Documentación de Oracle Cloud Infrastructure

Requisitos previos para utilizar claves de cifrado gestionadas por los clientes en Autonomous Database en OCI Vault

Realice estos pasos de requisitos para utilizar claves gestionadas por el cliente en Autonomous Database en OCI Vault:

  1. Cree un archivo Oracle Cloud Infrastructure Vault.
    1. Abra la Consola de Oracle Cloud Infrastructure haciendo clic en icono de navegación junto a Oracle Cloud.
    2. En el menú de navegación de la izquierda de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    3. En Gestión de claves y secreto, haga clic en Almacén.
    4. Seleccione un almacén existente o cree un nuevo almacén.

      Para obtener más información, consulte Creación de un almacén.

  2. Cree una clave de cifrado maestra en el almacén de claves.
    Nota

    Al crear la clave, debe utilizar estas opciones:

    • Unidad de clave: algoritmo: AES (clave simétrica usada para el cifrado y descifrado)

    • Unidad de clave: longitud: 256 bits

    Para obtener más información, consulte Creating a Master Encryption Key y Overview of Key Management.

  3. Cree sentencias de política y grupo dinámico para el grupo dinámico a fin de permitir el acceso a los recursos de Oracle Cloud Infrastructure (valores por defecto y claves).
    Este paso depende de si el almacén está en el mismo arrendamiento que la instancia de Autonomous Database o en un arrendamiento diferente:

Debe replicar el almacén y las claves para utilizar claves de cifrado gestionadas por el cliente con Autonomous Data Guard con una base de datos en espera remota. Las claves de cifrado gestionadas por el cliente solo están soportadas con una única base de datos en espera de Autonomous Data Guard entre regiones. No están soportadas varias bases de datos en espera entre regiones porque Oracle Cloud Infrastructure Vault solo soporta la replicación en una región remota.

Puede obtener más información en los siguientes enlaces:

Tema principal: Gestión de claves de cifrado maestras en OCI Vault

Creación de grupos dinámicos y políticas para claves gestionadas por el cliente con un almacén en el mismo arrendamiento que la base de datos

Cree políticas y grupos dinámicos para proporcionar acceso al almacén y las claves para las claves gestionadas por el cliente cuando el almacén y las claves estén en el mismo arrendamiento que la instancia de Autonomous Database.

  1. Cree un grupo dinámico para que la clave de cifrado maestra sea accesible para la instancia de Autonomous Database.
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad, haga clic en Dominios y seleccione un dominio de identidad (o cree un nuevo dominio de identidad).
    3. En Dominio de identidad, haga clic en Grupos dinámicos.
    4. Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla.

      • Crear un grupo dinámico para una base de datos existente:

        Puede especificar que una instancia de Autonomous Database forme parte del grupo dinámico. El grupo dinámico del siguiente ejemplo incluye solo la instancia de Autonomous Database cuyo OCID se especifica en el parámetro resource.id: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Cree un grupo dinámico para una base de datos que aún no se haya aprovisionado:

        Al crear el grupo dinámico antes de aprovisionar o clonar una instancia de Autonomous Database, el OCID de la nueva base de datos aún no está disponible. Para este caso, cree un grupo dinámico que especifique los recursos en un compartimento determinado: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Haga clic en Crear.
  2. Escribir sentencias de política para el grupo dinámico para permitir el acceso a los recursos de Oracle Cloud Infrastructure (almacenes y claves).
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identity & Security y, a menudo, en Políticas.
    2. Para escribir políticas para un grupo dinámico, haga clic en Crear directiva e introduzca un nombre y una descripción.
    3. Utilice el Creador de políticas para crear una política para el almacén y las claves en el arrendamiento local.

      Por ejemplo, lo siguiente permite a los miembros del grupo dinámico DGKeyCustomer1 acceder a los almacenes y las claves del compartimento denominado training: 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Esta política de ejemplo se aplica a un único compartimento. Puede especificar que se aplique una política para su arrendamiento, un compartimento, un recurso o un grupo de recursos.

      Para utilizar claves gestionadas por el cliente con Autonomous Data Guard con una base de datos en espera remota, también se necesita la siguiente política: 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Haga clic en Crear para guardar la política.

Creación de grupos dinámicos y políticas para claves gestionadas por el cliente con un almacén en un arrendamiento diferente al de la base de datos

Realice estos pasos para utilizar claves gestionadas por el cliente cuando la instancia y los almacenes y las claves de Autonomous Database estén en arrendamientos diferentes.

