Describe los pasos previos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente en Autonomous Database que residen en Azure Key Vault.

1. Cree una instancia de Autonomous Database que utilice el valor de clave de cifrado por defecto Cifrar mediante una clave gestionada por Oracle. Consulte Aprovisionamiento de una instancia de Autonomous Database para obtener más información.
   Nota
   
   La configuración de clave de cifrado para claves gestionadas por el cliente en Azure Key Vault no está disponible durante el proceso de creación. Las opciones están disponibles después del aprovisionamiento, al editar la instancia.
2. Cree un almacén de claves de Azure con una clave maestra de cifrado de datos transparente (TDE).

   Consulte Acerca de Azure Key Vault para obtener más información.

3. Active la autenticación de entidad de servicio de Azure con el directorio de Azure tenant_id para permitir que la instancia de Autonomous Database acceda a Azure Key Vault.
   1. Obtenga el ID de inquilino de Microsoft Azure Active Directory.

      
      
      Descripción de la ilustración sec_az_tenant_id.png
      

      Consulte Cómo buscar su ID de inquilino de Azure Active Directory para obtener más información.

   2. Conéctese a la instancia como ADMIN.
   3. Active la entidad de servicio de Azure con DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. El valor de azure_tenantid es el ID de directorio de Azure que ha obtenido en el paso anterior.
      Por ejemplo:

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Esto permite la autenticación de la entidad de servicio de Azure y crea una aplicación de Azure para Autonomous Database en el portal de Azure. Consulte Activación de la entidad de servicio de Azure para obtener más información.

4. Proporcione el consentimiento de la aplicación Azure para acceder a los recursos de Azure desde Autonomous Database.
   1. En Autonomous Database, consulte CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vista CLOUD_INTEGRATIONS está disponible para el usuario ADMIN o para un usuario con el rol DWROLE.

   2. En un explorador, abra la URL de consentimiento de Azure especificada por el parámetro azure_consent_url.

      Por ejemplo, copie azure_consent_url de los resultados de la consulta e introduzca la dirección URL en el explorador:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      Se abre la página Permisos solicitados y se muestra una solicitud de consentimiento, similar a la siguiente:

      
      Descripción de la ilustración azure_consent.png
5. Obtenga el nombre de la aplicación de Azure.
   1. En Autonomous Database, consulte CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;

   2. Copie el valor client_id incluido en consent_url.

      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

   3. Busque en client_id en el portal de Azure. El ID de aplicación se muestra en Microsoft Entra ID.

      
      
      Descripción de la ilustración sec_az_app_name.png
      

   4. Copie el identificador de aplicación. Este valor se utiliza en pasos posteriores para permitir que esta aplicación acceda a las claves de Azure Key Vault.
6. Asigne los roles necesarios para que la aplicación Azure acceda a Azure Key Vault.
   1. En el portal de Azure, navegue a las políticas de acceso para Azure Key Vault.

      Se muestra la lista de aplicaciones con acceso a este almacén.

   2. En la página Políticas de acceso, haga clic en + Crear para crear una política de acceso para que la aplicación acceda a este almacén de claves.

      
      
      Descripción de la ilustración sec_az_acc_pol.png
      

   3. Para Permisos en la página Crear una política de acceso, seleccione todos los permisos de clave, incluidos: Operaciones de gestión de claves, Operaciones de criptografía, Operaciones de clave con privilegios y Operaciones de política de rotación y haga clic en Siguiente.
   4. Para Principal, busque el nombre de la aplicación.
   5. Seleccione el nombre de la aplicación que se muestra y haga clic en Siguiente.
   6. En Aplicación (opcional), seleccione Siguiente.
   7. Para Revisar y crear, revise los detalles de la política y haga clic en Crear.

      
      
      Descripción de la ilustración sec_az_create_pol.png
      

   8. En la página de detalles de Azure Key Vault, haga clic en Refresh y busque el nombre de la aplicación. Se incluye en la lista mostrada de aplicaciones con permiso para acceder a claves en este almacén de claves de Azure.

   Consulte Asignación de una política de acceso de Key Vault para obtener más información.

Muestra los pasos para cifrar Autonomous Database mediante claves de cifrado maestras gestionadas por el cliente que residen en Azure Key Vault.

1. Realice los pasos necesarios para la clave maestra gestionada por el cliente. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Azure Key Vault.
2. En la página Detalles, en la lista desplegable Más acciones, seleccione Gestionar clave de cifrado.
   Nota
   
   

   Si ya está utilizando claves de cifrado de datos transparente (TDE) gestionadas por el cliente almacenadas en Azure Key Vault y desea rotar las claves, siga estos pasos y seleccione una clave diferente (Seleccione una clave diferente de la clave de TDE maestra seleccionada actualmente).

3. En la página Gestionar clave de cifrado, seleccione Cifrar utilizando una clave gestionada por el cliente.
4. En la lista desplegable Tipo de clave, seleccione Microsoft Azure.

   
   
   Descripción de la ilustración sec_azure.png
   

5. En el campo URI de almacén, introduzca el URI de almacén de Azure.
   1. En el portal de Azure, vaya a Azure Key Vault.
   2. Seleccione la página Visión general de Azure Key Vault y copie el URI de almacén mostrado.

      
      
      Descripción de la ilustración sec_az_vault_uri.png
      

   3. Introduzca el URI de Azure Vault copiado en el campo URI de almacén de la página Gestionar clave de cifrado de Autonomous Database.
6. En el campo Nombre de la clave, introduzca el nombre del Nombre de la clave de Azure.
   1. En el portal de Azure, vaya a Azure Key Vault y seleccione Claves. Se muestra una lista de claves para este almacén.
   2. En la lista de claves mostradas, copie el Nombre de clave que desea utilizar.

      
      
      Descripción de la ilustración sec_az_key_name.png
      

   3. Introduzca el nombre de clave de Azure copiado en el campo Nombre de clave de la página Gestionar clave de cifrado de Autonomous Database.
7. Haga clic en Guardar.