Verwendung von Oracle Key Vault mit Autonomous Database on Dedicated Exadata Infrastructure vorbereiten

Oracle Key Vault ist eine sicherheitserprobte Full-Stack-Software-Appliance, mit der Sie Schlüssel und Sicherheitsobjekte im Unternehmen zentral verwalten können. Oracle Key Vault ist ein vom Kunden bereitgestelltes und verwaltetes System, das nicht zu den von Oracle Cloud Infrastructure verwalteten Services gehört. Sie können Ihren On-Premise-Oracle Key Vault (OKV) in vom Kunden verwaltete Datenbank-Cloud-Services integrieren, um Ihre kritischen Daten On Premise zu sichern.

Verwandte Themen

Voraussetzungen

  1. Stellen Sie sicher, dass OKV eingerichtet ist und über das Oracle Public Cloud-Clientnetzwerk auf das Netzwerk zugegriffen werden kann. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, um auf den OKV-Server zuzugreifen.
  2. Die REST-Schnittstelle ist über die OKV-Benutzeroberfläche aktiviert.
  3. Erstellen Sie den Benutzer "OKV REST Administrator". Sie können einen beliebigen qualifizierten Benutzernamen Ihrer Wahl verwenden, z.B. "okv_rest_user". Verwenden Sie für Autonomous Database auf Cloud@Customer und Oracle Database Exadata Cloud at Customer dieselben oder verschiedene REST-Benutzer. Diese Datenbanken können in denselben oder in anderen On-Premise-OKV-Clustern als Schlüssel verwaltet werden. Für Oracle Database Exadata Cloud at Customer ist ein REST-Benutzer mit der Berechtigung create endpoint erforderlich. Autonomous Database auf Cloud@Customer benötigt REST-Benutzer mit create endpoint- und create endpoint group-Berechtigungen.
  4. Zugangsdaten des OKV-Administrators und der IP-Adresse, die für die Verbindung mit OKV und das Konfigurieren des Keystore erforderlich sind. Weitere Informationen finden Sie unter Keystore erstellen.
  5. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, um auf den OKV-Server zuzugreifen.
  6. Stellen Sie in Oracle Public Cloud-Deployments sicher, dass OKV über Netzwerkzugriff auf die Autonomous Database verfügt, indem Sie korrekte Netzwerkrouten mit VPN (Fast Connect oder VPN as a Service) oder einem beliebigen VCN-Peering festlegen, wenn sich der Compute-Host in einem anderen VCN befindet.

Vault in OCI Vault-Service erstellen und Secret zum Speichern des OKV-REST-Administratorkennworts hinzufügen

Das Deployment der dedizierten Exadata-Infrastruktur kommuniziert jedes Mal, wenn eine Oracle Database bereitgestellt wird, über REST mit OKV, um die Oracle Database zu registrieren und ein Wallet auf OKV anzufordern. Die Exadata-Infrastruktur benötigt daher Zugriff auf die REST-Admin-Zugangsdaten, um sich beim OKV-Server zu registrieren. Diese Zugangsdaten werden sicher im Oracle Vault-Service in OCI als Secret gespeichert und werden nur bei Bedarf vom dedizierten Exadata-Infrastruktur-Deployment abgerufen. Bei Bedarf werden die Zugangsdaten in einer kennwortgeschützten Wallet-Datei gespeichert.

Dynamische Gruppe und Policy-Anweisung für den Zugriff auf das Secret in OCI Vault durch den Keystore erstellen

Um Keystore-Ressourcen die Berechtigung zum Zugriff auf das Secret in OCI Vault zu erteilen, erstellen Sie eine dynamische IAM-Gruppe, welche diese Ressourcen identifiziert. Erstellen Sie dann eine IAM-Policy, die dieser dynamischen Gruppe Zugriff auf das in den OCI-Vaults und -Secrets erstellte Secret erteilt.

Beim Definieren der dynamischen Gruppe identifizieren Sie die Keystore-Ressourcen, indem Sie die OCID des Compartments angeben, das den Keystore enthält.

  • Kopieren Sie die OCID des Compartments, das die Keystore-Ressource enthält. Sie finden diese OCID auf der Seite Compartment-Details des Compartments.
  • Erstellen Sie eine dynamische Gruppe nach den Anweisungen unter Dynamische Gruppen verwalten in der Oracle Cloud Infrastructure-Dokumentation. Geben Sie beim Ausführen der Anweisungen eine Übereinstimmungsregel in diesem Format ein:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    Dabei ist <compartment-ocid> die OCID des Compartments, das die Keystore-Ressource enthält.

Nachdem Sie die dynamische Gruppe erstellt haben, navigieren Sie zu einer (oder erstellen Sie eine) IAM-Policy in einem Compartment, das in der Compartment-Hierarchie dem Compartment, das Ihre Vaults und Secrets enthält, übergeordnet ist. Fügen Sie dann eine Policy-Anweisung in diesem Format hinzu:

allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

Dabei ist <dynamic-group> der Name der dynamischen Gruppe, die Sie erstellt haben, und <vaults-and-secrets-compartment> ist der Name des Compartments, in dem Sie Ihre Vaults und Geheimnisse erstellt haben.

Policy-Anweisung zur Verwendung des Secrets aus OCI Vault-Service durch Datenbankservice erstellen

Um dem Autonomous Database-Service die Berechtigung zur Verwendung des Secrets in OCI Vault für die Anmeldung bei der OKV-REST-Schnittstelle zu erteilen, navigieren Sie zu einer (oder erstellen Sie eine) IAM-Policy in einem Compartment, das in der Compartment-Hierarchie über dem Compartment, das Ihre OCI- Vaults und -Secrets enthält, liegt. Fügen Sie dann eine Policy-Anweisung in diesem Format hinzu: 

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

Dabei ist <vaults-and-secrets-compartment> der Name des Compartments, in dem Sie Ihre OCI-Vault- und Secrets erstellt haben.

Nachdem der OCI-Vault und die IAM-Konfiguration eingerichtet wurden, können Sie den Oracle Key Vault-"Keystore" in OCI bereitstellen und mit Ihrem dedizierten Exadata-VM-Cluster verknüpfen.