Documentación de Oracle Cloud Infrastructure

Uso de clave de cifrado gestionada por el cliente ubicada en un arrendamiento remoto

Muestra los pasos para seleccionar claves de cifrado maestras gestionadas por el cliente de un almacén en un arrendamiento remoto.

Al utilizar claves de cifrado maestras gestionadas por el cliente con un almacén en un arrendamiento remoto, el almacén y la instancia de la base de datos de IA autónoma deben estar en la misma región. Para cambiar el arrendamiento, en la página de conexión, haga clic en Cambiar arrendamiento. Después de cambiar el arrendamiento, asegúrese de seleccionar la misma región para la instancia de Vault y Autonomous AI Database.

  1. Realice los pasos necesarios para la clave de cifrado gestionada por el cliente según sea necesario. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en la base de datos de IA autónoma en OCI Vault para obtener más información.
  2. En la página Detalles, en la lista desplegable Más acciones, seleccione Gestionar clave de cifrado.
  3. En la página Gestionar clave de cifrado, seleccione la opción Cifrar mediante una clave gestionada por el cliente.

    Si ya utiliza claves gestionadas por el cliente y desea rotar las claves de TDE, siga estos pasos y utilice un OCID de clave diferente con el mismo OCID de almacén, o bien utilice un nuevo OCID de almacén y un nuevo OCID de clave. Esto le permite utilizar una clave que sea diferente de la clave de cifrado maestra actual.

  4. En Tipo de clave, seleccione Oracle.
  5. En Ubicación de clave, haga clic en Diferente arrendamiento.
  6. Introduzca un OCID de almacén de arrendamiento remota.
  7. Introduzca un OCID en la clave del cifrado maestra del arrendamiento remota.
  8. Haga clic en Guardar.

El estado del ciclo de vida cambia a Actualizando. Cuando finaliza la solicitud, el estado del ciclo de vida muestra Disponible.

Una vez finalizada la solicitud, en la consola de Oracle Cloud Infrastructure, la información clave se muestra en la página Información de Autonomous Database, en la cabecera Cifrado. Esta área muestra el campo Clave de cifrado con un enlace a la clave de cifrado maestra y el campo OCID de clave de cifrado con el OCID de clave de cifrado maestra.

  • Uso de Traiga sus propias claves (BYOK) en el servicio Vault
    Cuando crea una clave gestionada por el cliente mediante el servicio OCI Vault, también puede importar su propio material de claves (Traiga su propia clave o BYOK) en lugar de que el servicio Vault genere el material de claves internamente.

Tema principal: Gestión de claves de cifrado maestras en OCI Vault

Uso de Traiga sus propias claves (BYOK) en el servicio Vault

Al crear una clave gestionada por el cliente mediante el servicio OCI Vault, también puede importar su propio material de claves (Traiga su propia clave o BYOK) en lugar de que el servicio Vault genere el material de claves internamente.

Para poder usar claves propias en el servicio Vault, debe realizar diversas tareas de configuración preparatorias para crear un almacén y importar la clave de cifrado maestra y, a continuación, hacer que ese almacén y sus claves estén disponibles de Autonomous Database; en concreto:
  1. Cree un almacén en el servicio Vault siguiendo las instrucciones de Para crear un almacén nuevo.
    Una vez creado el almacén, puede crear al menos una clave del cifrado maestra en el almacén siguiendo las instrucciones de Para crear una nueva clave del cifrado maestra. También puede importar una clave de cifrado de cliente en un almacén existente. Cuando siga estas instrucciones, elija estas opciones:
    • Crear en compartimento: Oracle recomienda crear la clave de cifrado maestra en el mismo compartimento que su almacén; es decir, el compartimento creado específicamente para contener los almacenes que contienen claves gestionadas por el cliente.
    • Modo de protección: seleccione un valor adecuado en la lista desplegable:
      • HSM para crear una clave de cifrado maestra que se almacena y procesa en un módulo de seguridad de hardware (HSM).
      • Software para crear una clave de cifrado maestra que se almacena en un sistema de archivos de software en el servicio Vault. Las claves protegidas por software se protegen en reposo mediante una clave raíz basada en HSM. Puede exportar claves de software a otros dispositivos de gestión de claves o a una región de OCI en la nube diferente. A diferencia de las claves HSM, las claves protegidas por software son gratuitas.
    • Unidad de clave: algoritmo: AES
    • Unidad de clave: longitud: 256 bits
    • Importar clave externa: para utilizar una clave de cifrado de cliente (BYOK), seleccione Importar clave externa y proporcione los siguientes detalles:
      • Información básica de encapsulado. Esta sección es de solo lectura, pero puede ver los detalles de la clave de encapsulado pública.
      • Algoritmo de encapsulado. Seleccione un algoritmo de ajuste de la lista desplegable.
      • Origen de datos de clave externa. Cargue el archivo que contiene el material de claves RSA encapsulado.
    Nota

    Puede importar el material de claves como una nueva versión de clave externa o hacer clic en el nombre de una clave de cifrado maestra existente y rotarlo a una nueva versión de clave.
  2. Utilice el servicio IAM para crear un grupo dinámico y definir una política que proporcione a su instancia de base de datos de IA autónoma acceso a la clave de cifrado maestra que ha creado.

Consulte Importing Key Material as an External Key Version para obtener más información.