Oracle Cloud Infrastructure-Dokumentation

Azure Key Vault-Integration für Exadata Database Service auf Oracle Database@Azure

Mit Exadata Database Service on Oracle Database@Azure können Sie die TDE-(Transparent Data Encryption-)Schlüssel Ihrer Datenbank, auch als Masterverschlüsselungsschlüssel (MEKs) bezeichnet, entweder in einem dateibasierten Oracle Wallet oder im OCI Vault speichern.

Mit diesem Feature können Exadata Database Service on Oracle Database@Azure-Benutzer das von Azure Key Vault (AKV) verwaltete HSM, AKV Premium und AKV Standard für die Verwaltung von TDE MEKs verwenden. Durch diese Integration können Anwendungen, Azure-Services und Datenbanken eine zentralisierte Schlüsselverwaltungslösung für verbesserte Sicherheit und vereinfachtes Schlüssellebenszyklusmanagement verwenden.

Übergeordnetes Thema: Anleitungen

Voraussetzungen

Die folgenden Schritte müssen ausgeführt werden, bevor Sie Azure Key Vault als Schlüsselverwaltung für Ihre Datenbanken konfigurieren können.

Die folgenden Schritte müssen ausgeführt werden, bevor Sie Azure Key Vault als Key Management Service auf der Ebene des Exadata-VM-Clusters konfigurieren können.

  1. Sie müssen zuerst die Registrierung abschließen, die für delegierte Subnetze erforderlich ist, um erweiterte Netzwerkfeatures zu verwenden, die unter Netzwerkplanung für Oracle Database@Azure aufgeführt sind, und dann ein virtuelles Azure-Netzwerk erstellen mit mindestens einem delegierten Subnetz, das vom Exadata-VM-Cluster verwendet werden soll.
  2. Stellen Sie ein Exadata-VM-Cluster über die Azure-Schnittstelle bereit. Schritt-für-Schritt-Anweisungen finden Sie unter Exadata-VM-Cluster für Azure bereitstellen.
  3. Prüfen Sie die Netzwerkanforderungen, um zu bestimmen, ob das VM-Cluster über ein öffentliches Netzwerk oder über private Konnektivität eine Verbindung zu Azure KMS herstellt. Weitere Informationen finden Sie unter Netzwerkanforderungen für Agent-Connected Machine oder Netzwerkanforderungen für das Erstellen eines Identity Connectors und von KMS-Ressourcen.
  4. Stellen Sie sicher, dass die folgende Policy erstellt wird, bevor Sie die Datenbank erstellen.
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

Netzwerkanforderungen für das Erstellen von Identity Connector- und KMS-Ressourcen

Azure Key Management Service-(KMS-)Ressourcen unterstützen öffentliche und private Konnektivität. Azure Key Vault Managed HSM erfordert private Konnektivität, während Azure Key Vault Premium- und Standard-Tiers öffentliche und private Konnektivitätsoptionen unterstützen.

In den folgenden Abschnitten werden die Netzwerkanforderungen für den öffentlichen Netzwerkzugriff beschrieben.

Konfiguration mit privatem Netzwerk

  • Arc-Agent-Netzwerkkonfiguration

    Um einen Identity Connector über ein privates Netzwerk zu erstellen, müssen ein Azure Arc Private Link Scope und ein privater Endpunkt über das Azure-Portal konfiguriert werden. Ausführliche Schritte zum Einrichten der privaten Konnektivität für Azure Arc-fähige Server finden Sie in der Azure-Dokumentation.

    Hinweis

    Der private Endpunkt muss in einem nicht delegierten Subnetz innerhalb des virtuellen Azure-Netzwerks (VNet) erstellt werden, das das Oracle Exadata-VM-Cluster hostet. Private Endpunkte werden in delegierten Subnetzen nicht unterstützt. Standardmäßig werden Exadata-VM-Cluster in delegierten Subnetzen bereitgestellt.

    Verwaltetes HSM erfordert private Konnektivität und wird nur in Azure-Regionen unterstützt, die erweiterte Netzwerkfunktionen bieten. Eine Liste der unterstützten Regionen finden Sie unter Netzwerkplanung für Oracle Database@Azure.

