Documentación de Oracle Cloud Infrastructure

Integración de Azure Key Vault para Exadata Database Service en Oracle Database@Azure

Exadata Database Service en Oracle Database@Azure le permite almacenar las claves de cifrado de datos transparente (TDE) de su base de datos, también conocidas como claves de cifrado maestras (MEK) en una cartera de Oracle basada en archivos o en OCI Vault.

Esta función permite a los usuarios de Exadata Database Service en Oracle Database@Azure utilizar Azure Key Vault (AKV) Managed HSM, AKV Premium y AKV Standard para gestionar MEK de TDE. Esta integración permite a las aplicaciones, los servicios de Azure y las bases de datos utilizar una solución de gestión de claves centralizada para mejorar la seguridad y simplificar la gestión del ciclo de vida de las claves.

Tema principal: Guías de procedimientos

Requisitos

Los siguientes pasos se deben completar para poder configurar Azure Key Vault como la gestión de claves para sus bases de datos.

Los siguientes pasos se deben completar para poder configurar Azure Key Vault como servicio de gestión de claves en el nivel de cluster de VM de Exadata.

  1. Primero debe completar el registro necesario para que las subredes delegadas utilicen las funciones de red avanzadas mencionadas en Planificación de red para Oracle Database@Azure y, a continuación, crear una red virtual de Azure con al menos una subred delegada en ella para que la utilice el cluster de VM de Exadata.
  2. Aprovisione un cluster de VM de Exadata mediante la interfaz de Azure. Consulte Aprovisionamiento de un cluster de VM de Exadata para Azure para obtener instrucciones paso a paso.
  3. Revise los requisitos de red para determinar si el cluster de VM se conectará a Azure KMS mediante una red pública o mediante conectividad privada. Para obtener más información, consulte Requisitos de red del agente de máquina conectada o Requisitos de red para crear un conector de identidad y recursos de KMS para conocer los pasos específicos que debe seguir.
  4. Asegúrese de que se crea la siguiente política antes de crear la base de datos.
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

Requisitos de red para crear un conector de identidad y recursos de KMS

Los recursos de Azure Key Management Service (KMS) admiten la conectividad pública y privada. Azure Key Vault Managed HSM requiere conectividad privada, mientras que los niveles Premium y Standard de Azure Key Vault admiten opciones de conectividad tanto públicas como privadas.

En las siguientes secciones, se describen los requisitos de red para el acceso a la red pública.

Configuración mediante red privada

  • Configuración de red de agente de arco

    Para crear un conector de identidad a través de una red privada, se deben configurar un ámbito de enlace privado de Azure Arc y un punto final privado a través del portal de Azure. Consulte la documentación de Azure para obtener pasos detallados sobre la configuración de conectividad privada para servidores con Azure Arc-enabled.

    Nota

    El punto final privado se debe crear en una subred no delegada dentro de la red virtual de Azure (VNet) que aloja el cluster de VM de Oracle Exadata. Los puntos finales privados no están soportados en las subredes delegadas. Por defecto, los clusters de VM de Exadata se aprovisionan en subredes delegadas.

    El HSM gestionado requiere conectividad privada y solo se admite en las regiones de Azure que ofrecen funciones de redes avanzadas. Para obtener una lista de las regiones admitidas, consulte Planificación de red para Oracle Database@Azure.

    Para permitir la comunicación con recursos de agente privado a través de la red privada, se debe crear una zona de DNS privada y los registros A correspondientes dentro de la configuración de DNS de la VCN en su arrendamiento de Oracle Cloud Infrastructure (OCI).

    La configuración de DNS para el punto final privado asociado al ámbito de enlace privado debe incluir las direcciones de recursos de agente privado necesarias. Para obtener más información, consulte la sección URLs en Connected Machine agent network requirements.

    En primer lugar, recupere la lista de direcciones necesarias del portal de Azure. A continuación, actualice la entrada de zona de DNS en OCI para completar la configuración.

    Pasos para recuperar la lista de direcciones IP necesarias:
    1. Conéctese al portal de Azure.
    2. Busque "Ámbitos de enlace privado de Azure Arc".
    3. Seleccione cualquier ámbito de enlace privado de la lista.
    4. En el menú Configure, haga clic en Private endpoint connections.
    5. Haga clic en el enlace Private endpoint.
    6. En Configuración, seleccione Configuración de DNS para ver las direcciones necesarias.

    Ejemplo: adición de un recurso de agente privado (por ejemplo, gbl.his.arc.azure.com)

    La dirección IP asociada con gbl.his.arc.azure.com, junto con cualquier otro recurso de agente necesario, se debe definir en la zona de DNS privada.

    Pasos:

    1. Crear una zona privada
      Para obtener más información, consulte Creating a Private DNS Zone.
      • Tipo de zona: principal
      • Nombre de zona: <Nombre descriptivo>
      • Compartimento: <nombre de compartimento u OCID>
    2. Agregar registros DNS
      • Vaya al separador Registros de la página de detalles de la zona.
      • Haga clic en Gestionar registros y, a continuación, en Agregar registro:
        • Nombre: gbl.his.arc.azure.com
        • Tipo: A (dirección IPv4)
        • TTL (segundos): 3600
        • Modo RDATA: Básico
        • Dirección: <Dirección IP privada>
    3. Publicar la zona
    4. Asegúrese de que el registro aparece en la página de la zona después de la publicación.
    5. Verifique que la conectividad a los servicios de Azure desde el cluster de VM se enrute a través de la red privada.

