Integración de AWS Key Management Service para Exadata Database Service en Oracle Database@AWS

El dominio de identidad de OCI se configura automáticamente durante el proceso de vinculación de Oracle Database@AWS y no es necesario realizar ninguna acción. Complete los siguientes pasos solo para las cuentas enlazadas antes de la disponibilidad general de la integración de AWS KMS (18 de noviembre de 2025).

Configure un dominio de identidad de OCI para permitir la integración de AWS con sus clusters de VM de Exadata. Permite asociar un rol de servicio de AWS Identity and Access Management (IAM) a integraciones de AWS.

1. En la consola de AWS, seleccione Oracle Database@AWS y, a continuación, seleccione Configuración.
2. Seleccione el botón Configurar para configurar el dominio de identidad de OCI.
3. Una vez completado, puede revisar la información del estado, el ID de dominio de identidad de OCI y la URL de dominio de identidad de OCI en la página Configuración.

1. Si no tiene una red de ODB existente, puede aprovisionarla siguiendo las instrucciones paso a paso de red de ODB. Si tiene una red de ODB existente, puede modificarla seleccionando el botón Modificar, siga Modificar una red de ODB para obtener instrucciones paso a paso.
2. En la sección Configurar integraciones de servicio,
   1. Seleccione la opción Servicio de token de seguridad (STS) para configurar la red para el acceso a AWS KMS y AWS STS desde la base de datos.
   2. Seleccione la casilla de control KMS de AWS para permitir que AWS KMS utilice claves de KMS en las políticas de autenticación.

Allow any-user to read oracle-db-aws-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster'}

Esta política permite a los clusters de VM en la nube gestionados por Oracle leer el recurso oracle-db-aws-keys en el compartimento. Otorga los permisos necesarios para que el cluster de VM (el principal de tipo cloudvmcluster) acceda a los metadatos de clave de AWS necesarios para la integración con la gestión de claves externas o la realización de operaciones entre nubes. Sin esta política, el cluster de VM no podría recuperar las claves necesarias para completar la configuración.

La creación de clusters de VM de Exadata solo está disponible a través de la consola de AWS y la CLI de AWS. Para obtener más información, consulte Cluster de VM de Exadata.

Cree una pila para cada cluster. Utilice los siguientes pasos para crear una pila CloudFormation. Esto se debe realizar para cada cluster de VM de Exadata.

Cuando la pila CloudFormation crea un proveedor de OIDC (OpenID Connect), establece una relación de confianza para que un origen de identidad externo (como OCI) se pueda autenticar en AWS. El rol de IAM asociado define qué puede hacer esa identidad de confianza.

1. Seleccione el cluster de VM de Exadata existente de la lista para abrir la página de detalles en la consola de gestión de AWS.
   Nota
   
   

   Si no tiene un cluster de VM de Exadata existente, puede aprovisionarlo siguiendo las instrucciones paso a paso del cluster de VM de Exadata.

2. Seleccione el separador Roles de servicio de IAM y, a continuación, haga clic en el enlace CloudFormation.
3. En la página Creación rápida de pila, revise la información rellenada previamente.
   1. En la sección Parámetros, los parámetros se definen en la plantilla y le permiten introducir valores personalizados al crear o actualizar una pila.
      1. Revise la información precargada de OCIIdentityDomainUrl.
      2. El campo OIDCProviderArn es opcional. Al crear la pila CloudFormation por primera vez, se crea un proveedor de OIDC y un rol de IAM asociado. Si está ejecutando la pila por primera vez, no necesita proporcionar un valor para el campo OIDCProviderArn.
      3. Para cualquier tiempo de ejecución adicional, debe proporcionar el ARN del proveedor de OIDC existente y especificarlo en el campo OIDCProviderArn. Para obtener la información de OIDCProviderArn, complete los pasos siguientes:
         1. En la consola de AWS, vaya a IAM y, a continuación, seleccione Proveedores de identidad.
         2. En la lista Proveedores de identidad, puede filtrar el proveedor seleccionando Tipo como OpenID Connect.
         3. Seleccione el enlace Proveedor que se creó cuando se creó inicialmente la pila CloudFormation.
         4. En la página Resumen, copie la información de ARN.
         5. Pegue la información de ARN en el campo OIDCProviderArn.
   2. En la sección Permisos, seleccione el nombre del rol de IAM en la lista desplegable y, a continuación, seleccione el rol de IAM para que CloudFormation se utilice para todas las operaciones realizadas en la pila.
   3. Seleccione el botón Crear pila para aplicar los cambios.
4. Una vez que se haya completado el despliegue de pila CloudFormation, vaya a la sección Recursos de la pila y verifique los recursos de rol de IdP e IAM creados. Copie el ARN de rol de IAM para uso futuro.

