Uso de Oracle Key Vault con Autonomous AI Database en infraestructura de Exadata dedicada

Oracle Key Vault es un dispositivo de software de pila completa y seguridad reforzada diseñado para centralizar la gestión de las claves y los objetos de seguridad dentro de la empresa. Oracle Key Vault es un sistema gestionado y aprovisionado por el cliente y no forma parte de los servicios gestionados de Oracle Cloud Infrastructure. Puede integrar su instancia local de Oracle Key Vault (OKV) con servicios de base de datos en la nube gestionados por el cliente para proteger sus datos esenciales de forma local.

Requisitos

  1. Asegúrese de que OKV esté configurado y de que se pueda acceder a la red desde la red de cliente de Oracle Public Cloud. Abra el puerto 443, 5695 y 5696 para que la salida en la red de cliente acceda al servidor de OKV.

  2. Asegúrese de que la interfaz REST está activada desde la interfaz de usuario de OKV.

  3. Cree el usuario "Administración de REST de OKV". Puede utilizar cualquier nombre de usuario cualificado de su elección, por ejemplo, "okv_rest_user". Para Autonomous AI Database on Cloud@Customer y Oracle Database Exadata Cloud@Customer, utilice el mismo usuario de REST o distintos. Esas bases de datos se pueden gestionar mediante claves en los mismos clusters de OKV locales o en distintos. Oracle Database Exadata Cloud@Customer necesita un usuario REST con el privilegio create endpoint. Autonomous AI Database on Cloud@Customer necesita un usuario REST con privilegios create endpoint y create endpoint group.

  4. Recopile las credenciales de administrador y de la dirección IP de OKV, que son necesarias para conectarse a OKV y configurar el almacén de claves. Consulte Creación de un almacén de claves para obtener orientación.

  5. Abra los puertos 443, 5695 y 5696 para la salida en la red de cliente para acceder al servidor de OKV.

  6. En los despliegues de Oracle Public Cloud, asegúrese de que OKV tenga acceso de red a la base de datos de IA autónoma definiendo las rutas de red adecuadas con VPN (conexión rápida o VPN como servicio) o cualquier intercambio de VCN si el host informático está en otra VCN.

Crear un archivo nativo en OCI Vault Service y agregar un secreto al archivo nativo para almacenar la contraseña del administrador REST de OKV

Su despliegue de infraestructura de Exadata dedicada se comunica con OKV a través de REST cada vez que se aprovisiona una instancia de Oracle Database para registrar Oracle Database y solicitar una cartera en OKV. Por lo tanto, la infraestructura de Exadata necesita acceso a las credenciales de administrador de REST para registrarse en el servidor de OKV. Estas credenciales se almacenan de forma segura en el servicio Oracle Vault en OCI como secreto y su despliegue de infraestructura de Exadata dedicada solo accede a ellas cuando es necesario. Cuando es necesario, las credenciales se almacenan en un archivo de cartera protegido por contraseña.

Creación de una sentencia de directiva para que los servicios de base de datos utilicen el secreto desde OKV Vault Service

Para otorgar permiso al servicio Autonomous AI Database para utilizar el secreto en OCI Vault para conectarse a la interfaz REST de OKV, acceda a (o cree) una política de IAM de un compartimento que esté por encima en las jerarquías de compartimentos del compartimento que contiene los almacenes y recursos de OCI. A continuación, agregue una sentencia de política con este formato:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

donde <vaults-and-secrets-compartment> es el nombre del compartimento en los que ha creado los almacenes y secretos de OCI.

Una vez que se haya configurado OCI Vault y se haya establecido la configuración de IAM, ya estará listo para desplegar el almacén de claves de Oracle Key Vault en OCI y asociarlo a su cluster de VM de Exadata dedicado.

Actualizar grupo de puntos finales de OKV

Puede actualizar el grupo de puntos finales de OKV desde la página Detalles de una ACD.

Opcionalmente, también puede agregar un nombre de grupo de puntos finales de OKV con el almacén de claves de OKV al aprovisionar la ACD o una versión posterior.

Para actualizar el grupo de puntos finales de OKV en una ACD, debe asegurarse de que:

Para actualizar el nombre del grupo de puntos finales de OKV:

Gestionar puntos finales de OKV

Suprimir puntos finales de Oracle Key Vault

Después de terminar una ACD, debe suprimir los puntos finales correspondientes a la ACD de OKV. Los puntos finales de OKV se crean en el momento del aprovisionamiento de ACD por ACD por nodo de cluster. La supresión de los puntos finales correspondientes a una ACD terminada mantiene el OKV organizado y ayuda durante la rotación del certificado de CA de OKV.

Al suprimir un punto final, se elimina de forma permanente de Oracle Key Vault. Sin embargo, los objetos de seguridad que ese punto final haya creado o cargado previamente permanecerán en Oracle Key Vault. Del mismo modo, los objetos de seguridad asociados a ese punto final también permanecen. Para suprimir o reasignar permanentemente estos objetos de seguridad, debe ser un usuario con el rol de administrador de claves o estar autorizado para fusionar estos objetos mediante la gestión de privilegios de cartera. El software de punto final descargado anteriormente en el punto final también permanece en el punto final hasta que el administrador del punto final lo elimina.

No puede suprimir un punto final que tenga el estado PENDING a menos que sea el usuario que lo ha creado. Debe suprimirlo en el nodo en el que se creó. Consulte Supresión de uno o más puntos finales para obtener más información.

Volver a inscribir puntos finales

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure no admite la nueva inscripción de puntos finales de OKV listos para usar. Para volver a inscribir los puntos finales de OKV, debe ponerse en contacto con los equipos de operaciones de Autonomous AI Database.

Contenido relacionado

Crear y gestionar almacenes de claves