Requisitos para utilizar claves de cifrado gestionadas por el cliente en la base de datos de IA autónoma en OCI Vault

Realice estos pasos previos necesarios para utilizar claves gestionadas por el cliente en Autonomous AI Database en OCI Vault:

1. Cree un archivo Oracle Cloud Infrastructure Vault.

   1. Haga clic en junto a Oracle Cloud para abrir la consola de Oracle Cloud Infrastructure.

   2. En el menú de navegación de la izquierda de Oracle Cloud Infrastructure, haga clic en Identity and Security.

   3. En Key Management & Secret Management, haga clic en Vault.

   4. Seleccione un almacén existente o cree un nuevo almacén.

      Para obtener más información, consulte Creación de un almacén.

2. Cree una clave de cifrado maestra en el almacén de claves.

   Nota
   
   

   Nota:

   Debe utilizar estas opciones al crear la clave:

   • Key Shape: Algorithm (Unidad de clave: algoritmo): AES (clave simétrica usada para el cifrado y descifrado)

   • Unidad de clave: longitud: 256 bits

   Para obtener más información, consulte Creating a Master Encryption Key y Overview of Key Management.

   

   Descripción de la ilustración adb_security_vault_key.png

3. Cree sentencias de política y grupo dinámico para el grupo dinámico a fin de permitir el acceso a los recursos de Oracle Cloud Infrastructure (valores por defecto y claves).

   Este paso depende de si el almacén está en el mismo arrendamiento que la instancia de base de datos de IA autónoma o en un arrendamiento diferente:

   • El almacén y las claves están en el mismo arrendamiento que la instancia de la base de datos de IA autónoma. Consulte Creación de grupos dinámicos y políticas para claves gestionadas por el cliente con un almacén en el mismo arrendamiento que la base de datos para obtener más información.

   • El almacén y las claves están en un arrendamiento diferente. Consulte Creación de grupos dinámicos y políticas para claves gestionadas por el cliente con un almacén en un arrendamiento diferente al de la base de datos para obtener más información.

Debe replicar el almacén y las claves para utilizar claves de cifrado gestionadas por el cliente con Autonomous Data Guard con una base de datos en espera remota. Las claves de cifrado gestionadas por el cliente solo están soportadas con una única base de datos en espera de Autonomous Data Guard entre regiones. No están soportadas varias bases de datos en espera entre regiones porque Oracle Cloud Infrastructure Vault solo soporta la replicación en una región remota.

Puede obtener más información en los siguientes enlaces:

• Replicación de un almacén y sus claves

• Autonomous Data Guard entre regiones con claves de cifrado gestionadas por el cliente

Creación de grupos dinámicos y políticas para claves gestionadas por el cliente con un almacén en el mismo arrendamiento que la base de datos

Cree políticas y grupos dinámicos para proporcionar acceso al almacén y las claves para las claves gestionadas por el cliente cuando el almacén y las claves estén en el mismo arrendamiento que la instancia de base de datos de IA autónoma.

1. Cree un grupo dinámico para que la clave de cifrado maestra sea accesible para la instancia de la base de datos de IA autónoma.

   1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.

   2. En Identidad, haga clic en Dominios y seleccione un dominio de identidad (o cree un nuevo dominio de identidad).

   3. En Dominio de identidad, haga clic en Grupos dinámicos.

   4. Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla.

      • Crear un grupo dinámico para una base de datos existente:

        Puede especificar que una instancia de base de datos de IA autónoma forme parte del grupo dinámico. El grupo dinámico del siguiente ejemplo incluye solo la base de datos de IA autónoma cuyo OCID se especifica en el parámetro resource.id:

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Cree un grupo dinámico para una base de datos que aún no se haya aprovisionado:

        Al crear el grupo dinámico antes de aprovisionar o clonar una instancia de base de datos de IA autónoma, el OCID de la nueva base de datos aún no está disponible. Para este caso, cree un grupo dinámico que especifique los recursos en un compartimento determinado:

        resource.compartment.id = '*<your_Compartment_OCID>*'

   5. Haga clic en Crear.

2. Escribir sentencias de política para el grupo dinámico para permitir el acceso a los recursos de Oracle Cloud Infrastructure (almacenes y claves).

   1. En la consola de Oracle Cloud Infrastructure, haga clic en Identity & Security y, a menudo, en Policies.

   2. Para escribir políticas para un grupo dinámico, haga clic en Crear Política e introduzca un Nombre y una Descripción.

   3. Utilice el Creador de políticas para crear una política para el almacén y las claves en el arrendamiento local.

      Por ejemplo, lo siguiente permite a los miembros del grupo dinámico DGKeyCustomer1 acceder a los almacenes y las claves del compartimento denominado training:

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Esta política de ejemplo se aplica a un único compartimento. Puede especificar que se aplique una política para su arrendamiento, un compartimento, un recurso o un grupo de recursos.

      Para utilizar claves gestionadas por el cliente con Autonomous Data Guard con una base de datos en espera remota, también se necesita la siguiente política:

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
      Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training

   4. Haga clic en Crear para guardar la política.

   Puede obtener más información en los siguientes enlaces:

   • Gestión de políticas

   • Autonomous Data Guard entre regiones con claves de cifrado gestionadas por el cliente

   • Replicación de almacenes y claves

Creación de grupos dinámicos y políticas para claves gestionadas por el cliente con un almacén en un arrendamiento diferente al de la base de datos

Realice estos pasos para utilizar claves gestionadas por el cliente cuando la instancia y los almacenes y las claves de la base de datos de IA autónoma estén en arrendamientos diferentes.