    Incluso con la conectividad privada, los siguientes puntos finales se deben enrutar a través del gateway de NAT de Azure.

    Recursos del agente:

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Configuración de puntos finales privados de Azure Key Vault

    Para acceder a puntos finales de almacenes de claves de Azure a través de conectividad privada, debe crear una zona de DNS. Además, se debe agregar un registro A que asigne el nombre de dominio completo (FQDN) del recurso a la dirección IP del punto final privado correspondiente en el arrendamiento de OCI.

    Para acceder al servicio de HSM gestionado a través de un punto final privado en la red virtual que aloja un cluster de VM de Exadata, puede establecer una conexión de enlace privado a HSM gestionado y asociarlo a la subred por defecto o a una subred no delegada. Siga los pasos descritos en la sección "Configuración mediante red privada" del tema "Requisitos de red para crear un conector de identidad y recursos de KMS". Para obtener más información, consulte Integrate Managed HSM with Azure Private Link.

Configuración mediante red pública

Cree un gateway de NAT en el portal de Azure y asócielo a la subred delegada del cluster de VM de Exadata. Para obtener más información, consulte Creación de un gateway de NAT y asociación a una subred existente.

Uso de la consola para gestionar la integración de Azure Key Vault para Exadata Database Service en Oracle Database@Azure

Descubra cómo gestionar la integración de Azure Key Vault para Exadata Database Service en Oracle Database@Azure.

Tema principal: Integración de Azure Key Vault para Exadata Database Service en Oracle Database@Azure

Al crear un conector de identidad, se instala el agente de arco de Azure en las máquinas virtuales de cluster de VM de Exadata y se registran como máquinas virtuales activadas para arco de Azure.

Esto permite una comunicación segura con el servicio de gestión de claves (KMS) de Azure mediante la identidad de Azure generada por el agente Arc. El agente de Azure Arc puede comunicarse con los servicios de Azure a través de una red pública o una configuración de conectividad privada. Obtenga más información sobre Azure Arc.

Cada cluster de VM de Exadata debe tener un conector de identidad activado para acceder a los recursos de Azure. El conector de identidad establece una conexión pública o privada entre el cluster de VM de Exadata y los recursos de gestión de claves de Azure, según los roles asignados.

Para generar un token de acceso para su cuenta actual de Azure, consulte az account get-access-token.

Puede crear un conector de identidad de una de dos formas: mediante la interfaz de Oracle Exadata Database Service on Dedicated Infrastructure o la interfaz de integraciones multinube de base de datos.

Oracle Exadata Database Service on Dedicated Infrastructure

  1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
  2. En el menú de la izquierda, haga clic en los clusters de máquina virtual de Exadata en Oracle Exadata Database Service on Dedicated Infrastructure.
  3. En la lista de Clusters de VM de Exadata, seleccione el cluster que está utilizando.
  4. Seleccione Información de cluster de VM y, a continuación, vaya a Conector de identidad ubicado en Información de multinube. Haga clic en la opción Crear.
    Nota

    Si un conector de identidad no se ha creado anteriormente, se muestra como Ninguno.

  5. El nombre de conector de identidad, el cluster de VM de Exadata, el ID de suscripción de Azure y el nombre de grupo de recursos de Azure son campos de solo lectura y se rellenarán con valores.
  6. Introduzca el ID de inquilino de Azure y el token de acceso.
  7. Expanda la sección Mostrar opciones avanzadas.

    Las secciones Información de conectividad privada y Etiquetas se rellenan.

    Para activar una conexión de punto final privado, introduzca el nombre del ámbito de enlace privado de arco de Azure.

  8. Para agregar etiquetas para los recursos, haga clic en Agregar etiqueta y, a continuación, introduzca los valores necesarios.
  9. Revise las selecciones y, a continuación, haga clic en Crear para crear el conector de identidad.

Integraciones multinube de base de datos

  1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Integraciones multinube de base de datos.
  2. Seleccione Conectores de identidad en el menú de navegación de la izquierda.
  3. En la lista desplegable Compartimento, seleccione el compartimento que está utilizando.
  4. Una vez que seleccione el compartimento, el nombre de conector de identidad rellena automáticamente un nombre.

    Por defecto, el tipo de conector de identidad se selecciona como Azure.

  5. Seleccione agente ARC como mecanismo de identidad.
  6. Seleccione el compartimento en la lista Seleccionar un compartimento de cluster de VM de Exadata y, a continuación, seleccione el cluster de VM de Exadata en la lista Seleccionar un cluster de VM de Exadata.
  7. Introduzca su ID de inquilino de Azure. Los campos ID de suscripción de Azure y Nombre de grupo de recursos de Azure rellenan los valores según la selección de cluster de VM de Exadata.
  8. Introduzca un token de acceso.
  9. Expanda la sección Mostrar opciones avanzadas. Las secciones Información de conectividad privada y Etiquetas se rellenan. Estos campos son opcionales.
  10. Para agregar etiquetas para los recursos, haga clic en Agregar etiqueta y, a continuación, introduzca los valores necesarios.
  11. Revise las selecciones y, a continuación, haga clic en Crear.

