Integration von AWS Key Management Service für Exadata Database Service auf Oracle Database@AWS

Die OCI-Identitätsdomain wird automatisch während des Oracle Database@AWS-Onboardingprozesses konfiguriert, und es ist keine Aktion erforderlich. Führen Sie die folgenden Schritte nur für Konten aus, die vor der allgemeinen Verfügbarkeit der AWS KMS-Integration (18. November 2025) verknüpft wurden.

Konfigurieren Sie eine OCI-Identitätsdomain, um die AWS-Integration für Ihre Exadata-VM-Cluster zu aktivieren. Damit können Sie eine AWS Identity and Access Management-(IAM-)Servicerolle mit AWS-Integrationen verknüpfen.

1. Wählen Sie in der AWS-Konsole Oracle Database@AWS und dann Einstellungen aus.
2. Wählen Sie die Schaltfläche Konfigurieren aus, um die OCI-Identitätsdomain zu konfigurieren.
3. Nach Abschluss können Sie die Informationen zu Status, OCI-Identitätsdomain-ID und OCI-Identitätsdomain-URL auf der Seite Einstellungen prüfen.

1. Wenn kein ODB-Netzwerk vorhanden ist, können Sie eines durch Befolgen der Schritt-für-Schritt-Anweisungen unter ODB-Netzwerk bereitstellen. Wenn ein ODB-Netzwerk vorhanden ist, können Sie es ändern, indem Sie auf die Schaltfläche Ändern klicken. Schritt-für-Schritt-Anweisungen finden Sie unter ODB-Netzwerk ändern.
2. Im Abschnitt Serviceintegrationen konfigurieren
   1. Wählen Sie die Option Sicherheitstokenservice (STS) aus, um das Networking für den AWS KMS- und AWS STS-Zugriff von der Datenbank aus einzurichten.
   2. Aktivieren Sie das Kontrollkästchen AWS KMS, damit AWS KMS KMS KMS-Schlüssel in Ihren Authentifizierungsrichtlinien verwenden kann.

Allow any-user to read oracle-db-aws-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster'}

Mit dieser Policy können von Oracle verwaltete Cloud-VM-Cluster die Ressource oracle-db-aws-keys in Ihrem Compartment lesen. Er erteilt dem VM-Cluster (Principal des Typs cloudvmcluster) die erforderlichen Berechtigungen, um auf die AWS-Schlüsselmetadaten zuzugreifen, die für die Integration mit dem externen Schlüsselmanagement oder die Ausführung cloudübergreifender Vorgänge erforderlich sind. Ohne diese Policy kann das VM-Cluster die Schlüssel nicht abrufen, die zum Abschließen der Konfiguration erforderlich sind.

Die Erstellung von Exadata-VM-Clustern ist nur über die AWS-Konsole und die AWS-CLI verfügbar. Weitere Informationen finden Sie unter Exadata-VM-Cluster.

Erstellen Sie einen Stack für jedes Cluster. Mit den folgenden Schritten können Sie einen CloudFormation-Stack erstellen. Dies muss für jedes Exadata-VM-Cluster ausgeführt werden.

Wenn Ihr CloudFormation-Stack einen OIDC-(OpenID Connect-)Provider erstellt, wird eine Vertrauensbeziehung hergestellt, sodass sich eine externe Identitätsquelle (wie OCI) bei AWS authentifizieren kann. Die zugehörige IAM-Rolle definiert, was diese vertrauenswürdige Identität tun darf.

1. Wählen Sie Ihr vorhandenes Exadata-VM-Cluster aus der Liste aus, um die Detailseite in der AWS-Managementkonsole zu öffnen.
   Hinweis
   
   

   Wenn kein Exadata-VM-Cluster vorhanden ist, können Sie eines bereitstellen, indem Sie die Schritt-für-Schritt-Anweisungen zum Exadata-VM-Cluster befolgen.