En este caso, debe proporcionar valores de OCID cuando cambie a claves gestionadas por el cliente. Además, debe definir grupos dinámicos y políticas que permitan a la instancia de Autonomous AI Database utilizar almacenes y claves en un arrendamiento diferente.

1. Copie el OCID de la clave de cifrado maestro.

2. Copie el OCID del almacén.

3. Copie el OCID del arrendamiento (el arrendamiento remoto que contiene almacenes y claves).

4. En el arrendamiento con la instancia de base de datos de IA autónoma, cree un grupo dinámico.

   a. En la consola de Oracle Cloud Infrastructure, en el arrendamiento con la instancia de base de datos de IA autónoma, haga clic en Identidad y seguridad.

   b. En Identidad, haga clic en Dominios y seleccione un dominio de identidad (o cree un nuevo dominio de identidad).

   c. En Dominio de identidad, haga clic en Grupos dinámicos.

   d. Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla.

   • Crear un grupo dinámico para una base de datos existente:

     Puede especificar que una instancia de base de datos de IA autónoma forme parte del grupo dinámico. El grupo dinámico del siguiente ejemplo incluye solo la base de datos de IA autónoma cuyo OCID se especifica en el parámetro resource.id:

     resource.id = '*<your_Autonomous_Database_instance_OCID>*'

   • Cree un grupo dinámico para una base de datos que aún no se haya aprovisionado:

     Al crear el grupo dinámico antes de aprovisionar o clonar una instancia de base de datos de IA autónoma, el OCID de la nueva base de datos aún no está disponible. Para este caso, cree un grupo dinámico que especifique los recursos en un compartimento determinado:

     resource.compartment.id = '*<your_Compartment_OCID>*'

   e. Haga clic en Crear.

5. En el arrendamiento con la instancia de base de datos de IA autónoma, defina las políticas para permitir el acceso a almacenes y claves (donde los almacenes y las claves están en un arrendamiento diferente).

   a. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.

   b. En Identidad, haga clic en Políticas.

   c. Para escribir una política, haga clic en Crear política.

   d. En la página Crear política, introduzca un nombre y una descripción.

   e. En la página Crear política, seleccione Mostrar editor manual.

   

   Descripción de la ilustración adb_keys_create_policy_manual.png

   f. En el creador de políticas, agregue políticas para que la instancia de la base de datos de IA autónoma pueda acceder a almacenes y claves ubicados en el arrendamiento diferente. Agregue también políticas para el grupo de IAM al que pertenece el usuario de IAM para que la consola de Oracle Cloud Infrastructure para la instancia de base de datos de IA autónoma pueda mostrar detalles sobre la clave que reside en un arrendamiento diferente.

   Por ejemplo, en la política genérica, llame al arrendamiento con la instancia de base de datos de IA autónoma Arrendamiento-1 y al arrendamiento con almacenes y claves, Arrendamiento-2:

   Copie la siguiente política y sustituya las variables y los nombres por los valores que defina, donde el nombre de grupo dinámico ADB-DynamicGroup es el grupo dinámico que ha creado en el paso 4:

   define tenancy REMTEN as <*ocid of tenancy-2*>
   endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
   endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
   endorse group MyUserGroup to use vaults in tenancy REMTEN
   endorse group MyUserGroup to use keys in tenancy REMTEN

   Por ejemplo, lo siguiente permite a los miembros del grupo dinámico DGKeyCustomer1 acceder a los almacenes remotos y las claves en el arrendamiento denominado training2:

   define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
   endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
   endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
   endorse group MyUserGroup to use vaults in tenancy training2
   endorse group MyUserGroup to use keys in tenancy training2

   g. Haga clic en Crear para guardar la política.

6. Copie el OCID del arrendamiento (el arrendamiento que contiene la instancia de la base de datos de IA autónoma).

7. Copie el OCID del grupo dinámico (para el grupo dinámico que ha creado en el paso 4).

8. En el arrendamiento remoto con almacenes y claves, defina un grupo dinámico y políticas para permitir que la instancia de la base de datos de IA autónoma acceda a almacenes y claves.

   a. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.

   b. En Identidad, haga clic en Políticas.

   c. Para crear una política, haga clic en Crear política.

   d. En la página Crear Política, introduzca un nombre y una descripción.

   e. En la página Crear política, seleccione Mostrar editor manual.

   f. En el creador de políticas, agregue políticas y un grupo dinámico para proporcionar acceso al grupo dinámico del arrendamiento con la instancia de base de datos de IA autónoma (arrendamiento-1), de modo que la instancia de base de datos de IA autónoma pueda utilizar los almacenes y las claves del arrendamiento-2. También debe agregar políticas para permitir que el grupo de usuarios acceda al almacén y las claves para mostrar información en la consola de Oracle Cloud Infrastructure para la instancia de base de datos de IA autónoma en un arrendamiento diferente.

   Utilice el Creador de Política para crear un grupo dinámico y una política para almacenes y claves.

   define tenancy ADBTEN as <*ocid of tenancy-1*>
   define dynamic-group REM-ADB-DG as <*ocid of the Dynamic Group in tenancy-1*>
   define group REMGROUP as <*group-ocid*>
   admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
   admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
   admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
   admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

   Por ejemplo, defina lo siguiente en el arrendamiento remoto para permitir que los miembros del grupo dinámico DGKeyCustomer1 y el grupo REMGROUP accedan a los almacenes remotos y las claves en el arrendamiento denominado training2:

   define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
   define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
   define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
   admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
   admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
   admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
   admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

9. Haga clic en Crear para guardar la política.