Documentación de Oracle Cloud Infrastructure

Gestión de claves de cifrado maestras en Azure Key Vault

Autonomous AI Database soporta claves de cifrado de datos transparente (TDE) gestionadas por el cliente que residen en Azure Key Vault.

Requisitos para utilizar claves de cifrado gestionadas por el cliente en Azure Key Vault

Describe los pasos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente en la base de datos de IA autónoma que reside en Azure Key Vault.

Limitaciones:

  • Azure Key Vault solo está soportado en regiones comerciales.

  • Azure Key Vault no está soportado en bases de datos en espera de Autonomous Data Guard entre regiones.

  • Las unidades y los tamaños de clave soportados son los siguientes:

    • RSA 2048, 3072 y 4096

    • EC-P256, EC-P256K, EC-P384, EC-P521

Siga estos pasos:

  1. Cree una instancia de base de datos de IA autónoma que utilice el valor de clave de cifrado por defecto de Cifrar mediante una clave gestionada por Oracle. Consulte Aprovisionamiento de una instancia de base de datos de IA autónoma para obtener más información.

    Nota

    Nota: la configuración de clave de cifrado para las claves gestionadas por el cliente en Azure Key Vault no está disponible durante el proceso de creación. Las opciones están disponibles tras el aprovisionamiento, al editar la instancia.

  2. Cree un almacén de claves de Azure con una clave maestra de cifrado de datos transparente (TDE).

    Consulte Acerca de Azure Key Vault para obtener más información.

  3. Active la autenticación del principal de servicio de Azure con el directorio de Azure tenant_id para permitir que su instancia de Autonomous AI Database acceda a Azure Key Vault.

    1. Obtenga su ID de inquilino de Microsoft Azure Active Directory.

      A continuación se muestra la descripción de sec_az_tenant_id.png

      Descripción de la ilustración sec_az_tenant_id.png

      Consulte Cómo encontrar el ID de inquilino de Azure Active Directory para obtener más información.

    2. Conéctese a la instancia como ADMIN.

    3. Active el principal de servicio de Azure con DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. El valor de azure_tenantid es el ID de directorio de Azure que ha obtenido en el paso anterior.

      Por ejemplo:

      BEGIN
 DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
         provider => 'AZURE',
         params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
 END;
 /

      Esto permite la autenticación del principal de servicio de Azure y crea una aplicación de Azure para Autonomous AI Database en el portal de Azure. Consulte Activar principal de servicio de Azure para obtener más información.

  4. Proporcione el consentimiento de la aplicación Azure para acceder a los recursos de Azure desde Autonomous AI Database.

    1. En la consulta Autonomous AI Database CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE

--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vista CLOUD_INTEGRATIONS está disponible para el usuario ADMIN o para un usuario con el rol DWROLE.

    2. En un explorador, abra la URL de consentimiento de Azure especificada por el parámetro azure_consent_url.

      Por ejemplo, copie azure_consent_url de los resultados de la consulta e introduzca la URL en el explorador:

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      Se abre la página Permisos solicitados y muestra una solicitud de consentimiento, similar a la siguiente:

      A continuación se muestra la descripción de azure_consent.png

      Descripción de la ilustración azure_consent.png

  5. Obtenga el nombre de la aplicación Azure.

    1. En la consulta Autonomous AI Database CLOUD_INTEGRATIONS.

      Por ejemplo:

      SELECT * FROM CLOUD_INTEGRATIONS;

    2. Copie el valor client_id incluido en consent_url.

      PARAM_NAME        PARAM_VALUE

--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=**d4f5...d5**&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

    3. Busque en client_id en el portal de Azure. El ID de aplicación se muestra en Microsoft Entra ID.

      A continuación se muestra la descripción de sec_az_app_name.png

      Descripción de la ilustración sec_az_app_name.png

    4. Copie el ID de la solicitud. Este valor se utiliza en pasos posteriores para permitir que esta aplicación acceda a claves en Azure Key Vault.

  6. Asigne los roles necesarios para que la aplicación Azure acceda a Azure Key Vault.

    1. En el portal de Azure, vaya a las políticas de acceso de Azure Key Vault.

      Se muestra la lista de aplicaciones con acceso a este almacén.