2. Wählen Sie die Registerkarte IAM-Servicerollen aus, und klicken Sie auf den Link CloudFormation.
3. Prüfen Sie auf der Seite "Stack schnell erstellen" die vorab ausgefüllten Informationen.
   1. Im Abschnitt Parameter werden Parameter in Ihrer Vorlage definiert. Sie können benutzerdefinierte Werte eingeben, wenn Sie einen Stack erstellen oder aktualisieren.
      1. Prüfen Sie Ihre vorab ausgefüllten Informationen unter OCIIdentityDomainUrl.
      2. Das Feld OIDCProviderArn ist optional. Wenn Sie den Stack CloudFormation zum ersten Mal erstellen, wird ein OIDC-Provider und eine zugehörige IAM-Rolle erstellt. Wenn Sie den Stack zum ersten Mal ausführen, müssen Sie keinen Wert für das Feld OIDCProviderArn angeben.
      3. Für jede zusätzliche Ausführungszeit müssen Sie die ARN des vorhandenen OIDC-Providers angeben und im Feld OIDCProviderArn angeben. Gehen Sie folgendermaßen vor, um Ihre OIDCProviderArn-Informationen abzurufen:
         1. Navigieren Sie in der AWS-Konsole zu IAM, und wählen Sie Identitätsprovider aus.
         2. In der Liste Identitätsprovider können Sie den Provider filtern, indem Sie Typ als OpenID Connect auswählen.
         3. Wählen Sie den Link Provider aus, der beim Erstellen des Stacks CloudFormation erstellt wurde.
         4. Kopieren Sie auf der Seite Übersicht die ARN-Informationen.
         5. Fügen Sie die ARN-Informationen in das Feld OIDCProviderArn ein.
   2. Wählen Sie im Abschnitt Berechtigungen den IAM-Rollennamen aus der Dropdown-Liste aus, und wählen Sie die IAM-Rolle aus, die CloudFormation für alle Vorgänge verwenden soll, die im Stack ausgeführt werden.
   3. Wählen Sie die Schaltfläche Stack erstellen aus, um die Änderungen anzuwenden.
4. Nachdem das Stack-Deployment CloudFormation abgeschlossen ist, navigieren Sie zum Abschnitt Ressourcen des Stacks, und prüfen Sie die erstellten Ressourcen für IdP- und IAM-Rollen. Kopieren Sie die IAM-Rollen-ARN zur späteren Verwendung.

Sie müssen eine zuvor erstellte IAM-Rolle an das Exadata-VM-Cluster anhängen, um einen Identitäts-Connector zuzuweisen, der den Zugriff auf AWS-Ressourcen ermöglicht.

1. Wählen Sie in der AWS-Konsole "Oracle Database@AWS" aus.
2. Wählen Sie im linken Menü die Option Exadata-VM-Cluster aus, und wählen Sie dann Ihr Exadata-VM-Cluster aus der Liste aus.
3. Wählen Sie die Registerkarte IAM-Rollen und danach die Schaltfläche Verknüpfen aus.
   1. Das Feld AWS-Integration ist schreibgeschützt.
   2. Geben Sie den Amazon-Ressourcennamen (ARN) der IAM-Rolle, die Sie mit dem VM-Cluster verknüpfen möchten, in das Feld Rollen-ARN ein. Sie können die ARN-Informationen aus dem Abschnitt Übersicht der zuvor erstellten Rolle abrufen.
   3. Wählen Sie die Schaltfläche Zuordnen, um die Rolle anzuhängen.
      Hinweis
      
      

      Nachdem Sie eine IAM-Rolle mit dem VM-Cluster verknüpft haben, wird ein Identitäts-Connector an das Exadata-VM-Cluster angehängt.

Wenn Sie den Abschnitt "Voraussetzungen" abgeschlossen haben, fahren Sie mit den folgenden Aktionen fort:

1. Erstellen Sie in der AWS-Konsole einen vom Kunden verwalteten Schlüssel in AWS KMS.
2. Aktivieren Sie in der OCI-Konsole, dass Exadata-VM-Cluster und -Datenbanken den im 1. Schritt erstellten AWS-KMS-Schlüssel verwenden.

1. Wählen Sie in der AWS-Konsole Key Management Service (KMS) aus.
2. Wählen Sie im linken Menü die Option Vom Kunden verwaltete Schlüssel und dann die Schaltfläche Schlüssel erstellen aus.
3. Geben Sie im Abschnitt Schlüssel konfigurieren die folgenden Informationen ein.
   1. Wählen Sie die Option Symmetrisch als Schlüsseltyp aus.
   2. Wählen Sie die Option Verschlüsseln und entschlüsseln als Schlüsselverwendung.
   3. Blenden Sie den Abschnitt Erweiterte Optionen ein. Sowohl AWS KMS als auch AWS CloudHSM werden unterstützt.
      1. Wenn Sie den KMS-Standard-Keystore verwenden möchten, wählen Sie die Option KMS - empfohlen als Schlüsselmaterialursprung aus, und wählen Sie entweder die Option Schlüssel mit einer Region oder die Option Schlüssel mit mehreren Regionen aus dem Abschnitt Regionalität.
         Hinweis
         
         

         Regionsübergreifende Data Guard- und Wiederherstellungsdatenbanken in einer anderen Region werden derzeit nicht für Datenbanken unterstützt, die vom Kunden verwaltete AWS-Schlüssel für die Schlüsselverwaltung verwenden.

