Documentación de Oracle Cloud Infrastructure

Gestionar claves de cifrado maestras en Oracle Key Vault

La base de datos de IA autónoma soporta claves de cifrado de datos transparente (TDE) gestionadas por el cliente que residen en Oracle Key Vault (OKV).

Requisitos para Utilizar Claves de Cifrado Gestionadas por el Cliente en Oracle Key Vault

Describe los pasos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente que residen en Oracle Key Vault (OKV) en la base de datos de IA autónoma.

Requisitos:

Limitación:

  • OKV no está soportado en bases de datos en espera de Autonomous Data Guard entre regiones.

Siga estos pasos:

  1. Cree un punto final de OKV, una cartera y una clave maestra de TDE.

    1. Inicie sesión en la instancia de OKV.

      • Copie la dirección IP pública o la dirección IP privada en la página de detalles de la instancia de OKV y péguela en un explorador.

      • En la página de conexión de la instancia de OKV, introduzca el nombre de usuario y la contraseña.

    2. Cree y registre un punto final de OKV.

    3. Crear una cartera

      La cartera de OKV contiene la clave de cifrado maestra de TDE.

    4. Cree una clave de cifrado maestra de TDE en la cartera.

      • Seleccione Claves y secretos y haga clic en Crear.

      • En Claves de aplicación, seleccione Clave de cifrado maestra de TDE.

      • En Extractable, seleccione True.

      • Asegúrese de que la Fecha de desactivación esté vacía.

        Por ejemplo:

        A continuación se muestra la descripción de sec_okv_key.png

        Descripción de la ilustración sec_okv_key.png

        • Para Pertenencia a cartera, haga clic en Seleccionar cartera.

      • En la lista de carteras que se muestra, seleccione la cartera creada en el paso anterior y haga clic en Cerrar.

      • Haga clic en Crear. La clave de cifrado maestra de TDE se crea y se muestra en Contenido de cartera.

    5. Modifique el punto final para que la cartera creada anteriormente sea la cartera por defecto.

      • Navegue a la página de detalles del punto final.

      • En el panel Cartera predeterminada, seleccione Seleccionar cartera.

      • En la página Choose Wallet, seleccione la cartera creada anteriormente y haga clic en Select.

      • Haga clic en Guardar.

    6. Active los servicios Restful.

      Nota

      Nota: Los servicios Restful deben estar activados en la instancia de OKV para ejecutar correctamente el comando curl, en un paso posterior, para descargar la cartera.

      • En la página de inicio de OKV, seleccione el separador System (Sistema).

      • En el panel de navegación de la izquierda, haga clic en Setting .

      • En Configuración del sistema, seleccione Servicios recomendados.

      • Haga clic en Todo y, a continuación, en Guardar.

  2. Aprovisione una instancia de base de datos de IA autónoma con la siguiente configuración necesaria:

    1. Para Seleccionar acceso de red, seleccione Solo acceso de punto final privado.

    2. En Red virtual en la nube, seleccione la VCN en la que se está ejecutando esta instancia de base de datos.

    3. Para Subred, seleccione la subred privada en la que se ejecuta esta instancia de base de datos.

    4. Para Grupos de seguridad de red (NSG), seleccione el grupo de seguridad.

    5. Para la configuración de Clave de cifrado, utilice por defecto Cifrado mediante una clave gestionada por Oracle. Esta configuración se cambia a claves gestionadas por el cliente en OKV, una vez que se completan estos pasos de requisitos. Las claves gestionadas por el cliente se desactivan durante el aprovisionamiento de instancias. Consulte Uso de claves de cifrado gestionadas por el cliente en una base de datos de IA autónoma con Oracle Key Vault para obtener más información.

  3. Conéctese a la instancia de la base de datos de IA autónoma y cree un directorio para la cartera de OKV.

    1. Conéctese a la instancia de base de datos de IA autónoma de punto final privado como usuario ADMIN.

      Por ejemplo, conéctese a la instancia de base de datos OKVDEMO1:

       <pre class="copy"><code>SQL&gt; connect ADMIN/*&lt;password&gt;*@OKVDEMO1_low</code></pre>

    2. Cree un objeto de directorio en la instancia de base de datos de IA autónoma.

      Por ejemplo:

       <pre class="copy"><code>SQL&gt; create directory okv_dir as &#39;okvdir&#39;;</code></pre>

    3. Compruebe que se ha creado el directorio.

      Por ejemplo, las siguientes sentencias crean el objeto de directorio OKV_DIR y los resultados de la sentencia muestran el nombre del directorio (OKV_DIR) y la ruta de acceso del directorio (/u03/dbfs/<path data>/data/okvdir).