    Um die Kommunikation mit privaten Agent-Ressourcen über das private Netzwerk zu ermöglichen, müssen in der DNS-Konfiguration des VCN in Ihrem Oracle Cloud Infrastructure-(OCI-)Mandanten eine private DNS-Zone und entsprechende A-Datensätze erstellt werden.

    Die DNS-Konfiguration für den privaten Endpunkt, der mit dem Geltungsbereich des privaten Links verknüpft ist, muss die erforderlichen Ressourcenadressen des privaten Agents enthalten. Weitere Informationen finden Sie im Abschnitt URLs unter Netzwerkanforderungen für Agents mit verbundener Maschine.

    Rufen Sie zunächst die Liste der erforderlichen Adressen aus dem Azure-Portal ab. Aktualisieren Sie dann den DNS-Zoneneintrag in OCI, um die Konfiguration abzuschließen.

    Schritte zum Abrufen der Liste der erforderlichen IP-Adressen:
    1. Melden Sie sich beim Azure-Portal an.
    2. Suchen Sie nach "Azure Arc Private link scopes".
    3. Wählen Sie einen beliebigen privaten Linkbereich aus der Liste aus.
    4. Klicken Sie im Menü Konfigurieren auf Private Endpunktverbindungen.
    5. Klicken Sie auf den Link "Privater Endpunkt".
    6. Wählen Sie unter Einstellungen die Option DNS-Konfiguration aus, um die erforderlichen Adressen anzuzeigen.

    Beispiel: Private Agent-Ressource hinzufügen (Beispiel: gbl.his.arc.azure.com)

    Die mit gbl.his.arc.azure.com verknüpfte IP-Adresse sowie alle anderen erforderlichen Agent-Ressourcen müssen in der privaten DNS-Zone definiert werden.

    Schritte:

    1. Eine private Zone erstellen
      Weitere Informationen finden Sie unter Erstellen einer privaten DNS-Zone.
      • Zonentyp: Primär
      • Zonenname: <Deskriptiver Name>
      • Compartment: <Compartment-Name oder OCID>
    2. DNS-Datensätze hinzufügen
      • Navigieren Sie auf der Seite mit den Abschnittsdetails zur Registerkarte "Datensätze".
      • Klicken Sie auf "Datensätze verwalten" und dann auf "Datensatz hinzufügen":
        • Name: gbl.his.arc.azure.com
        • Typ: A (IPv4-Adresse)
        • TTL (Sekunden): 3600
        • RDATA-Modus: Basic
        • Adresse: <Private IP-Adresse>
    3. Zone veröffentlichen
    4. Stellen Sie sicher, dass der Datensatz nach der Veröffentlichung auf der Zonenseite angezeigt wird.
    5. Prüfen Sie, ob die Konnektivität zu Azure-Services aus dem VM-Cluster über das private Netzwerk geleitet wird.

    Selbst bei privater Konnektivität müssen die folgenden Endpunkte über das Azure-NAT-Gateway geleitet werden.

    Agent-Ressourcen:

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Konfiguration privater Azure Key Vault-Endpunkte

    Um über private Konnektivität auf Endpunkte von Azure Key Vaults zuzugreifen, müssen Sie eine DNS-Zone erstellen. Darüber hinaus muss im OCI-Mandanten ein A-Datensatz hinzugefügt werden, der den vollqualifizierten Domainnamen (FQDN) der Ressource der IP-Adresse des entsprechenden privaten Endpunkts zuordnet.

    Um über einen privaten Endpunkt in Ihrem virtuellen Netzwerk, das ein Exadata-VM-Cluster hostet, auf den verwalteten HSM-Service zuzugreifen, können Sie eine private Linkverbindung zu verwaltetem HSM herstellen und diese entweder mit dem Standardsubnetz oder einem nicht delegierten Subnetz verknüpfen. Führen Sie die Schritte aus, die im Abschnitt "Konfiguration mit privatem Netzwerk" des Themas "Netzwerkanforderungen zum Erstellen eines Identity Connectors und von KMS-Ressourcen" beschrieben sind. Weitere Informationen finden Sie unter Verwaltetes HSM mit privatem Azure-Link integrieren.