Debe asociar un rol de IAM que haya creado anteriormente al cluster de VM de Exadata para asignar un conector de identidad que permita el acceso a los recursos de AWS.

1. En la consola de AWS, seleccione Oracle Database@AWS.
2. En el menú de la izquierda, seleccione Cluster de VM de Exadata y, a continuación, seleccione el cluster de VM de Exadata en la lista.
3. Seleccione el separador de roles de IAM y, a continuación, el botón Asociar.
   1. El campo Integración de AWS es de solo lectura.
   2. Introduzca el nombre de recurso de Amazon (ARN) del rol de IAM que desea asociar al cluster de VM en el campo ARN de rol. Puede obtener la información de ARN de la sección Resumen del rol que creó anteriormente.
   3. Seleccione el botón Asociar para asociar el rol.
      Nota
      
      

      Una vez que asocia un rol de IAM al cluster de VM, se asocia un conector de identidad al cluster de VM de Exadata.

Una vez que haya completado la sección de prerrequisitos, continúe con las siguientes acciones:

1. En la consola de AWS, cree una clave gestionada por el cliente en AWS KMS.
2. En la consola de OCI, active las bases de datos y los clusters de VM de Exadata para utilizar la clave de AWS KMS creada en el paso 1.

1. En la consola de AWS, seleccione Key Management Service (KMS).
2. En el menú de la izquierda, seleccione Claves gestionadas por el cliente y, a continuación, seleccione el botón Crear clave.
3. En la sección Configurar clave, introduzca la siguiente información.
   1. Seleccione la opción Simétrica como Tipo de clave.
   2. Seleccione la opción Cifrar y descifrar como Uso de claves.
   3. Expanda la sección Opciones avanzadas. Se admiten KMS de AWS y AWS CloudHSM.
      1. Si desea utilizar el almacén de claves estándar de KMS, seleccione la opción KMS: recomendado como origen de material de claves y, a continuación, elija la opción Clave de una sola región o la opción Clave de varias regiones de la sección Regionalidad.
         Nota
         
         

         Actualmente, Data Guard entre regiones y la restauración de bases de datos en una región diferente no están soportadas para bases de datos que utilizan claves gestionadas por el cliente de AWS para la gestión de claves.

      2. Si desea utilizar AWS CloudHSM , seleccione la opción Almacén de claves CloudHSM de AWS como Origen de material clave.
   4. Seleccione el botón Siguiente para continuar con el proceso de creación.
4. En la sección Agregar etiquetas, introduzca la siguiente información.
   1. Introduzca un nombre para mostrar descriptivo en el campo Alias. 256 caracteres como máximo. Utilice los caracteres alfanuméricos y '_-/'.
      Nota
      
      

      • El nombre de alias no puede empezar por aws/. AWS reserva el prefijo aws/ para representar las claves gestionadas de AWS en su cuenta.
      • Un alias es un nombre mostrado que puede utilizar para identificar la clave de KMS. Le recomendamos que elija un alias que indique el tipo de datos que planea proteger o la aplicación que planea usar con la clave de KMS.
      • Los alias son necesarios cuando se crea una clave de KMS en la consola de AWS.
   2. El campo Descripción es opcional.
   3. La sección Etiquetas es opcional. Puede utilizar etiquetas para clasificar e identificar sus claves de KMS y ayudarle a realizar un seguimiento de los costos de AWS.
   4. Seleccione el botón Siguiente para continuar con el proceso de creación o el botón Anterior para devolver la página anterior.
5. En la sección Definir permisos administrativos de claves, complete los siguientes pasos secundarios.
   1. Busque el rol que ha creado anteriormente y, a continuación, seleccione la casilla de control. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.
      Nota
      
      

      Esta política clave le da a la cuenta de AWS el control total de esta clave de KMS. Permite a los administradores de cuentas utilizar políticas de IAM para otorgar permisos a otros principales para gestionar la clave de KMS.