       <pre class="copy"><code>SQL&gt; connect ADMIN/&lt;*admin password*&gt;#@OKVDEMO1_low Connected SQL&gt; SQL&gt; create directory okv_dir as &#39;okvdir&#39;; Directory created. SQL&gt; select * from dba_directories where directory_name = &#39;OKV_DIR&#39;; OWNER --------------------------------------------------------------------- DIRECTORY_NAME --------------------------------------------------------------------- DIRECTORY_PATH --------------------------------------------------------------------- ORIGIN_CON_ID ------------- SYS OKV_DIR /u03/dbfs/&lt;*path data*&gt;/data/okvdir SQL&gt;</code></pre>

  4. Descargue la cartera de punto final en el objeto de directorio creado en la instancia de base de datos de IA autónoma. Esta cartera no es la cartera de TDE virtual en OKV que contiene la clave de cifrado maestra de TDE. Esta cartera contiene los certificados necesarios para establecer una conexión mTLS 1.2 entre OKV y la base de datos de IA autónoma.

    1. Descargue la cartera para el punto final desde la instancia de OKV.

      Ejecute el siguiente comando desde una instancia informática que esté en la misma red que OKV:

       <pre class="copy"><code>curl -k -X POST  --location https**:**//*OKV server*:5695/okv/cloud/utility/endpoint/download/sso  --data &quot;token=*Enrollment Token*&quot;  --output cwallet.sso</code></pre>

      Dónde:

      • OKV server es el nombre de dominio completo interno (FQDN) o la dirección IP privada. Si utiliza una máquina virtual de OCI para alojar OKV, este valor se puede obtener en la página de detalles de la instancia de OKV de OCI del separador Red en VNIC principal.

      • Enrollment Token es el token de inscripción para el punto final que se encuentra en la página Puntos finales.

      Por ejemplo:

       <pre class="copy"><code>$ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso                          --data &quot;token=H5r8NzqxopYOgkZC&quot;                          --output cwallet.sso % Total    % Received % Xferd Average Speed   Time    Time    Time  Current      Dload  Upload  Total   Spent    Left  Speed 100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172  ls -altr ./cwallet.sso  -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso</code></pre>

      Después de descargar la cartera, el punto final de la instancia de OKV cambia de REGISTERED a ENROLLED.

    2. Cargue la cartera en Object Storage.

      Cargue el archivo de cartera de la máquina local en el cubo de Object Storage mediante Upload Object. Consulte Carga de un objeto en un cubo para obtener más información.

    3. En Object Storage, genere una URL de solicitud autenticada previamente (PAR) para el archivo de cartera cargado. Consulte Creación de una solicitud autenticada previamente en Object Storage para obtener más información.

    4. Desde la máquina virtual, conéctese a la instancia de base de datos como usuario ADMIN.

    5. En la instancia de base de datos, ejecute el procedimiento DBMS_CLOUD.GET_OBJECT para descargar la cartera de Object Storage en el directorio de cartera de la instancia de base de datos.

      Por ejemplo:

       <pre class="copy"><code>BEGIN DBMS_CLOUD.GET_OBJECT(     object_uri =&gt; &#39;*&lt;PAR URL&gt;*&#39;,     directory_name =&gt; &#39;*&lt;wallet_dir&gt;*&#39;); END; /</code></pre>

      • Dónde:

        • object_uri es la URL de PAR generada para el archivo de cartera en Object Storage.

        • directory_name es el nombre del directorio de cartera creado en la instancia de base de datos.

        Consulte Función y procedimiento GET_OBJECT para obtener más información.

    6. Suprima la cartera de Object Storage.

  5. Copie el valor de Identificador único de la columna Detalles del contenido de cartera.

    1. Extraiga el DN del certificado.

      Ejecute el siguiente comando para recuperar el DN de certificado:

       <pre class="copy"><code>$ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed &#39;s|subject=||&#39;</code></pre>

 Output

 <pre class="copy"><code>CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us</code></pre>

      Aquí, CN es el DN de certificado.

      También puede recuperar los detalles de DN de certificado de la consola de OKV.

      • Inicie sesión en la instancia de OKV y haga clic en el separador System (Sistema).

      • En el panel de navegación izquierdo, haga clic en Settings (Configuración) en System (Sistema).

      • En Certificados, haga clic en Certificados de servicio.