Konfiguration mit öffentlichem Netzwerk

Erstellen Sie ein NAT-Gateway im Azure-Portal, und verknüpfen Sie es mit dem delegierten Subnetz des Exadata-VM-Clusters. Weitere Informationen finden Sie unter NAT-Gateway erstellen und mit einem vorhandenen Subnetz verknüpfen.

Azure Key Vault-Integration für Exadata Database Service auf Oracle Database@Azure mit der Konsole verwalten

Erfahren Sie, wie Sie die Azure Key Vault-Integration für Exadata Database Service auf Oracle Database@Azure verwalten.

Übergeordnetes Thema: Azure Key Vault-Integration für Exadata Database Service auf Oracle Database@Azure

Wenn Sie einen Identity Connector erstellen, wird der Azure Arc-Agent auf den Exadata-VM-Cluster-VMs installiert und als Azure Arc-fähige virtuelle Maschinen registriert.

Dies ermöglicht eine sichere Kommunikation mit dem Azure Key Management Service (KMS) unter Verwendung der vom Arc-Agent generierten Azure-Identität. Der Azure Arc-Agent kann über ein öffentliches Netzwerk oder ein privates Konnektivitätssetup mit Azure-Diensten kommunizieren. Weitere Informationen zu Azure Arc.

Für jedes Exadata-VM-Cluster muss ein Identitäts-Connector aktiviert sein, um auf Azure-Ressourcen zugreifen zu können. Der Identitäts-Connector stellt je nach den zugewiesenen Rollen entweder eine öffentliche oder eine private Verbindung zwischen dem Exadata-VM-Cluster und den Azure Key Management-Ressourcen her.

Informationen zum Generieren eines Zugriffstokens für Ihren aktuellen Azure-Account finden Sie unter az account get-access-token.

Sie können einen Identitäts-Connector auf zwei Arten erstellen: über die Oracle Exadata Database Service on Dedicated Infrastructure-Schnittstelle oder die Database Multicloud Integrations-Schnittstelle.

Oracle Exadata Database Service on Dedicated Infrastructure

  1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Klicken Sie im linken Menü unter Oracle Exadata Database Service on Dedicated Infrastructure auf Exadata-VM-Cluster.
  3. Wählen Sie in der Liste der Exadata-VM-Cluster das verwendete Cluster aus.
  4. Wählen Sie VM-Clusterinformationen aus, und navigieren Sie zu Identitäts-Connector unter Multicloud-Informationen. Klicken Sie auf die Verknüpfung Erstellen.
    Hinweis

    Wenn ein Identitäts-Connector zuvor nicht erstellt wurde, wird er als Kein Wert angezeigt.

  5. Identitäts-Connector-Name, Exadata-VM-Cluster, Azure-Abonnement-ID und Azure-Ressourcengruppenname sind schreibgeschützte Felder und werden mit Werten aufgefüllt.
  6. Geben Sie die Azure-Mandanten-ID und das Zugriffstoken ein.
  7. Blenden Sie den Abschnitt Erweiterte Optionen anzeigen ein.

    Die Abschnitte Informationen zur privaten Konnektivität und Tags werden ausgefüllt.

    Um eine private Endpunktverbindung zu aktivieren, geben Sie den Namen des Azure Arc Private Link Scope ein.

  8. Um Tags für Ihre Ressourcen hinzuzufügen, klicken Sie auf Tag hinzufügen, und geben Sie die erforderlichen Werte ein.
  9. Prüfen Sie Ihre Auswahl, und klicken Sie auf Erstellen, um den Identitäts-Connector zu erstellen.

Multicloud-Datenbankintegrationen

  1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Datenbank-Multicloud-Integrationen.
  2. Wählen Sie im linken Navigationsmenü die Option Identity Connectors aus.
  3. Wählen Sie in der Dropdown-Liste Compartment das verwendete Compartment aus.
  4. Nachdem Sie das Compartment ausgewählt haben, füllt der Identitäts-Connector-Name automatisch einen Namen auf.

    Standardmäßig ist der Identitäts-Connector-Typ als Azure ausgewählt.

