Documentación de Oracle Cloud Infrastructure

Gestión de claves de cifrado maestras en AWS Key Management Service

Autonomous Database soporta claves de cifrado de datos transparente (TDE) gestionadas por el cliente que residen en AWS Key Management Service (KMS).

Tema principal: Gestión de claves de cifrado en Autonomous Database

Requisitos para usar claves de cifrado gestionadas por el cliente en AWS Key Management Service

Describe los pasos previos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente que residen en el servicio de gestión de claves (KMS) de Amazon Web Services (AWS) en Autonomous Database.

Limitaciones:
  • AWS KMS solo se admite en regiones comerciales.
  • AWS KMS no está soportado en las bases de datos en espera de Autonomous Data Guard entre regiones.

Realice los siguientes pasos:

  1. Cree una política de AWS que otorgue acceso de lectura a AWS KMS.

    Consulte Creación de una política de IAM para acceder a KMS de AWS para obtener instrucciones y Cumpla los requisitos de gestión de AWS para utilizar nombres de recursos de Amazon (ARN) para obtener más información.

    Por ejemplo, se ha creado la política ADBS_AWS_Policy1:
    A continuación se muestra la descripción de sec_aws_policy.png
    Descripción de la ilustración sec_aws_policy.png

    La política ADBS_AWS_Policy1 incluye permiso para acceder a KMS.
    A continuación se muestra la descripción de sec_aws_perm.png
    Descripción de la ilustración sec_aws_perm.png

  2. Cree un rol de AWS y asocie la política al rol.

    Consulte Creación de un rol de IAM para acceder a los servicios de AWS para obtener instrucciones.

    Por ejemplo, se ha creado un rol ADBS_AWS_Role1:


    A continuación se muestra la descripción de sec_aws_role.png
    Descripción de la ilustración sec_aws_role.png

    En este ejemplo, la política ADBS_AWS_Policy1 está asociada al rol ADBS_AWS_Role1:


    A continuación se muestra la descripción de sec_aws_att_policy.png
    Descripción de la ilustración sec_aws_att_policy.png

    En la página de detalles de la política, en este ejemplo, el rol se muestra en Asociado como política de permisos:


    A continuación se muestra la descripción de sec_aws_att_role.png
    Descripción de la ilustración sec_aws_att_role.png

  3. Especifique una relación de confianza para el rol.

    Edite la relación de confianza del rol de AWS para incluir el ARN de usuario de Oracle y un ID externo (OCID de arrendamiento) para obtener seguridad adicional.

    1. En Autonomous Database, consulte CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
aws_arn           arn:aws:iam:…:user/oraclearn

      La vista CLOUD_INTEGRATIONS está disponible para el usuario ADMIN o para un usuario con el rol DWROLE.

    2. Copie PARAM_VALUE para aws_user_arn y guarde el valor para un paso posterior.
    3. Obtenga el OCID de arrendamiento, necesario para el ID externo.

      En la consola de OCI, haga clic en Perfil y seleccione Arrendamiento para ir a la página de detalles del arrendamiento. Copie el OCID del arrendamiento y guárdelo para un paso posterior.

      Por ejemplo:


      A continuación se muestra la descripción de sec_aws_ocid.png
      Descripción de la ilustración sec_aws_ocid.png

    4. En el portal de AWS, vaya a Entidades de confianza para el rol y desplácese a la sentencia "Principal".
    5. Para "Principal", especifique "AWS" como ARN de usuario de Oracle guardado y, para "Condition", especifique "sts:ExternalId" como OCID guardado.

Uso de claves de cifrado gestionadas por el cliente en Autonomous Database con AWS Key Management Service

Muestra los pasos para cifrar Autonomous Database mediante claves de cifrado maestras gestionadas por el cliente que residen en AWS Key Management Service (KMS).