      2. Wenn Sie AWS CloudHSM verwenden möchten, wählen Sie die Option AWS CloudHSM Keystore als Schlüsselmaterialursprung aus.
   4. Wählen Sie die Schaltfläche Weiter, um den Erstellungsprozess fortzusetzen.
4. Geben Sie im Abschnitt Labels hinzufügen die folgenden Informationen ein.
   1. Geben Sie einen aussagefähigen Anzeigenamen in das Feld Alias ein. Maximal 256 Zeichen. Verwenden Sie alphanumerische und '_-/'-Zeichen.
      Hinweis
      
      

      • Der Aliasname darf nicht mit aws/ beginnen. Das Präfix aws/ wird von AWS reserviert, um AWS-verwaltete Schlüssel in Ihrem Konto darzustellen.
      • Ein Alias ist ein Anzeigename, mit dem Sie den KMS-Schlüssel identifizieren können. Es wird empfohlen, einen Alias zu wählen, der angibt, welchen Datentyp Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten.
      • Aliasnamen sind erforderlich, wenn Sie einen KMS-Schlüssel in der AWS-Konsole erstellen.
   2. Das Feld Beschreibung ist optional.
   3. Der Abschnitt Tags ist optional. Sie können Tags verwenden, um Ihre KMS-Schlüssel zu kategorisieren und zu identifizieren und Ihre AWS-Kosten zu verfolgen.
   4. Wählen Sie die Schaltfläche Weiter, um den Erstellungsprozess fortzusetzen, oder die Schaltfläche Zurück, um die vorherige Seite zurückzugeben.
5. Führen Sie im Abschnitt Definieren Sie wichtige administrative Berechtigungen die folgenden Unterschritte aus.
   1. Suchen Sie die zuvor erstellte Rolle, und aktivieren Sie das Kontrollkästchen. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.
      Hinweis
      
      

      Diese Schlüsselrichtlinie gibt dem AWS-Konto die volle Kontrolle über diesen KMS-Schlüssel. Dadurch können Accountadministratoren IAM-Policys verwenden, um anderen Principals die Berechtigung zur Verwaltung des KMS-Schlüssels zu erteilen.

   2. Im Abschnitt Schlüssellöschung ist das Kontrollkästchen Schlüsseladministratoren das Löschen dieses Schlüssels erlauben standardmäßig aktiviert. Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen den KMS-Schlüssel löschen, können Sie das Kontrollkästchen deaktivieren.
   3. Wählen Sie die Schaltfläche Weiter, um den Erstellungsprozess fortzusetzen, oder die Schaltfläche Zurück, um die vorherige Seite zurückzugeben.
6. Führen Sie im Abschnitt Schlüsselverwendungsberechtigungen definieren die folgenden Unterschritte aus.
   1. Suchen Sie die zuvor erstellte Rolle, und aktivieren Sie das Kontrollkästchen.
   2. Wählen Sie die Schaltfläche Weiter, um den Erstellungsprozess fortzusetzen, oder die Schaltfläche Zurück, um die vorherige Seite zurückzugeben.
7. Führen Sie im Abschnitt Schlüssel-Policy bearbeiten die folgenden Unterschritte aus.
   1. Im Abschnitt Vorschau können Sie die Schlüssel-Policy prüfen. Wenn Sie eine Änderung vornehmen möchten, wählen Sie die Registerkarte Bearbeiten.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Sid": "KMSKeyMetadata",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "<arn>"
                  },
                  "Action": [
                      "kms:DescribeKey"
                  ],
                  "Resource": "*"
              },
              {
                  "Sid": "KeyUsage",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "<arn>"
                  },
                  "Action": [
                      "kms:Encrypt",
                      "kms:Decrypt"
                  ],
                  "Resource": "*"
              }
          ]
      }

   2. Wählen Sie die Schaltfläche Weiter, um den Erstellungsprozess fortzusetzen, oder die Schaltfläche Zurück, um die vorherige Seite zurückzugeben.
8. Prüfen Sie im Abschnitt Prüfen Ihre Informationen, und wählen Sie die Schaltfläche "Fertigstellen".

Weitere Informationen finden Sie unter KMS-Schlüssel für symmetrische Verschlüsselung erstellen.

Um AWS KMS für Ihre Exadata-VM-Cluster zu aktivieren, müssen Sie zuerst den AWS KMS-Schlüssel in OCI registrieren.