  5. Wählen Sie ARC agent als Identitätsmechanismus.
  6. Wählen Sie das Compartment in der Liste Exadata-VM-Cluster-Compartment auswählen aus, und wählen Sie dann das Exadata-VM-Cluster in der Liste Exadata-VM-Cluster auswählen aus.
  7. Geben Sie Ihre Azure-Mandanten-ID ein. Die Felder Azure-Abonnement-ID und Azure-Ressourcengruppenname füllen Werte basierend auf Ihrer Exadata-VM-Clusterauswahl auf.
  8. Geben Sie ein Zugriffstoken ein.
  9. Blenden Sie den Abschnitt Erweiterte Optionen anzeigen ein. Die Abschnitte Informationen zur privaten Konnektivität und Tags werden ausgefüllt. Diese Felder sind optional.
  10. Um Tags für Ihre Ressourcen hinzuzufügen, klicken Sie auf Tag hinzufügen, und geben Sie die erforderlichen Werte ein.
  11. Prüfen Sie Ihre Auswahl, und klicken Sie auf Erstellen.

Mit dieser Prozedur können Sie die Details eines Identity Connectors anzeigen.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Klicken Sie unter Oracle Exadata Database Service on Dedicated Infrastructure auf Exadata-VM-Cluster.
  3. Klicken Sie auf den Namen des gewünschten VM-Clusters.
  4. Bestätigen Sie auf der daraufhin angezeigten Seite VM-Clusterdetails im Abschnitt Multicloud-Informationen, dass im Feld "Identitäts-Connector" der zuvor erstellte Identitäts-Connector angezeigt wird.
  5. Klicken Sie auf den Namen des Identitäts-Connectors, um seine Details anzuzeigen.

In diesem Schritt wird die erforderliche Library im VM-Cluster installiert, um die Azure Key Vault-Integration zu unterstützen. Stellen Sie sicher, dass ein Identitäts-Connector erstellt wird, bevor Sie Azure Key Management im Exadata-VM-Cluster aktivieren.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Klicken Sie unter Oracle Exadata Database Service on Dedicated Infrastructure auf Exadata-VM-Cluster.
  3. Klicken Sie auf den Namen des gewünschten VM-Clusters.
  4. Klicken Sie auf der daraufhin angezeigten Seite VM-Clusterdetails im Abschnitt Multicloud-Informationen neben Azure-Keystore auf den Link Aktivieren.
  5. Klicken Sie im daraufhin angezeigten Dialogfeld Azure-Schlüsselverwaltung aktivieren auf Aktivieren, um den Vorgang zu bestätigen.

    Wenn Sie die Aktion bestätigen, wird eine Library in Ihrem Exadata-VM-Cluster installiert.

    Der Status des Azure-Keystores ändert sich von Deaktiviert in Aktiviert.

  6. Um den Azure-Keystore zu deaktivieren, klicken Sie auf den Link Deaktivieren.
  7. Klicken Sie im daraufhin angezeigten Dialogfeld Azure-Schlüsselverwaltung deaktivieren auf Deaktivieren, um den Vorgang zu bestätigen.

    Wenn Sie die Azure-Schlüsselverwaltung deaktivieren, wird die während der Aktivierung installierte Bibliothek entfernt. Dies wirkt sich auf die Verfügbarkeit von Datenbanken aus, die für die Verwendung konfiguriert sind.

Hinweis

Die Azure-Schlüsselverwaltung wird auf VM-Clusterebene konfiguriert, sodass alle Datenbanken im Cluster dieselbe Schlüsselverwaltungslösung verwenden müssen. Datenbanken, die Oracle Wallet verwenden, können jedoch zusammen mit Datenbanken vorhanden sein, die Azure Key Vault im selben Cluster verwenden.

Erstellen Sie Azure Key Vault Managed HSM, Azure Key Vault Premium oder Azure Key Vault Standard, und weisen Sie die Berechtigung zu.

Weitere Informationen finden Sie unter Key Vault mit dem Azure-Portal erstellen.

Hinweis

Der Gruppe müssen bestimmte Rollen zugewiesen werden, um die erforderlichen Berechtigungen für den Zugriff auf und die Verwaltung von Azure Key Vault Managed HSM, Azure Key Vault Premium und Azure Key Vault Standard-Ressourcen zu erteilen.
  1. Erstellen Sie eine Gruppe, und fügen Sie Mitglieder hinzu.