   2. En la sección Supresión de claves, la casilla de control Permitir a los administradores de claves suprimir esta clave está seleccionada por defecto. Para evitar que los usuarios y roles de IAM seleccionados supriman la clave de KMS, puede anular la selección de la casilla de control.
   3. Seleccione el botón Siguiente para continuar con el proceso de creación o el botón Anterior para devolver la página anterior.
6. En la sección Definir permisos de uso de claves, complete los siguientes pasos secundarios.
   1. Busque el rol que ha creado anteriormente y, a continuación, seleccione la casilla de verificación.
   2. Seleccione el botón Siguiente para continuar con el proceso de creación o el botón Anterior para devolver la página anterior.
7. En la sección Editar política de claves, complete los siguientes pasos secundarios.
   1. En la sección Vista previa, puede revisar la política de claves. Si desea realizar un cambio, seleccione el separador Editar.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Sid": "KMSKeyMetadata",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "<arn>"
                  },
                  "Action": [
                      "kms:DescribeKey"
                  ],
                  "Resource": "*"
              },
              {
                  "Sid": "KeyUsage",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "<arn>"
                  },
                  "Action": [
                      "kms:Encrypt",
                      "kms:Decrypt"
                  ],
                  "Resource": "*"
              }
          ]
      }

   2. Seleccione el botón Siguiente para continuar con el proceso de creación o el botón Anterior para devolver la página anterior.
8. En la sección Revisar, revise la información y, a continuación, seleccione el botón Finalizar.

Para obtener más información, consulte Crear una clave de KMS de cifrado simétrico.

Para activar AWS KMS para sus clusters de VM de Exadata, primero debe registrar la clave de AWS KMS en OCI.

1. En la consola de OCI, seleccione Oracle AI Database y, a continuación, seleccione Integraciones multinube de base de datos.
2. En el menú de la izquierda, seleccione Integración de AWS y, a continuación, seleccione Claves de AWS.
3. Seleccione el botón Registrar claves de AWS y, a continuación, complete los siguientes pasos secundarios.
   1. En la lista desplegable, seleccione el compartimento en el que reside el cluster de VM de Exadata.
   2. En la sección Claves de AWS, seleccione el conector de identidad en la lista desplegable.
      Nota
      
      

      Asegúrese de que el rol asociado al conector tenga el permiso DescribeKey en la clave. Este permiso es necesario para realizar correctamente la detección.

   3. El campo ARN clave es opcional.
   4. Haga clic en el botón Detectar.
4. Una vez detectada la clave, seleccione el botón Registrar para registrar la clave en OCI.

Al activar la gestión de claves de AWS para su base de datos, solo se pueden utilizar las claves de AWS autorizadas para su uso con el cluster de VM de Exadata y registradas con OCI.

1. En la consola de OCI, seleccione Oracle AI Database y, a continuación, seleccione Oracle Exadata Database Service on Dedicated Infrastructure.
2. En el menú de la izquierda, seleccione Clusters de VM de Exadata y, a continuación, seleccione el cluster de VM de Exadata.
3. Seleccione el separador Información de cluster de VM y seleccione el botón Activar junto a Clave de cifrado gestionada por el cliente de AWS.

En este tema, se describen solo los pasos para crear una base de datos y utilizar AWS KMS como solución de gestión de claves.

Para conocer el procedimiento de creación de bases de datos genéricas, consulte Para crear una base de datos en un cluster de VM existente.

Requisitos

Consulte Requisitos previos.

Pasos

Si la gestión de claves de AWS KMS está activada en el nivel de cluster de VM, tendrá dos opciones de gestión de claves: Oracle Wallet y gestión de claves de AWS.

1. En la sección Cifrado, seleccione Gestión de claves de AWS.
2. Seleccione la clave de cifrado disponible en el compartimento.
   Nota
   
   

   • Solo se muestran las claves registradas.
   • Si la clave deseada no está visible, es posible que aún no se haya registrado. Haga clic en Registrar claves de AWS para detectarlas y registrarlas.

     Para obtener instrucciones detalladas, consulte Register AWS KMS Key.

   • Puede seleccionar un alias de clave de la lista desplegable. Si no hay ningún alias de clave disponible, la lista desplegable mostrará el ID de clave.

Si desea cambiar la gestión de claves de las bases de datos existentes en el cluster de VM de Exadata de Oracle Wallet a AWS KMS, realice los siguientes pasos.