Para ver los detalles de un conector de identidad, utilice este procedimiento.

  1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
  2. En Oracle Exadata Database Service on Dedicated Infrastructure, haga clic en los clusters de máquina virtual de Exadata.
  3. Haga clic en el nombre del clúster de VM que desee.
  4. En la página Detalles de cluster de VM resultante, en la sección Información de multinube, confirme que el campo Conector de identidad muestra el conector de identidad creado anteriormente.
  5. Haga clic en el nombre del conector de identidad para ver sus detalles.

Este paso instala la biblioteca necesaria en el cluster de VM para admitir la integración de Azure Key Vault. Asegúrese de que se crea un conector de identidad antes de activar Azure Key Management en el cluster de VM de Exadata.

  1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
  2. En Oracle Exadata Database Service on Dedicated Infrastructure, haga clic en los clusters de máquina virtual de Exadata.
  3. Haga clic en el nombre del clúster de VM que desee.
  4. En la página Detalles de cluster de VM resultante, en la sección Información de multinube, haga clic en el enlace Activar situado junto al almacén de claves de Azure.
  5. En el cuadro de diálogo Activar gestión de claves de Azure resultante, haga clic en Activar para confirmar la operación.

    Al confirmar la acción, se instalará una biblioteca en el cluster de VM de Exadata.

    El estado del almacén de claves de Azure cambia de Desactivado a Activado.

  6. Para desactivar el almacén de claves de Azure, haga clic en el enlace Desactivar.
  7. En el cuadro de diálogo Desactivar gestión de claves de Azure resultante, haga clic en Desactivar para confirmar la operación.

    Al desactivar la gestión de claves de Azure, se elimina la biblioteca instalada durante la activación, lo que afectará a la disponibilidad de las bases de datos configuradas para utilizarla.

Nota

La gestión de claves de Azure se configura en el nivel de cluster de VM, lo que requiere que todas las bases de datos del cluster utilicen la misma solución de gestión de claves. Sin embargo, las bases de datos que utilizan Oracle Wallet pueden coexistir junto con las que utilizan Azure Key Vault en el mismo cluster.

Cree HSM gestionado de Azure Key Vault, Azure Key Vault Premium o Azure Key Vault Standard y, a continuación, asigne el permiso.

Para obtener más información, consulte Creación de un almacén de claves mediante el portal de Azure.

Nota

Hay roles específicos que se deben asignar al grupo para otorgar los permisos necesarios para acceder y gestionar los recursos Azure Key Vault Managed HSM, Azure Key Vault Premium y Azure Key Vault Recursos estándar.
  1. Crear un grupo y agregar miembros.

    Los grupos de Azure le permiten gestionar usuarios asignándoles el mismo acceso y permisos a los recursos.

  2. Asigne los siguientes roles según el tipo de Azure Key Vault:
    • Para HSM gestionado:
      • IAM: Lector
      • RBAC local: Oficial criptográfico de HSM gestionado + usuario criptográfico de HSM gestionado
    • Para Key Vault Premium y Standard
      • IAM: lector + responsable criptográfico de almacén de claves

Para obtener pasos detallados, consulte Asignación de roles de Azure mediante el portal de Azure.

Esta es una forma alternativa de registrar sus almacenes de claves de Azure desde la consola de OCI. Si ya ha registrado el almacén durante la creación de una base de datos en el cluster de VM de Exadata existente, puede omitir este paso.

  1. En la consola de OCI, vaya a Integraciones de bases de datos multinube y, a continuación, seleccione Integración de Microsoft Azure. En la sección Integración de Microsoft Azure, seleccione Almacenes de claves de Azure.
    Nota

    Se debe crear al menos una clave en el almacén del portal de Azure para que el registro se realice correctamente.
  2. Seleccione el botón Registrar almacenes de claves de Azure.
  3. En la lista desplegable, seleccione el compartimento.
  4. En la sección Almacenes de claves de Azure, seleccione un conector de identidad en la lista Detectar almacenes de claves de Azure mediante conector.
  5. Haga clic en Detectar.

    Se muestra la lista de nombre de almacén(s).

  6. Seleccione la casilla de control situada junto a Nombre de almacén.
  7. Si desea agregar etiquetas para los recursos, amplíe la sección Opciones avanzadas y, a continuación, haga clic en Agregar etiqueta.
  8. Haga clic en Registrar para registrar los almacenes localmente en OCI.
  9. Una vez registrado el almacén, puede ver la información de los almacenes de la lista Nombre mostrado, Estado, Tipo, grupo de recursos de Azure y Creado.
  10. Seleccione el almacén que está utilizando y, a continuación, haga clic en el separador Asociaciones de conector de identidad, que muestra las asociaciones de conector de identidad en el compartimento actual.
    Nota

    Se crea automáticamente una asociación por defecto entre el almacén y el conector de identidad utilizados durante el proceso de registro del almacén. Esto permite que el almacén se utilice en el cluster de VM de Exadata asociado a ese conector de identidad específico.