    2. En la página Políticas de acceso, haga clic en + Crear para crear una política de acceso para que la aplicación acceda a este almacén de claves.

      A continuación se muestra la descripción de sec_az_acc_pol.png

      Descripción de la ilustración sec_az_acc_pol.png

    3. Para los permisos de la página Create an access policy (Crear una política de acceso), seleccione todos los permisos de clave, incluidos: Key Management Operations (Operaciones de gestión de claves), Cryptography Operations (Operaciones de criptografía), Privileged Key Operations (Operaciones de clave con privilegios) y Rotation Policy Operations (Operaciones de política de rotación) y haga clic en Next (Siguiente).

    4. Para Principal, busque el nombre del aplicativo.

    5. Seleccione el nombre de la aplicación que se muestra y haga clic en Siguiente.

    6. Para Application (opcional), seleccione Next (Siguiente).

    7. Para revisar y crear, revise los detalles de la política y haga clic en Crear.

      A continuación se muestra la descripción de sec_az_create_pol.png

      Descripción de la ilustración sec_az_create_pol.png

    8. En la página de detalles de Azure Key Vault, haga clic en Refrescar y busque el nombre de la aplicación. Se incluye en la lista mostrada de aplicaciones con permiso para acceder a claves en este almacén de claves de Azure.

    Consulte Asignación de una política de acceso de Key Vault para obtener más información.

Uso de claves de cifrado gestionadas por el cliente en una base de datos de IA autónoma con Azure Key Vault

Muestra los pasos para cifrar su base de datos de IA autónoma mediante claves de cifrado maestras gestionadas por el cliente que residen en Azure Key Vault.

Siga estos pasos:

  1. Realice los pasos necesarios para la clave maestra gestionada por el cliente. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Azure Key Vault.

  2. En la página Detalles, en la lista desplegable Más acciones, seleccione Gestión de clave de cifrado.

    Nota

    Nota: si ya está utilizando claves de cifrado de datos transparente (TDE) gestionadas por el cliente almacenadas en Azure Key Vault y desea rotar las claves, siga estos pasos y seleccione una clave diferente (seleccione una clave que sea diferente de la clave de TDE maestra seleccionada actualmente).

  3. En la página Gestionar clave de cifrado, seleccione Cifrar mediante una clave gestionada por el cliente.

  4. En la lista desplegable Tipo de clave, seleccione Microsoft Azure.

    A continuación se muestra la descripción de sec_azure.png

    Descripción de la ilustración sec_azure.png

  5. En el campo URI de almacén, introduzca el URI de almacén de Azure.

    1. En el portal de Azure, vaya a Azure Key Vault.

    2. Seleccione la página Visión general del almacén de claves de Azure y copie el URI de almacén mostrado.

      A continuación se muestra la descripción de sec_az_vault_uri.png

      Descripción de la ilustración sec_az_vault_uri.png

    3. Introduzca el URI de almacén de Azure copiado en el campo URI de almacén de la página de clave de cifrado de Autonomous AI Database Manage.

  6. En el campo Nombre de la clave, introduzca el nombre del Nombre de la clave de Azure.

    1. En el portal de Azure, vaya a Azure Key Vault y seleccione Claves. Se muestra una lista de claves para este almacén.

    2. En la lista de claves mostradas, copie el nombre de clave que desea utilizar.

      A continuación se muestra la descripción de sec_az_key_name.png

      Descripción de la ilustración sec_az_key_name.png

    3. Introduzca el nombre de clave de Azure copiado en el campo Nombre de clave de la página de claves de cifrado de Autonomous AI Database Manage.

  7. Haga clic en Guardar.

El estado del ciclo de vida cambia a Actualizando. Cuando finaliza la solicitud, el estado del ciclo de vida muestra Disponible.

Una vez finalizada la solicitud, en la consola de Oracle Cloud Infrastructure, la información clave se muestra en la página Información de base de datos de IA autónoma, bajo la cabecera Cifrado. Esta área muestra que la clave de cifrado es una clave gestionada por el cliente (Microsoft Azure) y muestra el URI de almacén y el nombre de clave.

Por ejemplo:

A continuación se muestra la descripción de sec_az_results.png

Descripción de la ilustración sec_az_results.png

Consulte Notas sobre el uso de claves gestionadas por el cliente con una base de datos de IA autónoma para obtener más información.