1. En los clusters de VM de Exadata, vaya al separador Bases de datos y, a continuación, seleccione la base de datos que está utilizando.
2. En la sección Cifrado, confirme que Gestión de claves esté definido en Oracle Wallet y, a continuación, seleccione el enlace Cambiar.
3. En la página Cambiar gestión de claves, introduzca la siguiente información.
   1. Seleccione la gestión de claves como gestión de claves de AWS en la lista desplegable.
   2. Seleccione el compartimento de claves que está utilizando y, a continuación, seleccione la clave deseada en la lista desplegable.
   3. Seleccione el botón Guardar cambios.

Para rotar la clave de KMS de AWS de una base de datos de contenedores (CDB), utilice este procedimiento.

1. Abra el menú de navegación. Haga clic en Oracle AI Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
2. Seleccione su compartimento.

   Se mostrará una lista de clusters de VM para el compartimento seleccionado.

3. En la lista de clústeres de VM, haga clic en el nombre del clúster de VM que contiene la base de datos que desea rotar las claves de cifrado.
4. Haga clic en Bases de datos.
5. Haga clic en el nombre de la base que desea rotar las claves de cifrado.

   La página Detalles de Base de Datos muestra información sobre la base datos seleccionada.

6. En la sección Cifrado, verifique que Gestión de claves esté definido en Gestión de claves de AWS y, a continuación, haga clic en el enlace Rotar.
7. En el cuadro de diálogo Rotar clave resultante, haga clic en Rotar para confirmar la acción.
   Nota
   
   

   La rotación de la clave de AWS KMS genera un nuevo contexto de cifrado para la misma clave.

Para rotar la clave de KMS de AWS de una base de datos de conexión (PDB), utilice este procedimiento.

1. Abra el menú de navegación. Haga clic en Oracle AI Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
2. Seleccione su compartimento.

   Se mostrará una lista de clusters de VM para el compartimento seleccionado.

3. En la lista de clusters de VM, haga clic en el nombre del cluster de VM que contiene la PDB que desea iniciar y, a continuación, haga clic en su nombre para mostrar la página de detalles.
4. En Bases de datos, busque la base de datos que contiene la PDB para la que desea rotar las claves de cifrado.
5. Haga clic en el nombre de la base de datos para ver la página Detalles de base de datos.
6. Haga clic en Bases de datos conectables en la sección Recursos de la página.

   Aparecerá una lista de las PDB existentes en esta base de datos.

7. Haga clic en el nombre de la PDB que desea rotar las claves de cifrado.

   Aparecerá la página de detalles de conexión.

8. En la sección Cifrado, se muestra que la gestión de claves se establece como gestión de claves de AWS.
9. Haga clic en el enlace Rotar.
10. En el cuadro de diálogo Rotar clave resultante, haga clic en Rotar para confirmar la acción.
    Nota
    
    

    La rotación de la clave de AWS KMS genera un nuevo contexto de cifrado para la misma clave.

También puede realizar los siguientes pasos para desactivar una CDB o una clave de PDB específicas.

1. Vaya a la consola de AWS y seleccione Servicio de gestión de claves (KMS).
2. En el menú de la izquierda, seleccione Claves gestionadas por el cliente y, a continuación, seleccione el ID de clave de la clave que desea editar.
3. Seleccione el botón Editar política.
4. Ejecute la siguiente consulta para obtener el EncryptionContext MKID de la clave.

   Utilice el siguiente comando para ver los ID de clave maestra (MKID) actuales para activar o desactivar operaciones:

   dbaascli tde getHSMKeys --dbname <DB-Name>

   También puede ejecutar la siguiente consulta SQL para mostrar todas las versiones de clave:

   SELECT key_id, con_id, creation_time, key_use FROM v$encryption_keys;

5. Agregue una política de denegación mediante el MKID EncryptionContext recuperado, como se muestra a continuación:

   {
     "Effect": "Deny",
     "Principal": "*",
     "Action": [
       "kms:Encrypt",
       "kms:Decrypt"
     ],
     "Resource": "arn:aws:kms:us-east-1:867344470629:key/7139075d-a006-4302-92d5-48ecca31d48e",
     "Condition": {
       "StringEquals": {
         "kms:EncryptionContext:MKID": "ORACLE.TDE.HSM.MK.06AE5EFB528D9D4F21BFEDA63C6C8738D9"
       }
     }
   }

6. Seleccione Guardar cambios para aplicar la actualización de política.