1. Wählen Sie in der OCI-Konsole Oracle AI Database und dann Datenbank-Multicloud-Integrationen aus.
2. Wählen Sie im linken Menü die Option AWS-Integration, AWS-Schlüssel aus.
3. Wählen Sie die Schaltfläche AWS-Schlüssel registrieren aus, und führen Sie die folgenden Unterschritte aus.
   1. Wählen Sie in der Dropdown-Liste das Compartment aus, in dem sich das Exadata-VM-Cluster befindet.
   2. Wählen Sie im Abschnitt AWS-Schlüssel den Identitäts-Connector aus der Dropdown-Liste aus.
      Hinweis
      
      

      Stellen Sie sicher, dass die mit dem Connector verknüpfte Rolle die Berechtigung DescribeKey für den Schlüssel aufweist. Diese Berechtigung ist für eine erfolgreiche Discovery erforderlich.

   3. Das Feld Schlüssel-ARN ist optional.
   4. Klicken Sie auf die Schaltfläche Discover.
4. Nachdem der Schlüssel erkannt wurde, wählen Sie die Schaltfläche Registrieren aus, um den Schlüssel in OCI zu registrieren.

Wenn Sie die AWS-Schlüsselverwaltung für Ihre Datenbank aktivieren, können nur AWS-Schlüssel verwendet werden, die für die Verwendung mit dem Exadata-VM-Cluster autorisiert und bei OCI registriert sind.

1. Wählen Sie in der OCI-Konsole Oracle AI Database und dann Oracle Exadata Database Service on Dedicated Infrastructure aus.
2. Wählen Sie im linken Menü die Option Exadata-VM-Cluster aus, und wählen Sie dann Ihr Exadata-VM-Cluster aus.
3. Wählen Sie die Registerkarte VM-Clusterinformationen aus, und wählen Sie die Schaltfläche Aktivieren neben Vom Kunden verwalteter AWS-Verschlüsselungsschlüssel aus.

In diesem Thema werden nur die Schritte für die Erstellung einer Datenbank und die Verwendung von AWS KMS als Schlüsselverwaltungslösung beschrieben.

Informationen zum Erstellen einer generischen Datenbank finden Sie unter So erstellen Sie eine Datenbank in einem vorhandenen VM-Cluster.

Voraussetzungen

Weitere Informationen finden Sie unter Voraussetzungen.

Schritte

Wenn das AWS KMS-Schlüsselmanagement auf VM-Clusterebene aktiviert ist, stehen Ihnen zwei Schlüsselverwaltungsoptionen zur Verfügung: Oracle Wallet und AWS-Schlüsselmanagement.

1. Wählen Sie im Abschnitt Verschlüsselung die Option AWS-Schlüsselmanagement aus.
2. Wählen Sie den in Ihrem Compartment verfügbaren Verschlüsselungsschlüssel aus.
   Hinweis
   
   

   • Es werden nur registrierte Schlüssel aufgelistet.
   • Wenn Ihr gewünschter Schlüssel nicht sichtbar ist, wurde er möglicherweise noch nicht registriert. Klicken Sie auf AWS-Schlüssel registrieren, um sie zu ermitteln und zu registrieren.

     Ausführliche Anweisungen finden Sie unter AWS KMS-Schlüssel registrieren.

   • Sie können einen Schlüsselalias aus der Dropdown-Liste auswählen. Wenn kein Schlüsselalias verfügbar ist, wird in der Dropdown-Liste die Schlüssel-ID angezeigt.

Wenn Sie die Schlüsselverwaltung Ihrer vorhandenen Datenbanken im Exadata-VM-Cluster von Oracle Wallet in AWS KMS ändern möchten, führen Sie die folgenden Schritte aus.

1. Navigieren Sie in Ihrem Exadata-VM-Cluster zur Registerkarte Datenbanken, und wählen Sie die verwendete Datenbank aus.
2. Bestätigen Sie im Abschnitt Verschlüsselung, dass Schlüsselmanagement auf Oracle Wallet gesetzt ist, und wählen Sie den Link Ändern aus.
3. Geben Sie auf der Seite Schlüsselverwaltung ändern die folgenden Informationen ein.
   1. Wählen Sie in der Dropdown-Liste Schlüsselmanagement als AWS-Schlüsselmanagement aus.
   2. Wählen Sie das verwendete Schlüssel-Compartment aus, und wählen Sie dann den gewünschten Schlüssel aus der Dropdown-Liste aus.
   3. Wählen Sie die Schaltfläche Änderungen speichern.

Führen Sie die folgenden Schritte aus, um den AWS KMS-Schlüssel einer Containerdatenbank (CDB) zu rotieren.

1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle AI Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
2. Wählen Sie das gewünschte Compartment aus.