    Mit Azure-Gruppen können Sie Benutzer verwalten, indem Sie ihnen denselben Zugriff und dieselben Berechtigungen für Ressourcen zuweisen.

  2. Weisen Sie die folgenden Rollen basierend auf dem Typ von Azure Key Vault zu:
    • Für verwaltetes HSM:
      • IAM: Reader
      • Lokaler RBAC: Verwalteter HSM-Crypto Officer + verwalteter HSM-Cryptobenutzer
    • Für Key Vault Premium und Standard
      • IAM: Reader + Key Vault Crypto Officer

Ausführliche Schritte finden Sie unter Azure-Rollen mit dem Azure-Portal zuweisen.

Dies ist eine alternative Möglichkeit, Ihre Azure-Key Vaults über die OCI-Konsole zu registrieren. Wenn Sie Ihren Vault bereits beim Erstellen einer Datenbank im vorhandenen Exadata-VM-Cluster registriert haben, können Sie diesen Schritt überspringen.

  1. Navigieren Sie in der OCI-Konsole zu Database Multicloud Integrations, und wählen Sie Microsoft Azure Integration aus. Wählen Sie im Abschnitt Microsoft Azure Integration die Option "Azure-Schlüssel-Vaults" aus.
    Hinweis

    Damit die Registrierung erfolgreich verläuft, muss mindestens ein Schlüssel im Vault im Azure-Portal erstellt werden.
  2. Wählen Sie die Schaltfläche Azure-Key Vaults registrieren aus.
  3. Wählen Sie in der Dropdown-Liste das Compartment aus.
  4. So ermitteln Sie Azure Key Vault oder Managed HSM innerhalb desselben Abonnements in einem Azure-Mandanten (Identity Connector und Azure Key Vault oder Managed HSM im selben Abonnement) und registrieren Schlüssel:
    1. Wählen Sie im Abschnitt Azure-Schlüssel-Vaults in der Liste Azure-Schlüssel-Vaults mit Connector ermitteln einen Identitäts-Connector aus.
    2. Klicken Sie auf Ermitteln.

      Die Liste der Vaultnamen wird angezeigt.

    3. Aktivieren Sie das Kontrollkästchen neben Vaultname.
  5. Um einen einzelnen Azure Key Vault oder verwalteten HSM innerhalb desselben Abonnements in einem Azure-Mandanten zu ermitteln, geben Sie die vollständige Ressourcen-ID in einem der folgenden Formate an:

    Für Azure Key Vault:

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>

    Für Azure Managed HSM:

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/managedHSMs/<hsm-name>
  6. So ermitteln Sie Azure Key Vault oder Managed HSM über Abonnements in einem Azure-Mandanten (Identity Connector und Azure Key Vault oder Managed HSM in verschiedenen Abonnements) und registrieren Schlüssel:
    1. Wählen Sie im Abschnitt Azure-Schlüssel-Vaults in der Liste Azure-Schlüssel-Vaults mit Connector ermitteln einen Identitäts-Connector aus.
    2. Geben Sie die vollständige Ressourcen-ID des Azure Key Vault im folgenden Format an.
      /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
    3. Klicken Sie auf Ermitteln.
  7. Wenn Sie Tags für Ihre Ressourcen hinzufügen möchten, blenden Sie den Abschnitt Erweiterte Optionen ein, und klicken Sie auf Tag hinzufügen.
  8. Klicken Sie auf Registrieren, um die Vault(s) lokal in OCI zu registrieren.
  9. Nachdem Sie den Vault registriert haben, können Sie die Informationen zu Anzeigename, Status, Typ, Azure-Ressourcengruppe und Erstellt der Vaults in der Liste anzeigen.
  10. Wählen Sie den verwendeten Vault aus, und klicken Sie auf die Registerkarte Identitäts-Connector-Verknüpfungen, in der Identitäts-Connector-Verknüpfungen im aktuellen Compartment aufgeführt werden.
    Hinweis

    Zwischen dem Vault und dem Identity Connector, der während des Vault-Registrierungsprozesses verwendet wird, wird automatisch eine Standardverknüpfung erstellt. Dadurch kann der Vault auf dem Exadata-VM-Cluster verwendet werden, das mit diesem spezifischen Identity Connector verknüpft ist.