    Si desea utilizar el mismo almacén en otros clusters que están registrados con diferentes conectores de identidad (es decir, no el utilizado durante la detección de almacenes), debe crear explícitamente una asociación entre el almacén y esos conectores de identidad adicionales.

  11. Haga clic en Crear asociación.
  12. En la lista desplegable, seleccione el compartimento, el nombre de asociación de almacén de claves de Azure y el conector de identidad.
  13. Si amplía la sección Opciones avanzadas, puede agregar etiquetas para organizar los recursos.
  14. Revise las selecciones y, a continuación, haga clic en Crear.

Crear una base de datos en un cluster de VM existente

En este temas se trata la creación de la primera base de Datos o las posteriores.

Nota

Si IORM está activada en la instancia de Exadata Cloud Infrastructure, se aplicará la directiva por defecto a la nueva base de datos y podría afectar al rendimiento del sistema. Oracle recomienda revisar los valores de IORM y realizar los ajustes aplicables en la configuración una vez aprovisionada la nueva base de datos.
Nota

Antes de crear la primera base de datos y seleccionar Azure Key Vault para la gestión de claves, asegúrese de que se cumplen los siguientes requisitos:
  • Se cumplen todos los requisitos de red descritos en la sección Requisitos de red para crear un conector de identidad y recursos de KMS
  • El conector de identidad se crea y está disponible para su uso
  • La gestión de claves de Azure está activada en el nivel de cluster de VM
  • El cluster de VM tiene los permisos necesarios para acceder a los almacenes
  • Los almacenes se registran como recursos de OCI
Nota

  • Restricción de máquinas virtuales: la ampliación de un cluster de VM no amplía automáticamente las bases de datos que utilizan Azure Key Vault a la máquina virtual recién agregada. Para completar la extensión, debe actualizar el conector de identidad existente para el cluster de VM de Exadata proporcionando el token de acceso de Azure. Después de actualizar el conector de identidad, ejecute el comando dbaascli database addInstance para agregar la instancia de base de datos a la nueva VM.
  • Restricciones de Data Guard:
    • Al crear una base de datos en espera para una base de datos principal que utiliza Azure Key Vault, asegúrese de que el cluster de VM de destino tenga un conector de identidad activo, que la gestión de claves de Azure esté activada y que la asociación necesaria entre el conector de identidad y el almacén de claves esté configurada correctamente.
    • Las operaciones de restauración de bases de datos y Data Guard entre regiones no están soportadas para bases de datos que utilizan Azure Key Vault para la gestión de claves.
  • Restricción de operaciones de PDB: las operaciones de PDB remotas, como clonar, refrescar y reubicar, solo están soportadas si tanto la base de datos de origen como la de destino utilizan la misma clave de cifrado de datos transparente (TDE).
  1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure
  2. Seleccione su compartimento.
  3. Vaya al cluster de VM en la nube o al sistema de base de datos en el que desea crear la base de datos:

    Clusters en la red (nuevo modelo de recursos de infraestructura de Exadata Cloud): en Oracle Exadata Database Service on Dedicated Infrastructure, haga clic enClusters en la red de Exadata VM. En la lista de clusters de VM, busque el cluster de VM al que desea acceder y haga clic en el nombre resaltado para ver la página de detalles del cluster.

    Sistemas de base de datos: en Oracle Base Database, haga clic en Sistemas de base de datos. En la lista de sistemas de base de datos, busque el sistema de base de datos de Exadata al que desea acceder y, a continuación, haga clic en su nombre para mostrar los detalles.

  4. Haga clic en Crear base de datos.
  5. En el cuadro de diálogo Crear base de datos, introduzca lo siguiente:
    Nota

    No puede modificar db_name, db_unique_name ni el prefijo SID después de crear la base de datos.
    • Nombre de base de datos: nombre de la base de datos. El nombre de base de datos debe cumplir los siguientes requisitos:
      • Máximo de 8 caracteres
      • Solo debe contener caracteres alfanuméricos
      • Debe comenzar con un carácter alfanumérico
      • No puede formar parte de los primeros 8 caracteres de un valor de DB_UNIQUE_NAME en el cluster de VM
      • NO debe utilizar los siguientes nombres reservados: grid, ASM
    • Sufijo de nombre único de la base de datos:

      Si lo desea, puede especificar un valor para el parámetro de base de datos DB_UNIQUE_NAME. El valor no es sensible a mayúsculas/minúsculas.

      El nombre único debe cumplir los siguientes requisitos:

      • Máximo 30 caracteres
      • Contener solo caracteres alfanuméricos o de subrayado (_)
      • Debe comenzar con un carácter alfanumérico
      • Único en todo el cluster de VM. Se recomienda que sea único en todo el arrendamiento.
      Si no se especifica, el sistema genera automáticamente un valor de nombre único de la siguiente manera: 
      <db_name>_<3_chars_unique_string>_<region-name>
    • Versión de base de datos: versión de la base de datos. Puede combinar distintas versiones de bases de datos en el sistema de base de datos de Exadata.
    • Nombre de PDB: (opcional) Para Oracle Database 12c (12.1.0.2) y posteriores, puede especificar el nombre de la base de datos conectable. El nombre de la PDB debe empezar por un carácter alfabético y puede contener un máximo de ocho caracteres alfanuméricos. El único carácter especial permitido es el guion bajo (_).

