Gestión de claves de cifrado maestras en AWS Key Management Service

Autonomous AI Database admite claves de cifrado de datos transparente (TDE) gestionadas por el cliente que residen en AWS Key Management Service (KMS).

Requisitos para utilizar claves de cifrado gestionadas por el cliente en AWS Key Management Service

Describe los pasos previos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente que residen en el servicio de gestión de claves (KMS) de Amazon Web Services (AWS) en la base de datos de IA autónoma.

Limitaciones:

AWS KMS solo se admite en regiones comerciales.
AWS KMS no está soportado en bases de datos en espera de Autonomous Data Guard entre regiones.

Siga estos pasos:

Cree una política de AWS que otorgue acceso de lectura a AWS KMS.

Consulte Creación de una política de IAM para acceder a AWS KMS para obtener instrucciones y Realización de requisitos previos de gestión de AWS para utilizar nombres de recursos (ARN) de Amazon para obtener más información.

Por ejemplo, se ha creado la política ADBS_AWS_Policy1:

Descripción de la ilustración sec_aws_policy.png

La política ADBS_AWS_Policy1 incluye permiso para acceder a KMS.

Descripción de la ilustración sec_aws_perm.png
Cree un rol de AWS y asocie la política al rol.

Consulte Creación de un rol de IAM para acceder a los servicios de AWS para obtener instrucciones.

Por ejemplo, se ha creado un rol ADBS_AWS_Role1:

Descripción de la ilustración sec_aws_role.png

En este ejemplo, la política ADBS_AWS_Policy1 está asociada al rol ADBS_AWS_Role1:

Descripción de la ilustración sec_aws_att_policy.png

En la página de detalles de la política, para este ejemplo, el rol se muestra en Asociado como política de permisos:

Descripción de la ilustración sec_aws_att_role.png
Especifique una relación de confianza para el rol.

Edite la relación de confianza del rol de AWS para incluir el ARN de usuario de Oracle y un ID externo (OCID de arrendamiento) para obtener seguridad adicional.
1. En la consulta Autonomous AI Database CLOUD_INTEGRATIONS.
  
  Por ejemplo:
```
SELECT * FROM CLOUD.INTEGRATIONS;
```
```
SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE

--------------- ------------------------------------------------------------------------------------------------------------------------------------------
aws_arn           arn:aws:iam:...:user/oraclearn
```
  La vista CLOUD_INTEGRATIONS está disponible para el usuario ADMIN o para un usuario con el rol DWROLE.
2. Copie PARAM_VALUE para aws_user_arn y guarde el valor para un paso posterior.
3. Obtener el OCID de arrendamiento, necesario para el ID externo.
  
  En la consola de OCI, haga clic en el perfil y seleccione arrendamiento para ir a la página de detalles del arrendamiento. Copie el OCID del arrendamiento y guárdelo para un paso posterior.
  
  Por ejemplo:
  
  Descripción de la ilustración sec_aws_ocid.png
4. En el portal de AWS, navegue hasta las entidades de confianza para el rol y desplácese hasta la sentencia "Principal".
5. Para "Principal", especifique "AWS" como ARN de usuario de Oracle guardado y, para "Condition", especifique "sts:ExternalId" como OCID guardado.
  
  Por ejemplo:
  
  Descripción de la ilustración sec_aws_trustrel.png

Uso de claves de cifrado gestionadas por el cliente en una base de datos de IA autónoma con AWS Key Management Service

Muestra los pasos para cifrar su base de datos de IA autónoma mediante claves de cifrado maestras gestionadas por el cliente que residen en AWS Key Management Service (KMS).

Siga estos pasos:

Realice los pasos necesarios para la clave de cifrado gestionada por el cliente según sea necesario. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en AWS Key Management Service para obtener más información.
Cree una instancia de base de datos de IA autónoma que utilice el valor de clave de cifrado por defecto de Cifrar mediante una clave gestionada por Oracle. Consulte Aprovisionamiento de una instancia de base de datos de IA autónoma para obtener más información.

