Oracle Key Vault mit einer autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur verwenden

Oracle Key Vault ist eine sicherheitserprobte Full-Stack-Software-Appliance, mit der Sie Schlüssel und Sicherheitsobjekte im Unternehmen zentral verwalten können. Oracle Key Vault ist ein vom Kunden bereitgestelltes und verwaltetes System, das nicht zu den von Oracle Cloud Infrastructure verwalteten Services gehört. Sie können Ihren On-Premise-Oracle Key Vault (OKV) in vom Kunden verwaltete Datenbank-Cloud-Services integrieren, um Ihre kritischen Daten On Premise zu sichern.

Verwandte Themen

Voraussetzungen

  1. Stellen Sie sicher, dass OKV eingerichtet ist und über das Oracle Public Cloud-Clientnetzwerk auf das Netzwerk zugegriffen werden kann. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, um auf den OKV-Server zuzugreifen.
  2. Die REST-Schnittstelle ist über die OKV-Benutzeroberfläche aktiviert.
  3. Erstellen Sie den Benutzer "OKV REST Administrator". Sie können jeden beliebigen qualifizierten Benutzernamen Ihrer Wahl verwenden, z.B. "okv_rest_user". Verwenden Sie für Autonomous AI Database auf Cloud@Customer und Oracle Database Exadata Cloud at Customer dieselben oder andere REST-Benutzer. Diese Datenbanken können in denselben oder anderen On-Premise-OKV-Clustern als Schlüssel verwaltet werden. Oracle Database Exadata Cloud at Customer benötigt einen REST-Benutzer mit der Berechtigung create endpoint. Autonome KI-Datenbank auf Cloud@Customer benötigt REST-Benutzer mit create endpoint- und create endpoint group-Berechtigungen.
  4. Zugangsdaten des OKV-Administrators und der IP-Adresse, die für die Verbindung mit OKV und das Konfigurieren des Keystore erforderlich sind. Weitere Informationen finden Sie unter Keystore erstellen.
  5. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, um auf den OKV-Server zuzugreifen.
  6. Stellen Sie bei Oracle Public Cloud-Deployments sicher, dass OKV Netzwerkzugriff auf die autonome KI-Datenbank hat, indem Sie korrekte Netzwerkrouten mit VPN (Fast Connect oder VPN as a Service) oder VCN-Peering festlegen, wenn sich der Compute-Host in einem anderen VCN befindet.

Vault in OCI Vault-Service erstellen und Secret zum Speichern des OKV-REST-Administratorkennworts hinzufügen

Das Deployment der dedizierten Exadata-Infrastruktur kommuniziert jedes Mal, wenn eine Oracle Database bereitgestellt wird, über REST mit OKV, um die Oracle Database zu registrieren und ein Wallet auf OKV anzufordern. Die Exadata-Infrastruktur benötigt daher Zugriff auf die REST-Admin-Zugangsdaten, um sich beim OKV-Server zu registrieren. Diese Zugangsdaten werden sicher im Oracle Vault-Service in OCI als Secret gespeichert und werden nur bei Bedarf vom dedizierten Exadata-Infrastruktur-Deployment abgerufen. Bei Bedarf werden die Zugangsdaten in einer kennwortgeschützten Wallet-Datei gespeichert.

OKV-Endpunktgruppe aktualisieren

Sie können die OKV-Endpunktgruppe auf der Seite "Details" einer ACD aktualisieren.

Optional können Sie beim Provisioning der ACD oder höher auch einen OKV-Endpunktgruppennamen mit dem OKV-Keystore hinzufügen.

Um die OKV-Endpunktgruppe auf einer ACD zu aktualisieren, müssen Sie Folgendes sicherstellen:
  • Die OKV-Endpunktgruppe hat Zugriff auf das entsprechende OKV-Wallet.
  • Die OKV-Endpunkte, die der ACD entsprechen, gehören zur OKV-Endpunktgruppe.
  • Die OKV-Endpunktgruppe hat Lesezugriff auf Standard-Wallet(s) der Endpunkte.
So aktualisieren Sie den Namen der OKV-Endpunktgruppe:
  • Gehen Sie zur Seite Details der ACD. Anweisungen finden Sie unter Details einer autonomen Containerdatenbank anzeigen.
  • Klicken Sie neben dem Namen der OKV-Endpunktgruppe unter Verschlüsselung auf Bearbeiten.
  • Wählen Sie einen Keystore aus der Liste, und geben Sie einen Namen für die OKV-Endpunktgruppe ein. Der Name der Endpunktgruppe muss in Großbuchstaben angegeben werden. Er kann Zahlen, Bindestriche (-) und Unterstriche (_) enthalten und mit einem Großbuchstaben beginnen.
  • Klicken Sie auf Speichern.

OKV-Endpunkte verwalten

Oracle Key Vault-Endpunkte löschen

Nachdem Sie eine ACD beendet haben, sollten Sie die Endpunkte, die der ACD entsprechen, aus OKV löschen. OKV-Endpunkte werden zum Zeitpunkt des ACD-Provisionings pro ACD pro Clusterknoten erstellt. Wenn Sie die Endpunkte löschen, die einer beendeten ACD entsprechen, wird die OKV organisiert und hilft bei der Rotation des OKV-CA-Zertifikats.

Wenn Sie einen Endpunkt löschen, wird er endgültig aus Oracle Key Vault entfernt. Sicherheitsobjekte, die zuvor von diesem Endpunkt erstellt oder hochgeladen wurden, bleiben jedoch in Oracle Key Vault. Ebenso bleiben Sicherheitsobjekte, die mit diesem Endpunkt verknüpft sind, erhalten. Um diese Sicherheitsobjekte endgültig zu löschen oder neu zuzuweisen, müssen Sie ein Benutzer mit der Rolle "Schlüsseladministrator" sein oder autorisiert sein, diese Objekte durch Verwaltung von Wallet-Berechtigungen zusammenzuführen. Die zuvor am Endpunkt heruntergeladene Endpunktsoftware bleibt auch auf dem Endpunkt, bis der Endpunktadministrator sie entfernt.

Sie können einen Endpunkt mit dem Status PENDING nur löschen, wenn Sie der Benutzer sind, der ihn erstellt hat. Sie müssen sie auf dem Knoten löschen, auf dem sie erstellt wurde. Weitere Informationen finden Sie unter Endpunkte löschen.

Endpunkte erneut registrieren

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure unterstützt die sofort einsatzbereite erneute Registrierung von OKV-Endpunkten nicht. Um OKV-Endpunkte erneut zu registrieren, müssen Sie sich an die Autonomous AI Database-Betriebsteams wenden.