      Para evitar posibles conflictos de nombre de servicio al utilizar Oracle Net Services para conectarse a la PDB, asegúrese de que el nombre de la PDB sea único en todo el cluster de VM. Si no proporciona el nombre de la primera PDB, se utilizará un nombre generado por el sistema.

    • Directorio raíz de base de datos: directorio raíz de Oracle Database para la base de datos. Seleccione la opción aplicable:
      • Seleccionar un directorio raíz de base de datos existente: el campo de nombre mostrado de directorio raíz de base de datos permite seleccionar el directorio raíz de base de datos entre los directorios raíz existentes para la versión de base de datos que ha especificado. Si no existe ningún directorio raíz de base de datos con esa versión, debe crear uno nuevo.
      • Crear un nuevo directorio raíz de base de dato: utilice esta opción para aprovisionar un nuevo directorio raíz de base de dato para la base de Datos peer de Data Guard.

        Haga clic en Cambiar imagen de base de datos para utilizar una imágenes publicadas por Oracle o una imagen de software de base de datos personalizada que haya creado con antelación y, a continuación, seleccione un tipo de foto:

        • Imágenes de software de base de datos proporcionadas por Oracle:

          Puede utilizar el conmutador Mostrar todas las versiones disponibles para elegir entre todas las PSU y las RU disponibles. La versión más reciente de cada versión principal se indica con la etiqueta más reciente.

          Nota

          Para las versiones principales de Oracle Database disponibles en Oracle Cloud Infrastructure, se proporcionan imágenes de la versión actual y de las tres versiones anteriores más recientes (de N a N - 3). Por ejemplo, si una instancia utiliza Oracle Database 19c y la versión más reciente de 19c ofrecida es la 19.8.0.0.0, las imágenes disponibles para el aprovisionamiento son de las versiones 19.8.0.0.0, 19.7.0.0, 19.6.0.0 y 19.5.0.0.
        • Imágenes de software de base de datos personalizadas: estas imágenes se crean en su organización y contienen configuraciones personalizadas de actualizaciones y parches de software. Utilice los selectores Seleccionar un compartimento, Seleccionar una región y Seleccionar una versión de base del sistema de datos para limitar la lista de imágenes del software de bases de datos personalizadas a un compartimento específico, una región o una versión principal de software de la Oracle Database.

          El filtro de región toma por defecto la región conectada actualmente y muestra todas las imágenes de software creadas en esa región. Al seleccionar una región diferente, la lista de imágenes de software se refresca para mostrar las imágenes de software creadas en la región seleccionada.

    • Crear credenciales de administrador: (solo lectura) se creará un usuario administrador de la base de datos SYS con la contraseña que proporcione.
      • Nombre de usuario: SYS
      • Contraseña: proporcione la contraseña para este usuario. La contraseña debe cumplir los siguientes criterios:

        Contraseña segura para SYS, SYSTEM, la cartera de TDE y el administrador de la PDB. La contraseña debe tener entre 9 y 30 caracteres y contener al menos dos caracteres en mayúsculas, dos caracteres en minúsculas, dos caracteres numéricos y dos caracteres especiales. Los caracteres especiales deben ser _, # o -. La contraseña no debe contener el nombre de usuario (SYS, SYSTEM, etc.) ni la palabra "oracle" ya sea en orden hacia delante o inverso e independientemente de las mayúsculas o minúsculas.

      • Confirmar contraseña: vuelva a introducir la contraseña de SYS especificada.
      • El uso de una contraseña de cartera de TDE es opcional. Si utiliza claves de cifrado gestionadas por el cliente almacenadas en un almacén de su arrendamiento, la contraseña de cartera de TDE no se aplicará a su sistema de base de datos. Utilice Mostrar opciones Avanzadas al final del recuadro de diálogo Crear Base de Datos para configurar las claves gestionadas por el cliente.

        Si utiliza claves gestionadas por el cliente o desea especificar una contraseña de cartera de TDE diferente, anule la selección de la casilla Usar la contraseña de administrador para la cartera de TDE. Si utiliza claves gestionadas por el cliente, deje los campos de contraseña de TDE en blanco. Para definir la contraseña de cartera de TDE manualmente, introduzca una contraseña en el campo Introducir contraseña de cartera de TDE y, a continuación, confírmela en el campo Confirmar contraseña de cartera de TDE.

