Documentación de Oracle Cloud Infrastructure

Gestión de claves de cifrado maestras en Azure Key Vault

Autonomous Database soporta claves de cifrado de datos transparente (TDE) gestionadas por el cliente que residen en Azure Key Vault.

Tema principal: Gestión de claves de cifrado en Autonomous Database

Requisitos para utilizar claves de cifrado gestionadas por el cliente en Azure Key Vault

Describe los pasos previos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente en Autonomous Database que residen en Azure Key Vault.

Limitaciones:
  • Azure Key Vault solo está soportado en regiones comerciales.
  • Azure Key Vault no está soportado en bases de datos en espera de Autonomous Data Guard entre regiones.

  • Las unidades y tamaños de clave soportados son los siguientes:

    • RSA 2048, 3072 y 4096
    • EC-P256, EC-P256K, EC-P384, EC-P521

Realice los siguientes pasos:

  1. Cree una instancia de Autonomous Database que utilice el valor de clave de cifrado por defecto Cifrar mediante una clave gestionada por Oracle. Consulte Aprovisionamiento de una instancia de Autonomous Database para obtener más información.
    Nota

    La configuración de clave de cifrado para claves gestionadas por el cliente en Azure Key Vault no está disponible durante el proceso de creación. Las opciones están disponibles después del aprovisionamiento, al editar la instancia.
  2. Cree un almacén de claves de Azure con una clave maestra de cifrado de datos transparente (TDE).

    Consulte Acerca de Azure Key Vault para obtener más información.

  3. Active la autenticación de entidad de servicio de Azure con el directorio de Azure tenant_id para permitir que la instancia de Autonomous Database acceda a Azure Key Vault.
    1. Obtenga el ID de inquilino de Microsoft Azure Active Directory.
    2. Conéctese a la instancia como ADMIN.
    3. Active la entidad de servicio de Azure con DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. El valor de azure_tenantid es el ID de directorio de Azure que ha obtenido en el paso anterior.
      Por ejemplo:
      BEGIN
 DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
         provider => 'AZURE',
         params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
 END;
 /

      Esto permite la autenticación de la entidad de servicio de Azure y crea una aplicación de Azure para Autonomous Database en el portal de Azure. Consulte Activación de la entidad de servicio de Azure para obtener más información.

  4. Proporcione el consentimiento de la aplicación Azure para acceder a los recursos de Azure desde Autonomous Database.
    1. En Autonomous Database, consulte CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vista CLOUD_INTEGRATIONS está disponible para el usuario ADMIN o para un usuario con el rol DWROLE.

    2. En un explorador, abra la URL de consentimiento de Azure especificada por el parámetro azure_consent_url.

      Por ejemplo, copie azure_consent_url de los resultados de la consulta e introduzca la dirección URL en el explorador: 

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      Se abre la página Permisos solicitados y se muestra una solicitud de consentimiento, similar a la siguiente:

      A continuación se muestra la descripción de azure_consent.png
      Descripción de la ilustración azure_consent.png
  5. Obtenga el nombre de la aplicación de Azure.
    1. En Autonomous Database, consulte CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;
    2. Copie el valor client_id incluido en consent_url.
      PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...
    3. Busque en client_id en el portal de Azure. El ID de aplicación se muestra en Microsoft Entra ID.
    4. Copie el identificador de aplicación. Este valor se utiliza en pasos posteriores para permitir que esta aplicación acceda a las claves de Azure Key Vault.
  6. Asigne los roles necesarios para que la aplicación Azure acceda a Azure Key Vault.
    1. En el portal de Azure, navegue a las políticas de acceso para Azure Key Vault.

      Se muestra la lista de aplicaciones con acceso a este almacén.

    2. En la página Políticas de acceso, haga clic en + Crear para crear una política de acceso para que la aplicación acceda a este almacén de claves.
    3. Para Permisos en la página Crear una política de acceso, seleccione todos los permisos de clave, incluidos: Operaciones de gestión de claves, Operaciones de criptografía, Operaciones de clave con privilegios y Operaciones de política de rotación y haga clic en Siguiente.
    4. Para Principal, busque el nombre de la aplicación.
    5. Seleccione el nombre de la aplicación que se muestra y haga clic en Siguiente.
    6. En Aplicación (opcional), seleccione Siguiente.
    7. Para Revisar y crear, revise los detalles de la política y haga clic en Crear.
    8. En la página de detalles de Azure Key Vault, haga clic en Refresh y busque el nombre de la aplicación. Se incluye en la lista mostrada de aplicaciones con permiso para acceder a claves en este almacén de claves de Azure.

    Consulte Asignación de una política de acceso de Key Vault para obtener más información.

Uso de claves de cifrado gestionadas por el cliente en Autonomous Database con Azure Key Vault

Muestra los pasos para cifrar Autonomous Database mediante claves de cifrado maestras gestionadas por el cliente que residen en Azure Key Vault.

Realice los siguientes pasos:

  1. Realice los pasos necesarios para la clave maestra gestionada por el cliente. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Azure Key Vault.
  2. En la página Detalles, en la lista desplegable Más acciones, seleccione Gestionar clave de cifrado.
    Nota

    Si ya está utilizando claves de cifrado de datos transparente (TDE) gestionadas por el cliente almacenadas en Azure Key Vault y desea rotar las claves, siga estos pasos y seleccione una clave diferente (Seleccione una clave diferente de la clave de TDE maestra seleccionada actualmente).

  3. En la página Gestionar clave de cifrado, seleccione Cifrar utilizando una clave gestionada por el cliente.
  4. En la lista desplegable Tipo de clave, seleccione Microsoft Azure.
  5. En el campo URI de almacén, introduzca el URI de almacén de Azure.
    1. En el portal de Azure, vaya a Azure Key Vault.
    2. Seleccione la página Visión general de Azure Key Vault y copie el URI de almacén mostrado.
    3. Introduzca el URI de Azure Vault copiado en el campo URI de almacén de la página Gestionar clave de cifrado de Autonomous Database.
  6. En el campo Nombre de la clave, introduzca el nombre del Nombre de la clave de Azure.
    1. En el portal de Azure, vaya a Azure Key Vault y seleccione Claves. Se muestra una lista de claves para este almacén.
    2. En la lista de claves mostradas, copie el Nombre de clave que desea utilizar.
    3. Introduzca el nombre de clave de Azure copiado en el campo Nombre de clave de la página Gestionar clave de cifrado de Autonomous Database.
  7. Haga clic en Guardar.

El estado del ciclo de vida cambia a Actualizando. Cuando finaliza la solicitud, el estado del ciclo de vida muestra Disponible.

Una vez completada la solicitud, en la consola de Oracle Cloud Infrastructure, la información clave se muestra en la página Información de Autonomous Database, en la cabecera Encriptación. En esta área se muestra la clave de cifrado clave gestionada por el cliente (Microsoft Azure) y se muestran el URI de almacén y el nombre de clave.

Por ejemplo:
A continuación se muestra la descripción de sec_az_results.png
Descripción de la ilustración sec_az_results.png

Consulte Notas sobre el uso de claves gestionadas por el cliente con Autonomous Database para obtener más información.