Documentación de Oracle Cloud Infrastructure

Requisitos para utilizar claves de cifrado gestionadas por el cliente en Autonomous Database en OCI Vault

Realice estos pasos previos necesarios para utilizar claves gestionadas por el cliente en Autonomous Database en OCI Vault:

  1. Cree una instancia de Oracle Cloud Infrastructure Vault.
    1. Haga clic en icono de navegación junto a Oracle Cloud para abrir la consola de Oracle Cloud Infrastructure.
    2. En el menú de navegación izquierdo de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    3. En Gestión de claves y gestión de secretos, haga clic en Almacén.
    4. Seleccione un almacén existente o cree uno nuevo.

      Para obtener más información, consulte Creación de un almacén.

  2. Crear una clave de cifrado maestra en el almacén.
    Nota

    Al crear la clave, debe utilizar estas opciones:

    • Unidad de clave: algoritmo: AES (Código simétrico utilizado para cifrar y descifrar)

    • Unidad de clave: longitud: 256 bits

    Para obtener más información, consulte Creación de una clave de cifrado maestra y Visión general de Key Management.

  3. Cree un grupo dinámico y sentencias de política para el grupo dinámico para permitir el acceso a los recursos de Oracle Cloud Infrastructure (valores y claves).
    Este paso depende de si el almacén está en el mismo arrendamiento que la instancia de Autonomous Database o en un arrendamiento diferente:

Debe replicar el almacén y las claves para utilizar claves de cifrado gestionadas por el cliente con Autonomous Data Guard con una base de datos en espera remota. Las claves de cifrado gestionadas por el cliente solo están soportadas con una única base de datos en espera de Autonomous Data Guard entre regiones. No están soportadas varias bases de datos en espera entre regiones porque Oracle Cloud Infrastructure Vault solo soporta la replicación en una región remota.

Puede obtener más información en los siguientes enlaces:

Tema principal: Gestión de claves de cifrado maestras en OCI Vault

Creación de grupos dinámicos y políticas para claves gestionadas por el cliente con almacén en el mismo arrendamiento que la base de datos

Cree políticas y grupos dinámicos para proporcionar acceso al almacén y las claves para las claves gestionadas por el cliente cuando el almacén y las claves estén en el mismo arrendamiento que la instancia de Autonomous Database.

  1. Cree un grupo dinámico para que la clave de cifrado maestra sea accesible para la instancia de Autonomous Database.
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad, haga clic en Dominios y seleccione un dominio de identidad (o cree un nuevo dominio de identidad).
    3. En Dominio de identidad, haga clic en Grupos dinámicos.
    4. Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla.

      • Cree un grupo dinámico para una base de datos existente:

        Puede especificar que una instancia de Autonomous Database forme parte del grupo dinámico. El grupo dinámico del siguiente ejemplo incluye solo Autonomous Database cuyo OCID se especifique en el parámetro resource.id: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Cree un grupo dinámico para una base de datos que aún no se haya aprovisionado:

        Al crear el grupo dinámico antes de aprovisionar o clonar una instancia de Autonomous Database, el OCID de la nueva base de datos aún no está disponible. En este caso, cree un grupo dinámico que especifique los recursos de un compartimento determinado: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Haga clic en Crear.
  2. Escriba sentencias de política para el grupo dinámico para permitir el acceso a los recursos de Oracle Cloud Infrastructure (almacenes y claves).
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad y, a continuación, en Políticas.
    2. Para escribir políticas para un grupo dinámico, haga clic en Crear política e introduzca un nombre y una descripción.
    3. Utilice el Creador de política para crear una política para el almacén y las claves en el arrendamiento local.

      Por ejemplo, lo siguiente permite a los miembros del grupo dinámico DGKeyCustomer1 acceder a los almacenes y claves del compartimento denominado training: 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Esta política de ejemplo se aplica a un único compartimento. Puede especificar que una política se aplique a su arrendamiento, compartimento, recurso o grupo de recursos.

      Para utilizar claves gestionadas por el cliente con Autonomous Data Guard con una base de datos en espera remota, también se necesita la siguiente política: 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Haga clic en Crear para guardar la política.

Creación de grupos dinámicos y políticas para claves gestionadas por el cliente con Vault en un arrendamiento diferente al de la base de datos

Realice estos pasos para utilizar claves gestionadas por el cliente cuando la instancia de Autonomous Database y los almacenes y las claves estén en distintos arrendamientos.