    • Configurar copias de seguridad de base de datos: especifique la configuración para realizar una copia de Seguridad de la base de datos a Autonomous Recovery Service o Object Storage:
      • Activar copia de seguridad automática: marque la casilla de control para activar la copia de seguridad incremental automática para esta base de datos. Si va a crear una base de datos en un compartimento de zona de seguridad, debe activar copias de seguridad automáticas.
      • Destino de copia de seguridad: las opciones son Autonomous Recovery Service u Object Storage.
      • Programación de copias de seguridad:
        • Object Storage (L0):
          • Día de programación de copia de seguridad completa: seleccione un día de la semana para que comiencen la copia de seguridad L0 inicial y futura.
          • Tiempo de programación de copia de seguridad completa (UTC): especifique la ventana de tiempo en la que las copias de seguridad completas se inician cuando la capacidad de copia de seguridad automática esté seleccionada.

          • Realizar primera copia de seguridad inmediatamente: una copia de seguridad completa es una copia de seguridad del sistema operativo de todos los archivos de datos y el archivo de control que constituye una instancia de Oracle Database. Una copia de seguridad completa también debe incluir los ficheros de parámetro asociados a la base de datos. Puede realizar una copia de seguridad completa de las bases de datos cuando esta está cerrada o mientras la base está abierta. Normalmente, no debe realizar una copia de seguridad completa después de un fallo de instancia u otras circunstancias inusuales.

            Si decide diferir la primera copia de seguridad completa, puede que la base de datos no se pueda recuperar si se produce un fallo de la base de datos.

        • Object Storage (L1):
          • Hora de programación de copia de seguridad incremental (UTC): especifique la ventana de tiempo en la que las copias de seguridad incrementales se inician cuando la capacidad de copia de seguridad automática esté seleccionada.
        • Autonomous Recovery Service (L0):
          • Día programado para copias de seguridad iniciales: seleccione un día de la semana para la copia inicial.
          • Hora programada para copia del respaldo inicial (UTC): seleccione la ventana de tiempo para la copia del respaldo inicial.

          • Realizar primera copia de seguridad inmediatamente: una copia de seguridad completa es una copia de seguridad del sistema operativo de todos los archivos de datos y el archivo de control que constituye una instancia de Oracle Database. Una copia de seguridad completa también debe incluir los ficheros de parámetro asociados a la base de datos. Puede realizar una copia de seguridad completa de las bases de datos cuando esta está cerrada o mientras la base está abierta. Normalmente, no debe realizar una copia de seguridad completa después de un fallo de instancia u otras circunstancias inusuales.

            Si decide diferir la primera copia de seguridad completa, puede que la base de datos no se pueda recuperar si se produce un fallo de la base de datos.

        • Autonomous Recovery Service (L1):
          • Hora programada para la copia de seguridad diaria (UTC): especifique la ventana de tiempo cuando las copias de seguridad incrementales se inicien cuando la capacidad de copia de seguridad automática esté seleccionada.
      • Opciones de supresión después de la Terminación de la Base de Datos: las opciones que puede utilizar para conservar la copia de seguridad de base de Datos Protegida tras su terminación. Estas opciones también pueden ayudar a restaurar la base de datos a partir de copias de seguridad en caso de daño accidental o malicioso en la base de datos.
        • Retener copias de seguridad para el período especificado en la política de protección o el período de retención de copia de seguridad: seleccione esta opción si desea retener copias de seguridad de la base de datos durante todo el período definido en el período de retención de copia de seguridad de Object Storage o en la política de protección de Autonomous Recovery Service después de terminar la base de datos.
        • Retener copias de seguridad durante 72 horas y, a continuación, suprimir: seleccione esta opción para retener copias de seguridad durante un período de 72 horas después de terminar la base de datos.

      • Período de Retención de Copia de Seguridad/Política de Protección: si decide activar las copias en modo automático, puede seleccionar una política con uno de los siguientes periodos de conservación predefinidos o una política personalizada.

        Período de retención de copia de seguridad de almacenamiento de objetos: 7, 15, 30, 45, 60. Valor por defecto: 30 días. El sistema suprime automáticamente las copias de seguridad incrementales al final del período de retención seleccionado.

        Política de protección de Autonomous Recovery Service:

        • Bronce: 14 días
        • Plata: 35 días
        • Oro: 65 días
        • Platino: 95 días
        • Personalizado definido por usted
        • Valor predeterminado: Silver - 35 días
      • Activar protección de datos en tiempo real: la protección en tiempo real es la transferencia continua de cambios de redo de una base a datos protegida a Autonomous Recovery Service. Esto reduce la pérdida de datos y proporciona un objetivo de punto de recuperación (RPO) cercano a 0. Esta es una opción de costo adicional.

  6. Haga clic en Mostrar opciones avanzadas para especificar opciones avanzadas para la base de datos:

    • Gestión:

      Prefijo de SID de Oracle: el número de instancia de Oracle Database se agrega automáticamente al prefijo de SID para crear el parámetro de base de datos INSTANCE_NAME. El parámetro INSTANCE_NAME también se conoce como SID. El SID es único en todo el cluster en la nube de VM. Si no se especifica, el prefijo de SID se define por Defecto en db_name.

      Nota

      La incorporación de un prefijo SID solo está disponible para las bases de datos de Oracle 12.1 y versiones posteriores.