    Wenn Sie denselben Vault in anderen Clustern verwenden möchten, die mit verschiedenen Identity Connectors registriert sind (d.h. nicht den, der bei der Vault-Discovery verwendet wird), müssen Sie explizit eine Verknüpfung zwischen dem Vault und diesen zusätzlichen Identity Connectors erstellen.

  11. Klicken Sie auf Verknüpfung erstellen.
  12. Wählen Sie in der Dropdown-Liste Compartment, Azure-Key Vault-Verknüpfungsname und Identitäts-Connector aus.
  13. Wenn Sie den Abschnitt Erweiterte Optionen einblenden, können Sie Tags zum Organisieren Ihrer Ressourcen hinzufügen.
  14. Prüfen Sie Ihre Auswahl, und klicken Sie auf Erstellen.

Erstellen einer Datenbank und Verwenden von Azure Key Vault als Schlüsselverwaltungslösung

In diesem Thema werden nur die Schritte zum Erstellen einer Datenbank und zum Verwenden von Azure Key Vault als Schlüsselverwaltungslösung beschrieben.

Informationen zum Erstellen einer generischen Datenbank finden Sie unter So erstellen Sie eine Datenbank in einem vorhandenen VM-Cluster.

Voraussetzungen

Bevor Sie die erste Datenbank erstellen und Azure Key Vault für die Schlüsselverwaltung auswählen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Alle Netzwerkvoraussetzungen, die im Abschnitt Netzwerkanforderungen zum Erstellen eines Identity Connectors und von KMS-Ressourcen beschrieben sind, werden erfüllt
  • Der Identitäts-Connector wird erstellt und kann verwendet werden
  • Die Azure-Schlüsselverwaltung ist auf VM-Clusterebene aktiviert
  • Das VM-Cluster verfügt über die erforderlichen Berechtigungen für den Zugriff auf die Vaults
  • Die Vaults sind als OCI-Ressourcen registriert

Einschränkungen

  • Einschränkung für virtuelle Maschinen: Bei der Skalierung eines VM-Clusters werden Datenbanken, die Azure Key Vault verwenden, nicht automatisch auf die neu hinzugefügte virtuelle Maschine erweitert. Um die Erweiterung abzuschließen, müssen Sie den vorhandenen Identity Connector für das Exadata-VM-Cluster aktualisieren, indem Sie das Azure-Zugriffstoken angeben. Nachdem Sie den Identity Connector aktualisiert haben, führen Sie den Befehl dbaascli database addInstance aus, um die Datenbankinstanz zur neuen VM hinzuzufügen.
  • Einschränkungen von Data Guard:
    • Stellen Sie beim Erstellen einer Standbydatenbank für eine Primärdatenbank, die Azure Key Vault verwendet, sicher, dass das Ziel-VM-Cluster über einen aktiven Identity Connector verfügt, die Azure-Schlüsselverwaltung aktiviert ist und die erforderliche Verknüpfung zwischen dem Identity Connector und dem Key Vault ordnungsgemäß konfiguriert ist.
    • Regionsübergreifende Data Guard- und Datenbankwiederherstellungsvorgänge werden für Datenbanken, die Azure Key Vault für die Schlüsselverwaltung verwenden, nicht unterstützt.
  • PDB-Vorgangseinschränkung: Remote-PDB-Vorgänge (wie Klonen, Aktualisieren und Umspeichern) werden nur unterstützt, wenn sowohl die Quell- als auch die Zieldatenbank denselben TDE-Schlüssel (Transparent Data Encryption) verwenden.

Schritte

Hinweis

Wenn die Azure-Schlüsselverwaltung auf VM-Clusterebene aktiviert ist, stehen zwei Schlüsselverwaltungsoptionen zur Verfügung: Oracle Wallet und Azure Key Vault.

  1. Wählen Sie im Abschnitt Verschlüsselung die Option Azure Key Vault aus.
  2. Wählen Sie einen registrierten Vault aus, der in Ihrem Compartment verfügbar ist.
    Hinweis

    • Die Vault-Liste füllt nur registrierte Vaults auf.