      • En la sección Certificado de CA actual, localice Nombre común (DN de certificado) y utilice este valor como DN de certificado en lugar de ejecutar el comando openssl anterior.

Uso de claves de cifrado gestionadas por el cliente en una base de datos de IA autónoma con Oracle Key Vault

Muestra los pasos para cifrar su base de datos de IA autónoma mediante claves de cifrado maestras gestionadas por el cliente que residen en Oracle Key Vault (OKV).

Siga estos pasos:

  1. Realice los pasos necesarios para la clave de cifrado gestionada por el cliente según sea necesario. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Oracle Key Vault para obtener más información.

  2. En la página Detalles de la instancia de base de datos de IA autónoma, haga clic en Más acciones y seleccione Gestionar clave de cifrado.

    A continuación se muestra la descripción de sec_okv_manage.png

    Descripción de la ilustración sec_okv_manage.png

    Nota

    Nota: si ya está utilizando claves gestionadas por el cliente en OKV y desea rotar las claves de TDE, siga estos pasos y seleccione una clave diferente (seleccione una clave distinta de la clave de cifrado maestra seleccionada actualmente). Sin embargo, no puede utilizar una clave de OKV que se haya utilizado anteriormente en la misma instancia de base de datos de IA autónoma.

  3. En la página Gestionar clave de cifrado, seleccione Cifrar mediante una clave gestionada por el cliente.

  4. En la lista desplegable Tipo de clave, seleccione Oracle Key Vault (OKV).

    El cuadro de diálogo Gestionar clave de cifrado muestra las opciones de Oracle Key Vault (OKV).

    A continuación se muestra la descripción de sec_okv.png

    Descripción de la ilustración sec_okv.png

  5. Introduzca la siguiente información:

    • UUID de OKV: introduzca el identificador único de la clave maestra de TDE para la clave ubicada en la instancia de OKV.

      Para encontrar este valor:

      1. Conéctese a la instancia de OKV y seleccione Claves y carteras.

      2. Haga clic en el nombre de la cartera por defecto del punto final de la base de datos de IA autónoma.

      3. Desplácese hasta Contenido de cartera y copie el Identificador único de la columna Detalles.

        Por ejemplo:

           <pre class="copy"><code>BC63511B-4B4A-411C-A71C-4AA90005F632 OKV Server URI: ok Certificate DN:</code></pre>

   Click the endpoint name, then click the green **Download (PEM format)**; this downloads the "CA.pem" to your computer.

   Extract the certificate DN with a command such as:

   <pre class="copy"><code>$ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed &#39;s|subject=||&#39;</code></pre>

        Por ejemplo:

           <pre class="copy"><code>CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us</code></pre>

      4. Haga clic en el nombre de la cartera por defecto para el punto final de la base de datos de IA autónoma.

      5. Desplácese hasta Acceso al contenido de la cartera y copie el Identificador único.

        A continuación se muestra la descripción de sec_okv_uuid.png

        Descripción de la ilustración sec_okv_uuid.png

      6. Pegue el identificador único en el campo UUID de OKV.

      • URI del servidor de OKV: introduzca el nombre de dominio completo interno o la IP privada que se encuentra en la página de detalles de la instancia de OKV.

      Por ejemplo, si utiliza una máquina virtual de OCI para alojar OKV, este valor se puede encontrar en la página de detalles de la instancia de OKV en VNIC principal:

      A continuación se muestra la descripción de sec_okv_fqdn.png

      Descripción de la ilustración sec_okv_fqdn.png

      • Certificate DN (DN de certificado): introduzca el nombre distintivo (DN) del certificado.

      • ID de certificado (opcional): introduzca el ID de certificado o déjelo en blanco.

        Nota

        Nota: Este campo es opcional si se utilizan las versiones 21.9 y posteriores de OKV. Si utiliza versiones de OKV inferiores a 21.9, se requiere el ID de certificado.

      • Nombre de directorio: introduzca el nombre del directorio donde se guarda la cartera en la instancia de la base de datos de IA autónoma.

  6. Haga clic en Guardar.

    Cuando el guardado se completa correctamente, la configuración de cifrado de la instancia de la base de datos de IA autónoma se actualiza para mostrar la clave gestionada por el cliente (Oracle Key Vault [OKV]) y el estado de la solicitud de trabajo se muestra correctamente.

    A continuación se muestra la descripción de sec_okv_done.png

    Descripción de la ilustración sec_okv_done.png

Consulte Notas sobre el uso de claves gestionadas por el cliente con una base de datos de IA autónoma para obtener más información.