Realice los siguientes pasos:

  1. Realice los pasos necesarios para la clave de cifrado gestionada por el cliente según sea necesario. Consulte Prerequisites to Use Customer-Managed Encryption Keys in AWS Key Management Service para obtener más información.
  2. Cree una instancia de Autonomous Database que utilice el valor de clave de cifrado por defecto Cifrar mediante una clave gestionada por Oracle. Consulte Aprovisionamiento de una instancia de Autonomous Database para obtener más información.
    Nota

    La configuración de clave de cifrado para claves gestionadas por el cliente en AWS Key Vault no está disponible durante el proceso de creación de la instancia de Autonomous Database. Las opciones están disponibles después del aprovisionamiento, al editar la instancia.
  3. En la página Detalles de la instancia de Autonomous Database, haga clic en Más acciones y seleccione Gestionar clave de cifrado.
    Nota

    Si ya está utilizando claves gestionadas por el cliente en AWS KMS y desea rotar las claves de TDE, siga estos pasos y seleccione una clave diferente (Seleccione una clave diferente de la clave de cifrado maestra seleccionada actualmente).
  4. En la página Gestionar clave de cifrado, seleccione Cifrar utilizando una clave gestionada por el cliente.
  5. En la lista desplegable Tipo de clave, seleccione Amazon Web Services (AWS).
  6. Introduzca el URI de punto final de servicio.

    El URI de punto final de servicio es la región de AWS donde se encuentra el KMS de AWS.

    1. Vaya al portal de AWS y navegue hasta el KMS donde se encuentra su clave.
    2. Busque el nombre de la región que aparece en la barra superior del portal.

      Por ejemplo, este KMS se encuentra en la región denominada Ohio:


      A continuación se muestra la descripción de sec_aws_region.png
      Descripción de la ilustración sec_aws_region.png

    3. Busque el punto final correspondiente a la región. Vaya a Puntos finales y cuotas del servicio AWS Key Management y busque el punto final del nombre de región de AWS donde se encuentra su KMS de AWS.

      Por ejemplo, si el nombre de la región de AWS es Ohio, el punto final es kms.us-east-2.amazonaws.com.

    4. Introduzca el punto final para el URI de punto final de servicio.
  7. Introduzca el ARN o el alias de clave.
    1. Vaya a la página de detalles clave del portal de AWS. Copie el alias o el ARN de la clave.

      Por ejemplo, se selecciona el alias para ADBS_TestAWSKMSKey:


      A continuación se muestra la descripción de sec_aws_alias.png
      Descripción de la ilustración sec_aws_alias.png

    2. Introduzca el alias o el ARN de la clave en el campo ARN o alias de clave.
      Si introduce el alias, anteponga alias/ a la entrada. Por ejemplo, si el alias es ADBS_TestAWSKMSKey, introduzca:
      alias/ADBS_TestAWSKMSKey
      Si introduce el ARN, no se necesita ningún prefijo. Por ejemplo, si el ARN es arn.aws.kms.us-east-2:37807956...bd154, introduzca:
      arn.aws.kms.us-east-2:37807956...bd154
  8. Introduzca el rol de ARN (opcional).
    1. Vaya a la página de detalles del rol en el portal de AWS.
    2. Copie el ARN del rol.

      Por ejemplo, se copia el ARN de ADBS_AWS_Role1:


      A continuación se muestra la descripción de sec_aws_arn_role.png
      Descripción de la ilustración sec_aws_arn_role.png

    3. Introduzca el ARN copiado en el campo Rol de ADV.
  9. Introduzca el ID externo (opcional).

    Para el ID externo, introduzca tenant_ocid.

  10. Haga clic en Guardar.

El estado del ciclo de vida cambia a Actualizando. Cuando finaliza la solicitud, el estado del ciclo de vida muestra Disponible.

Una vez completada la solicitud, en la consola de Oracle Cloud Infrastructure, la información clave se muestra en la página de detalles de la instancia de Autonomous Database, en la cabecera Encriptación.

Por ejemplo:


A continuación se muestra la descripción de sec_aws_done.png
Descripción de la ilustración sec_aws_done.png

Consulte Notas sobre el uso de claves gestionadas por el cliente con Autonomous Database para obtener más información.