   Für das ausgewählte Compartment wird eine Liste der VM-Cluster angezeigt.

3. Klicken Sie in der Liste der VM-Cluster auf den Namen des VM-Clusters, das die Datenbank enthält, mit der Sie Verschlüsselungsschlüssel rotieren möchten.
4. Klicken Sie auf Datenbanken.
5. Klicken Sie auf den Namen der Datenbank, in der Sie Verschlüsselungsschlüssel rotieren möchten.

   Auf der Seite "Datenbankdetails" werden Informationen zur ausgewählten Datenbank angezeigt.

6. Prüfen Sie im Abschnitt Verschlüsselung, ob Key Management auf AWS-Schlüsselmanagement gesetzt ist, und klicken Sie dann auf den Link Drehen.
7. Klicken Sie im daraufhin angezeigten Dialogfeld Schlüssel rotieren auf Drehen, um die Aktion zu bestätigen.
   Hinweis
   
   

   Durch Drehen des AWS KMS-Schlüssels wird ein neuer Verschlüsselungskontext für denselben Schlüssel generiert.

Führen Sie die folgenden Schritte aus, um den AWS KMS-Schlüssel einer integrierbaren Datenbank (PDB) zu rotieren.

1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle AI Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
2. Wählen Sie das gewünschte Compartment aus.

   Für das ausgewählte Compartment wird eine Liste der VM-Cluster angezeigt.

3. Klicken Sie in der Liste der VM-Cluster auf den Namen des VM-Clusters mit der zu startenden PDB, und klicken Sie dann auf deren Namen, um die Detailseite anzuzeigen.
4. Suchen sie unter Datenbanken die Datenbank mit der PDB, die Sie rotieren möchten.
5. Klicken Sie auf den Namen der Datenbank, um die Seite "Datenbankdetails" anzuzeigen.
6. Klicken Sie im Abschnitt Ressourcen der Seite auf Integrierbare Datenbanken.

   Eine Liste vorhandener PDBs in dieser Datenbank wird angezeigt.

7. Klicken Sie auf den Namen der PDB, die Sie die Verschlüsselungsschlüssel rotieren möchten.

   Die Detailseite der integrierbaren Datenbank wird angezeigt.

8. Im Abschnitt Verschlüsselung wird angezeigt, dass die Schlüsselverwaltung als AWS-Schlüsselverwaltung festgelegt ist.
9. Klicken Sie auf den Link Drehen.
10. Klicken Sie im daraufhin angezeigten Dialogfeld Schlüssel rotieren auf Drehen, um die Aktion zu bestätigen.
    Hinweis
    
    

    Durch Drehen des AWS KMS-Schlüssels wird ein neuer Verschlüsselungskontext für denselben Schlüssel generiert.

Führen Sie optional die folgenden Schritte aus, um einen bestimmten CDB- oder PDB-Schlüssel zu deaktivieren.

1. Navigieren Sie zur AWS-Konsole, und wählen Sie Key Management Service (KMS) aus.
2. Wählen Sie im linken Menü die Option Vom Kunden verwaltete Schlüssel aus, und wählen Sie dann die Schlüssel-ID des Schlüssels aus, den Sie bearbeiten möchten.
3. Wählen Sie die Schaltfläche Policy bearbeiten aus.
4. Führen Sie die folgende Abfrage aus, um die EncryptionContext MKID des Schlüssels abzurufen.

   Mit dem folgenden Befehl können Sie die aktuellen Master-Schlüssel-IDs (MKIDs) zum Aktivieren oder Deaktivieren von Vorgängen anzeigen:

   dbaascli tde getHSMKeys --dbname <DB-Name>

   Sie können auch die folgende SQL-Abfrage ausführen, um alle Schlüsselversionen aufzulisten:

   SELECT key_id, con_id, creation_time, key_use FROM v$encryption_keys;

5. Fügen Sie eine Verweigerungs-Policy mit der abgerufenen EncryptionContext-MKID wie unten dargestellt hinzu:

   {
     "Effect": "Deny",
     "Principal": "*",
     "Action": [
       "kms:Encrypt",
       "kms:Decrypt"
     ],
     "Resource": "arn:aws:kms:us-east-1:867344470629:key/7139075d-a006-4302-92d5-48ecca31d48e",
     "Condition": {
       "StringEquals": {
         "kms:EncryptionContext:MKID": "ORACLE.TDE.HSM.MK.06AE5EFB528D9D4F21BFEDA63C6C8738D9"
       }
     }
   }

6. Wählen Sie Änderungen speichern aus, um die Policy-Aktualisierung anzuwenden.