vault in Ihrem Mandanten aus, der das okv_rest_user-Kennwort enthält, das als Secret gespeichert ist.
    • Tags: Optional können Sie Tags anwenden. Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigung zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollten, überspringen Sie diese Option, oder fragen Sie Ihren Administrator. Sie können die Tags auch später noch zuweisen. Geben Sie dabei keine vertraulichen Informationen ein.
  6. Klicken Sie auf Keystore erstellen.
  7. Stellen Sie sicher, dass Sie beim Provisioning von Autonomous Database die Benutzerzugangsdaten von "okv_rest_user" verwenden.

    Weitere Informationen finden Sie unter Vaults verwalten, Schlüssel verwalten und Secrets verwalten.

Keystore verwalten

Übergeordnetes Thema: Verschlüsselungsschlüssel auf externen Geräten verwalten

Keystore-Details anzeigen

Führen Sie diese Schritte aus, um Keystore-Details anzuzeigen, die Oracle Key Vault-(OKV-)Verbindungsdetails und die Liste der verknüpften Datenbanken umfassen.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Exadata Database Service on Cloud@Customer.
  2. Wählen Sie Ihr Compartment aus.
  3. Klicken Sie auf Keystores.

    Auf der Seite Keystores werden die Listennamen von Keystores, die Anzahl der mit jedem Keystore verknüpften Datenbanken und das Datum angezeigt, an dem jeder Keystore erstellt wurde.

  4. Klicken Sie auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte), und klicken Sie dann auf Details anzeigen.
  5. Klicken Sie auf den Link im Feld Administratorkennwort-Secret, um die Secret-Details anzuzeigen.

    Im Abschnitt Zugeordnete Datenbanken wird die Liste der CDBs angezeigt, die mit diesem Keystore verknüpft sind.

Übergeordnetes Thema: Keystore verwalten

Keystore-Details bearbeiten

Sie können einen Keystore nur bearbeiten, wenn er mit keiner CDB verknüpft ist.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Exadata Database Service on Cloud@Customer.
  2. Wählen Sie Ihr Compartment aus.
  3. Klicken Sie auf Keystores.
  4. Klicken Sie auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte), und klicken Sie dann auf Details anzeigen.
  5. Klicken Sie auf der Seite Keystore-Details auf Bearbeiten.
  6. Nehmen Sie auf der Seite Keystore bearbeiten die gewünschten Änderungen vor, und klicken Sie auf Änderungen speichern.

Übergeordnetes Thema: Keystore verwalten

Keystore in ein anderes Compartment verschieben

Führen Sie diese Schritte aus, um einen Keystore auf einem Oracle Exadata Database Service on Cloud@Customer-System von einem Compartment in ein anderes zu verschieben.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Exadata Database Service on Cloud@Customer.
  2. Wählen Sie Ihr Compartment aus.
  3. Klicken Sie auf Keystores.
  4. Klicken Sie auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte), und klicken Sie dann auf Details anzeigen.
  5. Klicken Sie auf der Seite Keystore-Details auf Ressource verschieben.
  6. Wählen Sie auf der Seite Ressource zu einem anderen Compartment verschieben das neue Compartment aus.
  7. Klicken Sie auf Ressource verschieben.

Übergeordnetes Thema: Keystore verwalten

Keystore löschen

Sie können einen Keystore nur löschen, wenn er mit keiner CDB verknüpft ist.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Exadata Database Service on Cloud@Customer.
  2. Wählen Sie Ihr Compartment aus.
  3. Klicken Sie auf Keystores.
  4. Klicken Sie auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte), und klicken Sie dann auf Details anzeigen.
  5. Klicken Sie auf der Seite Keystore-Details auf Löschen.
  6. Klicken Sie im Dialogfeld Keystore löschen auf Löschen.

Übergeordnetes Thema: Keystore verwalten

Details der mit einem Keystore verknüpften Containerdatenbank anzeigen

Führen Sie diese Schritte aus, um Details zur Containerdatenbank anzuzeigen, die mit einem Keystore verknüpft ist.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Exadata Database Service on Cloud@Customer.
  2. Wählen Sie Ihr Compartment aus.
  3. Klicken Sie auf Keystores.
  4. Klicken Sie auf der daraufhin angezeigten Seite Keystores auf den Namen des Keystore, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte) und dann auf Details anzeigen.
  5. Klicken Sie auf den Namen der verknüpften Datenbank, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte) und dann auf Details anzeigen.

Übergeordnetes Thema: Keystore verwalten

Keystore mit der API verwalten

Hier erfahren Sie, wie Sie den Keystore mit der API verwalten.

Informationen zum Verwenden der API und Signieren von Anforderungen finden Sie unter "REST-APIs" und "Sicherheitszugangsdaten". Informationen zu SDKs finden Sie unter "Software Development Kits und Befehlszeilenschnittstelle".

In der folgenden Tabelle sind die REST-API-Endpunkte für die Verwaltung des Keystores aufgeführt.

Vorgang REST-API-Endpunkt

OKV-Keystore erstellen

CreateKeyStore

OKV-Keystore anzeigen

GetKeyStore

OKV-Keystore aktualisieren

UpdateKeyStore

OKV-Keystore löschen

DeleteKeyStore

Keystore Compartment ändern

ChangeKeyStoreCompartment

Zwischen vom Kunden und von Oracle verwalteter Verschlüsselung wählen

CreateDatabase

Keystore (OKV oder von Oracle verwaltet) und OKV-Wallet-Namen abrufen

GetDatabase

Keystore-Typ ändern

changeKeyStoreType

OKV- und von Oracle verwalteten Schlüssel rotieren

RotateVaultKey