En este caso, debe proporcionar valores de OCID cuando cambie a claves gestionadas por el cliente. Además, debe definir grupos dinámicos y políticas que permitan a la instancia de Autonomous Database utilizar almacenes y claves en un arrendamiento diferente.

  1. Copie el OCID de la clave de cifrado maestro.
  2. Copie el OCID del almacén.
  3. Copie el OCID del arrendamiento (el arrendamiento remoto que contiene almacenes y claves).
  4. En el arrendamiento con la instancia de Autonomous Database, cree un grupo dinámico.
    1. En la consola de Oracle Cloud Infrastructure, en el arrendamiento con la instancia de Autonomous Database, haga clic en Identidad y seguridad.
    2. En Identidad, haga clic en Dominios y seleccione un dominio de identidad (o cree un nuevo dominio de identidad).
    3. En Dominio de identidad, haga clic en Grupos dinámicos.
    4. Haga clic en Crear grupo dinámico e introduzca un nombre, una descripción y una regla.

      • Crear un grupo dinámico para una base de datos existente:

        Puede especificar que una instancia de Autonomous Database forme parte del grupo dinámico. El grupo dinámico del siguiente ejemplo incluye solo la instancia de Autonomous Database cuyo OCID se especifica en el parámetro resource.id: 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Cree un grupo dinámico para una base de datos que aún no se haya aprovisionado:

        Al crear el grupo dinámico antes de aprovisionar o clonar una instancia de Autonomous Database, el OCID de la nueva base de datos aún no está disponible. Para este caso, cree un grupo dinámico que especifique los recursos en un compartimento determinado: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Haga clic en Crear.
  5. En el arrendamiento con la instancia de Autonomous Database, defina las políticas para permitir el acceso a almacenes y claves (donde los almacenes y las claves están en un arrendamiento diferente).
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad haga clic en Políticas.
    3. Para escribir una política, haga clic en Crear política.
    4. En la página Crear política, introduzca un Nombre y una Descripción.
    5. En la página Crear política, seleccione Mostrar editor manual.
    6. En el creador de políticas, agregue políticas para que la instancia de Autonomous Database pueda acceder a almacenes y claves ubicados en el arrendamiento diferente. Agregue también políticas para el grupo de IAM al que pertenece el usuario de IAM para que la consola de Oracle Cloud Infrastructure para la instancia de Autonomous Database pueda mostrar detalles sobre la clave que reside en un arrendamiento diferente.

      Por ejemplo, en la política genérica, llame al arrendamiento con el arrendamiento de la instancia de Autonomous Database Tenancy-1 y el arrendamiento con almacenes y claves, Tenancy-2:

      Copie la siguiente política y sustituya las variables y los nombres por los valores que defina, donde el nombre de grupo dinámico ADB-DynamicGroup es el grupo dinámico que ha creado en el paso 4: 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Por ejemplo, lo siguiente permite a los miembros del grupo dinámico DGKeyCustomer1 acceder a los almacenes remotos y las claves en el arrendamiento denominado training2: 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Haga clic en Crear para guardar la política.
  6. Copie el OCID del arrendamiento (el arrendamiento que contiene la instancia de Autonomous Database).
  7. Copie el OCID del grupo dinámico (para el grupo dinámico que ha creado en el paso 4).
  8. En el arrendamiento remoto con almacenes y claves, defina un grupo dinámico y políticas para permitir que la instancia de Autonomous Database acceda a almacenes y claves.
    1. En la consola de Oracle Cloud Infrastructure, haga clic en Identidad y seguridad.
    2. En Identidad haga clic en Políticas.
    3. Para crear una política, haga clic en Crear política.
    4. En la página Crear política, introduzca un nombre y una descripción.
    5. En la página Crear política, seleccione Mostrar editor manual.
    6. En el creador de políticas, agregue políticas y un grupo dinámico para proporcionar acceso al grupo dinámico en el arrendamiento con la instancia de Autonomous Database (arrendamiento-1), de modo que la instancia de Autonomous Database pueda utilizar los almacenes y las claves del arrendamiento-2. También debe agregar políticas para permitir que el grupo de usuarios acceda al almacén y las claves para mostrar información en la consola de Oracle Cloud Infrastructure para la instancia de Autonomous Database en un arrendamiento diferente.

      Utilice el Creador de políticas para crear un grupo dinámico y una política para almacenes y claves. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Por ejemplo, defina lo siguiente en el arrendamiento remoto para permitir que los miembros del grupo dinámico DGKeyCustomer1 y el grupo REMGROUP accedan a los almacenes remotos y las claves en el arrendamiento denominado training2: 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Haga clic en Crear para guardar la política.