Documentación de Oracle Cloud Infrastructure

Gestión de claves de cifrado maestras en AWS Key Management Service

Autonomous Database admite claves de cifrado de datos transparente (TDE) gestionadas por el cliente que residen en AWS Key Management Service (KMS).

Tema principal: Gestión de claves de cifrado en Autonomous Database

Requisitos para utilizar claves de cifrado gestionadas por el cliente en AWS Key Management Service

Describe los pasos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente que residen en el servicio de gestión de claves (KMS) de Amazon Web Services (AWS) en Autonomous Database.

Limitaciones:
  • AWS KMS solo se admite en regiones comerciales.
  • AWS KMS no está soportado en las bases de datos en espera de Autonomous Data Guard entre regiones.

Siga estos pasos:

  1. Cree una política de AWS que otorgue acceso de lectura a AWS KMS.

    Consulte Creación de una política de IAM para acceder a AWS KMS para obtener instrucciones y Realización de requisitos previos de gestión de AWS para utilizar nombres de recursos (ARN) de Amazon para obtener más información.

    Por ejemplo, se ha creado la política ADBS_AWS_Policy1:
    Descripción de sec_aws_policy.png a continuación
    Descripción de la ilustración sec_aws_policy.png

    La política ADBS_AWS_Policy1 incluye permiso para acceder a KMS.
    Descripción de sec_aws_perm.png a continuación
    Descripción de la ilustración sec_aws_perm.png

  2. Cree un rol de AWS y asocie la política al rol.

    Consulte Creación de un rol de IAM para acceder a los servicios de AWS para obtener instrucciones.

    Por ejemplo, se ha creado un rol ADBS_AWS_Role1:


    Descripción de sec_aws_role.png a continuación
    Descripción de la ilustración sec_aws_role.png

    En este ejemplo, la política ADBS_AWS_Policy1 está asociada al rol ADBS_AWS_Role1:


    Descripción de sec_aws_att_policy.png a continuación
    Descripción de la ilustración sec_aws_att_policy.png

    En la página de detalles de la política, para este ejemplo, el rol se muestra en Asociado como política de permisos:


    Descripción de sec_aws_att_role.png a continuación
    Descripción de la ilustración sec_aws_att_role.png

  3. Especifique una relación de confianza para el rol.

    Edite la relación de confianza del rol de AWS para incluir el ARN de usuario de Oracle y un ID externo (OCID de arrendamiento) para obtener seguridad adicional.

    1. En la consulta de Autonomous Database CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
aws_arn           arn:aws:iam:…:user/oraclearn

      La vista CLOUD_INTEGRATIONS está disponible para el usuario ADMIN o para un usuario con el rol DWROLE.

    2. Copie PARAM_VALUE para aws_user_arn y guarde el valor para un paso posterior.
    3. Obtener el OCID de arrendamiento, necesario para el ID externo.

      En la consola de OCI, haga clic en el perfil y seleccione arrendamiento para ir a la página de detalles del arrendamiento. Copie el OCID del arrendamiento y guárdelo para un paso posterior.

      Por ejemplo:


      Descripción de sec_aws_ocid.png a continuación
      Descripción de la ilustración sec_aws_ocid.png

    4. En el portal de AWS, navegue hasta las entidades de confianza del rol y desplácese hasta la sentencia "Principal".
    5. Para "Principal", especifique "AWS" como ARN de usuario de Oracle guardado y, para "Condition", especifique "sts:ExternalId" como OCID guardado.

Uso de claves de cifrado gestionadas por los clientes en Autonomous Database con AWS Key Management Service

Muestra los pasos para cifrar su instancia de Autonomous Database mediante claves de cifrado maestras gestionadas por el cliente que residen en AWS Key Management Service (KMS).