Nota

Nota: La configuración de clave de cifrado para claves gestionadas por el cliente en AWS Key Vault no está disponible durante el proceso de creación de instancias de Autonomous AI Database. Las opciones están disponibles tras el aprovisionamiento, al editar la instancia.
En la página Detalles de la instancia de base de datos de IA autónoma, haga clic en Más acciones y seleccione Gestionar clave de cifrado.

Nota

: si ya está utilizando claves gestionadas por el cliente en AWS KMS y desea rotar las claves de TDE, siga estos pasos y seleccione una clave diferente (seleccione una clave que sea diferente de la clave de cifrado maestra seleccionada actualmente).
En la página Gestionar clave de cifrado, seleccione Cifrar mediante una clave gestionada por el cliente.
En la lista desplegable Tipo de clave, seleccione Amazon Web Services (AWS).

Descripción de la ilustración sec_aws.png
Introduzca el URI de punto final de servicio.

El URI de punto final de servicio es la región de AWS donde se encuentra el KMS de AWS.
1. Vaya al portal de AWS y navegue hasta el KMS donde se encuentra su clave.
2. Busque el nombre de la región que aparece en la barra superior del portal.
  
  Por ejemplo, este KMS se encuentra en la región denominada Ohio:
  
  Descripción de la ilustración sec_aws_region.png
3. Busque el punto final correspondiente a la región. Vaya a Puntos finales y cuotas del servicio de gestión de claves de AWS y busque el punto final para el nombre de la región de AWS en la que se encuentra el KMS de AWS.
  
  Por ejemplo, si el nombre de la región de AWS es Ohio, el punto final es kms.us-east-2.amazonaws.com.
4. Introduzca el punto final para el URI de punto final de servicio.
Introduzca la ARN o el alias de la clave.
1. Navegue a la página de detalles clave en el portal de AWS. Copie el alias o la ARN de la clave.
  
  Por ejemplo, el alias para ADBS_TestAWSKMSKey está seleccionado:
  
  Descripción de la ilustración sec_aws_alias.png
2. Introduzca el alias o la ARN de la clave en el campo Key ARN or Alias (ARN o alias de la clave).
  
  Si introduce el alias, agregue el prefijo alias/ a la entrada. Por ejemplo, si el alias es ADBS_TestAWSKMSKey, introduzca:
```
alias/ADBS_TestAWSKMSKey
```
  Si introduce el ARN, no se necesita ningún prefijo. Por ejemplo, si la ARN es arn.aws.kms.us-east-2:37807956...bd154, introduzca:
```
arn.aws.kms.us-east-2:37807956...bd154
```
Introduzca el rol ARN (opcional).
1. Navegue a la página de detalles del rol en el portal de AWS.
2. Copie el ARN del rol.
  
  Por ejemplo, se copia el ARN para ADBS_AWS_Role1:
  
  Descripción de la ilustración sec_aws_arn_role.png
3. Introduzca el ARN copiado en el campo ARN Role (Rol de ARN).
Introduzca un ID externo (opcional).

Para el ID externo, introduzca tenant_ocid.
Haga clic en Guardar.

Por ejemplo:

Descripción de la ilustración sec_aws_save.png

El estado del ciclo de vida cambia a Actualizando. Cuando finaliza la solicitud, el estado del ciclo de vida muestra Disponible.

Una vez finalizada la solicitud, en la consola de Oracle Cloud Infrastructure, la información clave se muestra en la página de detalles de la instancia de la base de datos de IA autónoma en la cabecera Cifrado.

Por ejemplo:

A continuación se muestra la descripción de sec_aws_done.png

Descripción de la ilustración sec_aws_done.png

Consulte Notas sobre el uso de claves gestionadas por el cliente con una base de datos de IA autónoma para obtener más información.

Documentación de Oracle Cloud Infrastructure

Gestión de claves de cifrado maestras en AWS Key Management Service

Requisitos para utilizar claves de cifrado gestionadas por el cliente en AWS Key Management Service

Uso de claves de cifrado gestionadas por el cliente en una base de datos de IA autónoma con AWS Key Management Service