      El prefijo SID debe cumplir los requisitos:

      • Máximo de 12 caracteres
      • Solo debe contener caracteres alfanuméricos. Sin embargo, puede utilizar el guion bajo (_), que es el único carácter especial que no está restringido por esta convención de nomenclatura.
      • Debe comenzar con un carácter alfanumérico
      • Único en el cluster de VM
      • NO debe utilizar los siguientes nombres reservados: grid, ASM
    • Juego de caracteres: juego de caracteres de la base de datos. El valor por defecto es AL32UTF8.
    • Juego de caracteres nacional: juego de caracteres nacional de la base de datos. El valor por defecto es AL16UTF16.

    • Cifrado:

      Si está creando una base de datos en un cluster Exadata Cloud Service VM, puede elegir utilizar el cifrado basado en claves de cifrado que gestione. Por defecto, la base de datos se configura mediante claves de cifrado gestionadas por Oracle.

      • Para configurar la base de datos con cifrado basado en claves de cifrado que gestione:
        Nota

        Si la gestión de claves de Azure está desactivada en el nivel de cluster de VM, tendrá tres opciones de gestión de claves: Oracle Wallet, OCI Vault y Oracle Key Vault.
        • OCI Vault:
          1. Debe tener una clave de cifrado válida en el servicio Vault de Oracle Cloud Infrastructure. Consulte Permitir que los administradores de seguridad gestionen almacenes, claves y secretos.
            Nota

            Debe utilizar las claves de cifrado AES-256 para la base de datos.
          2. Seleccione un Almacén.
          3. Seleccione una Clave de cifrado maestra.
          4. Para especificar una versión de clave que no sea la versión más reciente de la clave seleccionada, seleccione Seleccionar la versión de la clave e introduzca el OCID de la clave que desea utilizar en el campo OCID de versión de clave.
            Nota

            La versión de clave solo se asignará a la base de datos de contenedores (CDB) y no a su base de datos de conexión (PDB). A la PDB se le asignará una nueva versión de clave generada automáticamente.
        • Oracle Key Vault: seleccione un compartimento y un almacén de claves del compartimento seleccionado.
      • Para crear una base de datos mediante el almacén de claves de Azure como solución de gestión de claves:
        Nota

        Si la gestión de claves de Azure está activada en el nivel de cluster de VM, tendrá dos opciones de gestión de claves: Oracle Wallet y Azure Key Vault.
        1. Seleccione el tipo Gestión de claves como Azure Key Vault.
        2. Seleccione el almacén disponible en el compartimento.
          Nota

          La lista Almacén rellena solo los almacenes registrados. Haga clic en el enlace Registrar nuevos almacenes para registrar el almacén. En la página Registrar almacenes de claves de Azure, seleccione el almacén y, a continuación, haga clic en Registrar.
          Nota

          Se debe registrar al menos una clave en los almacenes.
        3. Seleccione la clave disponible en el compartimento.
    • Etiquetas: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
  7. Haga clic en Crear base de datos.
Nota

Ahora puede hacer lo siguiente:
  • Cree o suprima una CDB mientras se ejecuta una configuración de Data Guard en otra base de datos del mismo directorio raíz de Oracle y viceversa.
  • Cree o suprima una CDB mientras realiza simultáneamente acciones de Data Guard (switchover, failover y volver a instanciar) en el mismo directorio raíz de Oracle y viceversa.
  • Cree o suprima una CDB mientras crea o suprime simultáneamente una PDB en el mismo directorio raíz de Oracle, y viceversa.
  • Cree o suprima una CDB simultáneamente en el mismo directorio raíz de Oracle.
  • Cree o suprima una CDB mientras actualiza simultáneamente las etiquetas de cluster de VM.

Una vez completada la creación de la base de datos, el estado cambia de Aprovisionando a Disponible y, en la página de detalles de la nueva base de datos, la sección Cifrado muestra el nombre y el OCID de la clave de cifrado.

ADVERTENCIA:

No suprima la clave de cifrado del almacén. Esto provoca que todas las bases de datos protegidas por la clave dejen de estar disponibles.

Aprenderá a cambiar las claves de cifrado entre diferentes métodos de cifrado.

  1. Navegue al cluster de VM de Exadata existente en la consola de OCI. Seleccione el separador Bases de datos. A continuación, seleccione el recurso de base de datos que está utilizando.
  2. Seleccione el separador Información de base de datos y, a continuación, desplácese hacia abajo hasta la sección Gestión de claves.
  3. En la sección Cifrado, verifique que Gestión de claves esté definido en Oracle Wallet y, a continuación, seleccione el enlace Cambiar.
  4. Introduzca la siguiente información en la página Cambiar gestión de claves.
    1. Seleccione su gestión de claves como almacén de claves de Azure en la lista desplegable.
    2. Seleccione el compartimento de almacén que está utilizando y, a continuación, seleccione el almacén que está disponible en el compartimento.
    3. Seleccione el compartimento Clave que está utilizando y, a continuación, seleccione la Clave en la lista desplegable.
    4. Haga clic en Guardar cambios.
Nota

El cambio de la gestión de claves de Azure Key Vault a Oracle Wallet no se puede realizar mediante la API o la consola de OCI; solo se soporta mediante el comando dbaascli tde fileToHsm. Además, no se admite el cambio entre Azure Key Vault y OCI Vault u Oracle Key Vault (OKV).