Siga estos pasos:

  1. Realice los pasos necesarios para la clave de cifrado gestionada por el cliente según sea necesario. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en AWS Key Management Service para obtener más información.
  2. Cree una instancia de Autonomous Database que utilice el valor de clave de cifrado por defecto de Cifrar mediante una clave gestionada por Oracle. Consulte Aprovisionamiento de una instancia de la instancia de Autonomous Database para más información.
    Nota

    La configuración de la clave de cifrado para las claves gestionadas por el cliente en AWS Key Vault no está disponible durante el proceso de creación de instancias de Autonomous Database. Las opciones están disponibles tras el aprovisionamiento, al editar la instancia.
  3. En la página Detalles de la instancia de Autonomous Database, haga clic en Más acciones y seleccione Gestionar clave de cifrado.
    Nota

    Si ya utiliza claves gestionadas por el cliente en AWS KMS y desea rotar las claves de TDE, siga estos pasos y seleccione una clave diferente (seleccione una clave que sea diferente de la clave de cifrado maestra seleccionada actualmente).
  4. En la página Gestionar clave de cifrado, seleccione Cifrar mediante una clave gestionada por el cliente.
  5. En la lista desplegable Tipo de clave, seleccione Amazon Web Services (AWS).
  6. Introduzca el URI de punto final de servicio.

    El URI de punto final de servicio es la región de AWS donde se encuentra el KMS de AWS.

    1. Vaya al portal de AWS y navegue hasta el KMS donde se encuentra su clave.
    2. Busque el nombre de la región que aparece en la barra superior del portal.

      Por ejemplo, este KMS se encuentra en la región denominada Ohio:


      Descripción de sec_aws_region.png a continuación
      Descripción de la ilustración sec_aws_region.png

    3. Busque el punto final correspondiente a la región. Vaya a Puntos finales y cuotas del servicio de gestión de claves de AWS y busque el punto final para el nombre de la región de AWS en la que se encuentra el KMS de AWS.

      Por ejemplo, si el nombre de la región de AWS es Ohio, el punto final es kms.us-east-2.amazonaws.com.

    4. Introduzca el punto final para el URI de punto final de servicio.
  7. Introduzca la ARN o el alias de la clave.
    1. Navegue a la página de detalles clave en el portal de AWS. Copie el alias o la ARN de la clave.

      Por ejemplo, el alias para ADBS_TestAWSKMSKey está seleccionado:


      Descripción de sec_aws_alias.png a continuación
      Descripción de la ilustración sec_aws_alias.png

    2. Introduzca el alias o la ARN de la clave en el campo ARN o alias de la clave.
      Si introduce el alias, agregue el prefijo alias/ a la entrada. Por ejemplo, si el alias es ADBS_TestAWSKMSKey, introduzca:
      alias/ADBS_TestAWSKMSKey
      Si introduce el ARN, no se necesita ningún prefijo. Por ejemplo, si el ARN es arn.aws.kms.us-east-2:37807956...bd154, introduzca:
      arn.aws.kms.us-east-2:37807956...bd154
  8. Introduzca el rol ARN (opcional).
    1. Navegue a la página de detalles del rol en el portal de AWS.
    2. Copie el ARN del rol.

      Por ejemplo, se copia el ARN para ADBS_AWS_Role1:


      Descripción de sec_aws_arn_role.png a continuación
      Descripción de la ilustración sec_aws_arn_role.png

    3. Introduzca el ARN copiado en el campo Rol de ARN.
  9. Introduzca un ID externo (opcional).

    Para el ID externo, introduzca tenant_ocid.

  10. Haga clic en Guardar.

El estado del ciclo de vida cambia a Actualizando. Cuando finaliza la solicitud, el estado del ciclo de vida muestra Disponible.

Una vez finalizada la solicitud, en la consola de Oracle Cloud Infrastructure, la información clave se muestra en la página de detalles de la instancia de Autonomous Database, en la cabecera Cifrado.

Por ejemplo:


Descripción de sec_aws_done.png a continuación
Descripción de la ilustración sec_aws_done.png

Consulte Notas sobre el uso de claves gestionadas por el cliente con Autonomous Database para obtener más información.