Oracle Key Vault mit einer autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur verwenden

Oracle Key Vault ist eine sicherheitserprobte Full-Stack-Software-Appliance, mit der Sie Schlüssel und Sicherheitsobjekte im Unternehmen zentral verwalten können. Oracle Key Vault ist ein vom Kunden bereitgestelltes und verwaltetes System, das nicht zu den von Oracle Cloud Infrastructure verwalteten Services gehört. Sie können Ihren On-Premises-Oracle Key Vault (OKV) in vom Kunden verwaltete Datenbank-Cloud-Services integrieren, um Ihre kritischen Daten On-Premises zu sichern.

Voraussetzungen

  1. Stellen Sie sicher, dass OKV eingerichtet ist und über das Oracle Public Cloud-Clientnetzwerk auf das Netzwerk zugegriffen werden kann. Öffnen Sie für den Zugriff auf den OKV-Server die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk.

  2. Die REST-Schnittstelle ist über die OKV-Benutzeroberfläche aktiviert.

  3. Erstellen Sie einen Benutzer "OKV REST Administrator". Sie können jeden beliebigen qualifizierten Benutzernamen Ihrer Wahl verwenden, z.B. "okv_rest_user". Verwenden Sie für Autonomous AI Database on Cloud@Customer und Oracle Database Exadata Cloud@Customer dieselben oder andere REST-Benutzer. Diese Datenbanken können in denselben oder anderen On-Premise-OKV-Clustern als Schlüssel verwaltet werden. Oracle Database Exadata Cloud@Customer benötigt einen REST-Benutzer mit der Berechtigung create endpoint. Autonomous AI Database on Cloud@Customer benötigt REST-Benutzer mit create endpoint- und create endpoint group-Berechtigungen.

  4. Zugangsdaten des OKV-Administrators und der IP-Adresse, die für die Verbindung mit OKV und das Konfigurieren des Keystore erforderlich sind. Weitere Informationen finden Sie unter Keystore erstellen.

  5. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, um auf den OKV-Server zuzugreifen.

  6. Stellen Sie bei Oracle Public Cloud-Deployments sicher, dass OKV über Netzwerkzugriff auf die autonome KI-Datenbank verfügt, indem Sie korrekte Netzwerkrouten mit VPN (Fast Connect oder VPN as a Service) oder VCN-Peering festlegen, wenn sich der Compute-Host in einem anderen VCN befindet.

Vault in OCI Vault-Service erstellen und Secret zum Speichern des OKV-REST-Administratorkennworts hinzufügen

Ihr dediziertes Exadata-Infrastruktur-Deployment kommuniziert mit OKV über REST jedes Mal, wenn eine Oracle Database bereitgestellt wird, um die Oracle Database zu registrieren und ein Wallet auf OKV anzufordern. Daher benötigt die Exadata-Infrastruktur Zugriff auf die REST-Admin-Zugangsdaten, um sich beim OKV-Server zu registrieren. Diese Zugangsdaten werden sicher im Oracle Vault-Service in OCI als Secret gespeichert und werden nur bei Bedarf von Ihrem dedizierten Deployment der Exadata-Infrastruktur abgerufen. Bei Bedarf werden die Zugangsdaten in einer passwortgeschützten Wallet-Datei gespeichert.

Policy-Anweisung zur Verwendung des Secrets aus dem OKV Vault-Service für den Datenbankservice erstellen

Um dem autonomen AI-Datenbankservice die Berechtigung zur Verwendung des Secrets in OCI Vault zur Anmeldung bei der OKV-REST-Schnittstelle zu erteilen, navigieren Sie zu (oder erstellen) einer IAM-Policy in einem Compartment, die höher in Ihrer Compartment-Hierarchie als das Compartment mit Ihren OCI-Vault und -Secrets ist. Fügen Sie dann eine Policy-Anweisung in diesem Format hinzu:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

Dabei ist <vaults-and-secrets-compartment> der Name des Compartments, in welchem Sie Ihre OCI-Vault- und -Secrets erstellt haben.

Nachdem der OCI-Vault und die IAM-Konfiguration eingerichtet wurden, können Sie den "Keystore" von Oracle Key Vault in OCI bereitstellen und mit Ihrem dedizierten Exadata-VM-Cluster verknüpfen.

OKV-Endpunktgruppe aktualisieren

Sie können die OKV-Endpunktgruppe auf der Seite "Details" einer ACD aktualisieren.

Optional können Sie beim Provisioning der ACD oder höher auch einen OKV-Endpunktgruppennamen mit dem OKV-Keystore hinzufügen.

Um die OKV-Endpunktgruppe auf einer ACD zu aktualisieren, müssen Sie Folgendes sicherstellen:

So aktualisieren Sie den Namen der OKV-Endpunktgruppe:

OKV-Endpunkte verwalten

Oracle Key Vault-Endpunkte löschen

Nachdem Sie eine ACD beendet haben, sollten Sie die Endpunkte, die der ACD entsprechen, aus OKV löschen. OKV-Endpunkte werden zum Zeitpunkt des ACD-Provisionings pro ACD pro Clusterknoten erstellt. Wenn Sie die Endpunkte löschen, die einer beendeten ACD entsprechen, wird die OKV organisiert und hilft bei der Rotation des OKV-CA-Zertifikats.

Wenn Sie einen Endpunkt löschen, wird er endgültig aus Oracle Key Vault entfernt. Sicherheitsobjekte, die zuvor von diesem Endpunkt erstellt oder hochgeladen wurden, bleiben jedoch in Oracle Key Vault. Ebenso bleiben Sicherheitsobjekte, die mit diesem Endpunkt verknüpft sind, erhalten. Um diese Sicherheitsobjekte endgültig zu löschen oder neu zuzuweisen, müssen Sie ein Benutzer mit der Rolle "Schlüsseladministrator" sein oder autorisiert sein, diese Objekte durch Verwaltung von Wallet-Berechtigungen zusammenzuführen. Die zuvor am Endpunkt heruntergeladene Endpunktsoftware verbleibt auch auf dem Endpunkt, bis der Endpunktadministrator sie entfernt.

Sie können einen Endpunkt mit dem Status PENDING nur löschen, wenn Sie der Benutzer sind, der ihn erstellt hat. Sie müssen sie auf dem Knoten löschen, auf dem sie erstellt wurde. Weitere Informationen finden Sie unter Endpunkte löschen.

Endpunkte erneut registrieren

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure unterstützt die sofort einsatzbereite erneute Registrierung von OKV-Endpunkten nicht. Um OKV-Endpunkte erneut zu registrieren, müssen Sie sich an die Operations-Teams der autonomen KI-Datenbank wenden.

Verwandte Inhalte

Keystore erstellen und verwalten