Para rotar la clave de cifrado del almacén de claves de Azure de una base de datos de contenedores (CDB), utilice este procedimiento.

  1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Seleccione su compartimento.

    Se mostrará una lista de clusters de VM para el compartimento seleccionado.

  3. En la lista de clústeres de VM, haga clic en el nombre del clúster de VM que contiene la base de datos que desea rotar las claves de cifrado.
  4. Haga clic en Bases de datos.
  5. Haga clic en el nombre de la base que desea rotar las claves de cifrado.

    La página Detalles de Base de Datos muestra información sobre la base datos seleccionada.

  6. En la sección Cifrado, verifique que Gestión de claves esté definido en Azure Key Vault y, a continuación, haga clic en el enlace Rotar.
  7. En el cuadro de diálogo Rotar clave resultante, haga clic en Rotar para confirmar la acción.
Nota

La rotación de claves se debe realizar a través de la interfaz de OCI. La rotación de la clave directamente desde la interfaz de Azure no afecta a la base de datos.

Para rotar la clave de cifrado del almacén de claves de Azure de una base de datos de conexión (PDB), utilice este procedimiento.

  1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Seleccione su compartimento.

    Se mostrará una lista de clusters de VM para el compartimento seleccionado.

  3. En la lista de clusters de VM, haga clic en el nombre del cluster de VM que contiene la PDB que desea iniciar y, a continuación, haga clic en su nombre para mostrar la página de detalles.
  4. En Bases de datos, busque la base de datos que contiene la PDB para la que desea rotar las claves de cifrado.
  5. Haga clic en el nombre de la base de datos para ver la página Detalles de base de datos.
  6. Haga clic en Bases de Datos conectables en la sección Recursos de la página.

    Aparecerá una lista de las PDB existentes en esta base de datos.

  7. Haga clic en el nombre de la PDB que desea rotar las claves de cifrado.

    Aparecerá la página de detalles de conexión.

  8. En la sección Cifrado se muestra que la gestión de claves está definida como Azure Key Vault.
  9. Haga clic en el enlace Rotar.
  10. En el cuadro de diálogo Rotar clave resultante, haga clic en Rotar para confirmar la acción.

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Utilice estas operaciones de API para gestionar la integración de Azure Key Vault para Exadata Database Service en Oracle Database@Azure.

Tabla 5-9 Operación de API para gestionar la integración de Azure Key Vault para Exadata Database Service en Oracle Database@Azure

API Descripción
createOracleDbAzureConnector Captura detalles específicos de Azure del cliente y automatiza la instalación del agente de ARC en el cluster de VM ExaDB-D.
deleteOracleDbAzureConnector Suprime el recurso de conector de Azure y desinstala Arc Agent del cluster de VM ExaDB-D.
getOracleDbAzureConnector Recupera los detalles de un recurso de conector de Azure específico.
listOracleDbAzureConnectors Muestra los recursos de Azure Connector según los filtros especificados.
CreateMultiCloudResourceDiscovery Crea un nuevo recurso de detección de recursos multinube.
GetMultiCloudResourceDiscovery Recupera los detalles de un recurso de detección de recursos multinube específico.
ListMultiCloudResourceDiscoveries Recupera una lista de todos los recursos de detección de recursos de varias nubes.
CreateOracleDbAzureVaultAssociation Crea una nueva asociación entre un almacén de Oracle DB y uno de Azure.
GetOracleDbAzureVaultAssociation Recupera los detalles de una asociación de almacén de Azure de Oracle DB específica.
ListOracleDbAzureVaultAssociations Recupera una lista de todas las asociaciones de almacén de Azure de Oracle DB.
CreateCloudVMCluster Crea un cluster de VM en la nube.
GetCloudVmCluster Obtiene información sobre el cluster de VM en la nube especificado. Se aplica solo a instancias de Exadata Cloud Service y a Autonomous Database en una infraestructura de Exadata dedicada.
ListCloudVmClusters Obtiene una lista de los clusters de VM en la nube en el compartimento especificado. Se aplica solo a instancias de Exadata Cloud Service y a Autonomous Database en una infraestructura de Exadata dedicada.
DeleteCloudVMCluster Suprime el cluster de VM en la nube especificado. Se aplica solo a instancias de Exadata Cloud Service y a Autonomous Database en una infraestructura de Exadata dedicada.
CreateDatabase Crea una nueva base de datos en el directorio raíz de base de datos especificado. Si se proporciona la versión de la base de datos, debe coincidir con la versión del directorio raíz de la base de datos. Se aplica a los sistemas Exadata y Exadata Cloud@Customer.
CreateDatabaseFromBackup

Detalles para crear una base de datos mediante la restauración a partir de una copia de seguridad de la base de datos.

Advertencia: Oracle recomienda evitar el uso de información confidencial al proporcionar valores de cadena mediante la API.

MigrateVaultKey Cambia la gestión de claves de cifrado de gestionada por el cliente, mediante el servicio Vault, a gestionada por Oracle.
RotateVaultKey Crea una nueva versión de una clave de servicio de almacén existente.
RestoreDatabase Restaura una base de datos según los parámetros de solicitud que proporcione.