En este caso, debe proporcionar valores de OCID al cambiar a claves gestionadas por el cliente. Además, debe definir políticas y grupos dinámicos que permitan a la instancia de Autonomous Database utilizar almacenes y claves en un arrendamiento diferente.

  1. Copie el OCID de la clave de cifrado maestra.
  2. Copie el OCID del almacén.
  3. Copie el OCID del arrendamiento (el arrendamiento remoto que contiene almacenes y claves).
  4. En el arrendamiento con la instancia de Autonomous Database, cree un grupo dinámico.
    1. En la consola de Oracle Cloud Infrastructure, en el arrendamiento con la instancia de Autonomous Database, haga clic en Identidad y seguridad.
    2. En Identidad, haga clic en Dominios y seleccione un dominio de identidad (o cree un nuevo dominio de identidad).
    3. En Dominio de identidad, haga clic en Grupos dinámicos.
    4. Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla.

      • Cree un grupo dinámico para una base de datos existente:

        Puede especificar que una instancia de Autonomous Database forme parte del grupo dinámico. El grupo dinámico del siguiente ejemplo incluye solo Autonomous Database cuyo OCID se especifique en el parámetro resource.id: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Cree un grupo dinámico para una base de datos que aún no se haya aprovisionado:

        Al crear el grupo dinámico antes de aprovisionar o clonar una instancia de Autonomous Database, el OCID de la nueva base de datos aún no está disponible. En este caso, cree un grupo dinámico que especifique los recursos de un compartimento determinado: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Haga clic en Crear.
  5. En el arrendamiento con la instancia de Autonomous Database, defina las políticas para permitir el acceso a almacenes y claves (donde los almacenes y las claves están en un arrendamiento diferente).
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad haga clic en Políticas.
    3. Para escribir una política, haga clic en Crear política.
    4. En la página Crear Política, introduzca un nombre y una descripción.
    5. En la página Crear política, seleccione Mostrar editor manual.
    6. En el creador de políticas, agregue políticas para que la instancia de Autonomous Database pueda acceder a almacenes y claves ubicados en el diferente arrendamiento. Agregue también políticas para el grupo de IAM al que pertenece el usuario de IAM para que la consola de Oracle Cloud Infrastructure para la instancia de Autonomous Database pueda mostrar detalles sobre la clave que reside en un arrendamiento diferente.

      Por ejemplo, en la política genérica, llame al arrendamiento con la instancia de Autonomous Database Tenancy-1 y al arrendamiento con almacenes y claves, Tenancy-2:

      Copie la siguiente política y sustituya las variables y los nombres por los valores que defina, donde el nombre del grupo dinámico ADB-DynamicGroup es el grupo dinámico que ha creado en el paso 4: 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Por ejemplo, lo siguiente permite a los miembros del grupo dinámico DGKeyCustomer1 acceder a los almacenes y claves remotos del arrendamiento denominado training2: 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Haga clic en Crear para guardar la política.
  6. Copie el OCID del arrendamiento (el arrendamiento que contiene la instancia de Autonomous Database).
  7. Copie el OCID del grupo dinámico (para el grupo dinámico creado en el paso 4).
  8. En el arrendamiento remoto con almacenes y claves, defina un grupo dinámico y políticas para permitir que la instancia de Autonomous Database acceda a almacenes y claves.
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad haga clic en Políticas.
    3. Para crear una política, haga clic en Crear política.
    4. En la página Crear Política, introduzca un nombre y una descripción.
    5. En la página Crear política, seleccione Mostrar editor manual.
    6. En el creador de políticas, agregue políticas y un grupo dinámico para proporcionar acceso al grupo dinámico del arrendamiento con la instancia de Autonomous Database (Tenancy-1), de modo que la instancia de Autonomous Database pueda utilizar los almacenes y las claves del arrendamiento-2. También debe agregar políticas para permitir al grupo de usuarios acceder al almacén y las claves para mostrar información en la consola de Oracle Cloud Infrastructure para la instancia de Autonomous Database en un arrendamiento diferente.

      Utilice el Creador de políticas para crear un grupo dinámico y una política para almacenes y claves. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Por ejemplo, defina lo siguiente en el arrendamiento remoto para permitir que los miembros del grupo dinámico DGKeyCustomer1 y el grupo REMGROUP accedan a los almacenes y claves remotos del arrendamiento denominado training2: 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Haga clic en Crear para guardar la política.