      Klicken Sie auf den Link Neue Vaults registrieren, um Ihren Vault zu registrieren. Wählen Sie auf der Seite "Azure-Key Vaults registrieren" Ihren Vault aus, und klicken Sie auf Registrieren.

    • Mindestens ein Schlüssel muss in Ihren Vaults registriert sein.
  3. Wählen Sie den in Ihrem Compartment verfügbaren Schlüssel aus.

Hier erfahren Sie, wie Sie Verschlüsselungsschlüssel zwischen verschiedenen Verschlüsselungsmethoden ändern.

  1. Navigieren Sie in der OCI-Konsole zu Ihrem vorhandenen Exadata-VM-Cluster. Wählen Sie die Registerkarte Datenbanken aus. Wählen Sie dann die verwendete Datenbankressource.
  2. Wählen Sie die Registerkarte Datenbankinformationen aus, und scrollen Sie nach unten zum Abschnitt Schlüsselmanagement.
  3. Prüfen Sie im Abschnitt Verschlüsselung, ob Schlüsselmanagement auf Oracle Wallet gesetzt ist, und wählen Sie den Link Ändern aus.
  4. Geben Sie die folgenden Informationen auf der Seite Schlüsselverwaltung ändern ein.
    1. Wählen Sie in der Dropdown-Liste die Schlüsselverwaltung als Azure-Schlüssel-Vault aus.
    2. Wählen Sie das verwendete Vault-Compartment aus, und wählen Sie dann den Vault aus, der im Compartment verfügbar ist.
    3. Wählen Sie das verwendete Schlüssel-Compartment aus, und wählen Sie dann Ihren Schlüssel aus der Dropdown-Liste aus.
    4. Klicken Sie auf Änderungen speichern.
Hinweis

Das Ändern der Schlüsselverwaltung von Azure Key Vault in Oracle Wallet kann nicht mit der API oder OCI-Konsole ausgeführt werden. Sie wird nur über den Befehl dbaascli tde fileToHsm unterstützt. Darüber hinaus wird der Wechsel zwischen Azure Key Vault und OCI Vault oder Oracle Key Vault (OKV) nicht unterstützt.

Führen Sie die folgenden Schritte aus, um den Azure-Key Vault-Verschlüsselungsschlüssel einer Containerdatenbank (CDB) zu rotieren.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das gewünschte Compartment aus.

    Für das ausgewählte Compartment wird eine Liste der VM-Cluster angezeigt.

  3. Klicken Sie in der Liste der VM-Cluster auf den Namen des VM-Clusters mit der Datenbank, mit der Sie Verschlüsselungsschlüssel rotieren möchten.
  4. Klicken Sie auf Datenbanken.
  5. Klicken Sie auf den Namen der Datenbank, mit der Sie Verschlüsselungsschlüssel rotieren möchten.

    Auf der Seite "Datenbankdetails" werden Informationen zur ausgewählten Datenbank angezeigt.

  6. Prüfen Sie im Abschnitt Verschlüsselung, ob Key Management auf Azure Key Vault gesetzt ist, und klicken Sie dann auf den Link Rotieren.
  7. Klicken Sie im daraufhin angezeigten Dialogfeld Schlüssel rotieren auf Drehen, um die Aktion zu bestätigen.
Hinweis

Die Schlüsselrotation muss über die OCI-Schnittstelle durchgeführt werden. Das Rotieren des Schlüssels direkt über die Azure-Schnittstelle hat keine Auswirkungen auf die Datenbank.

Führen Sie diese Schritte aus, um den Azure-Key Vault-Verschlüsselungsschlüssel einer integrierbaren Datenbank (PDB) zu rotieren.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das gewünschte Compartment aus.

    Für das ausgewählte Compartment wird eine Liste der VM-Cluster angezeigt.

  3. Klicken Sie in der Liste der VM-Cluster auf den Namen des VM-Clusters mit der zu startenden PDB, und klicken Sie dann auf deren Namen, um die Detailseite anzuzeigen.
  4. Suchen sie unter Datenbanken die Datenbank mit der PDB, die Sie rotieren möchten.
  5. Klicken Sie auf den Namen der Datenbank, um die Seite "Datenbankdetails" anzuzeigen.
  6. Klicken Sie im Abschnitt Ressourcen der Seite auf Integrierbare Datenbank.

    Eine Liste vorhandener PDBs in dieser Datenbank wird angezeigt.

  7. Klicken Sie auf den Namen der PDB, die Sie Verschlüsselungsschlüssel rotieren möchten.

    Die Detailseite der integrierbaren Datenbank wird angezeigt.

  8. Im Abschnitt Verschlüsselung wird angezeigt, dass die Schlüsselverwaltung als Azure Key Vault festgelegt ist.
  9. Klicken Sie auf den Link Drehen.
  10. Klicken Sie im daraufhin angezeigten Dialogfeld Schlüssel rotieren auf Drehen, um die Aktion zu bestätigen.

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).

Mit diesen API-Vorgängen können Sie die Azure Key Vault-Integration für Exadata Database Service auf Oracle Database@Azure verwalten.

Tabelle 5-10: API-Vorgang zur Verwaltung der Azure Key Vault-Integration für Exadata Database Service auf Oracle Database@Azure

API Beschreibung
createOracleDbAzureConnector Erfasst Azure-spezifische Details vom Kunden und automatisiert die Installation des ARC-Agents im VM-Cluster ExaDB-D.
deleteOracleDbAzureConnector Löscht die Azure Connector-Ressource und deinstalliert den Arc Agent aus dem VM-Cluster ExaDB-D.
getOracleDbAzureConnector Ruft die Details einer bestimmten Azure Connector-Ressource ab.
listOracleDbAzureConnectors Listet Azure Connector-Ressourcen basierend auf den angegebenen Filtern auf.
CreateMultiCloudResourceDiscovery Erstellt eine neue Multi-Cloud-Ressourcen-Discovery-Ressource.
GetMultiCloudResourceDiscovery Ruft Details einer bestimmten Multi-Cloud-Ressourcen-Discovery-Ressource ab.
ListMultiCloudResourceDiscoveries Ruft eine Liste aller Multi-Cloud-Ressourcen-Discovery-Ressourcen ab.
CreateOracleDbAzureVaultAssociation Erstellt eine neue Verknüpfung zwischen einer Oracle DB und einem Azure-Vault.
GetOracleDbAzureVaultAssociation Ruft Details einer bestimmten Oracle DB Azure Vault-Verknüpfung ab.
ListOracleDbAzureVaultAssociations Ruft eine Liste aller Oracle DB Azure-Vault-Zuordnungen ab.
CreateCloudVMCluster Erstellt ein Cloud-VM-Cluster.
GetCloudVmCluster Ruft Informationen zum angegebenen Cloud-VM-Cluster ab. Gilt nur für Exadata Cloud Service-Instanzen und Autonomous Database auf einer dedizierten Exadata-Infrastruktur.
ListCloudVmClusters Ruft eine Liste der Cloud-VM-Cluster im angegebenen Compartment ab. Gilt nur für Exadata Cloud Service-Instanzen und Autonomous Database auf einer dedizierten Exadata-Infrastruktur.
DeleteCloudVMCluster Löscht das angegebene Cloud-VM-Cluster. Gilt nur für Exadata Cloud Service-Instanzen und Autonomous Database auf einer dedizierten Exadata-Infrastruktur.
CreateDatabase Erstellt eine neue Datenbank im angegebenen Datenbank-Home. Wenn die Datenbankversion angegeben ist, muss sie mit der Version des Datenbank-Homes übereinstimmen. Gilt für Exadata- und Exadata Cloud@Customer-Systeme.
CreateDatabaseFromBackup

Details zum Erstellen einer Datenbank durch Wiederherstellen aus einem Datenbankbackup.

Warnung: Oracle empfiehlt, dass Sie keine vertraulichen Informationen verwenden, wenn Sie Zeichenfolgenwerte mit der API angeben.

MigrateVaultKey Ändert die Verschlüsselungsschlüsselverwaltung von vom Kunden verwaltet über den Vault-Service in von Oracle verwaltet.
RotateVaultKey Erstellt eine neue Version eines vorhandenen Vault Service-Schlüssels.
RestoreDatabase Stellt eine Datenbank basierend auf den von Ihnen angegebenen Anforderungsparametern wieder her.