Uso de Oracle Key Vault con Autonomous AI Database en infraestructura de Exadata dedicada

Oracle Key Vault es un dispositivo de software de pila completa y seguridad reforzada diseñado para centralizar la gestión de las claves y los objetos de seguridad dentro de la empresa. Oracle Key Vault es un sistema gestionado y aprovisionado por el cliente y no forma parte de los servicios gestionados de Oracle Cloud Infrastructure. Puede integrar su instancia local de Oracle Key Vault (OKV) con servicios de base de datos en la nube gestionados por el cliente para proteger sus datos críticos en la ubicación local.

Temas relacionados

Requisitos

  1. Asegúrese de que OKV esté configurado y de que se pueda acceder a la red desde la red de cliente de Oracle Public Cloud. Abra los puertos 443, 5695 y 5696 para la salida en la red de cliente para acceder al servidor de OKV.
  2. Asegúrese de que la interfaz REST está activada desde la interfaz de usuario de OKV.
  3. Cree el usuario "Administrador de REST de OKV". Puede utilizar cualquier nombre de usuario cualificado de su elección, por ejemplo, "okv_rest_user". Para Autonomous AI Database en Cloud@Customer y Oracle Database Exadata Cloud at Customer, utilice el mismo usuario de REST o diferentes. Esas bases de datos se pueden gestionar mediante claves en los mismos clusters de OKV locales o en distintos. Oracle Database Exadata Cloud at Customer necesita un usuario REST con el privilegio create endpoint. La base de datos de IA autónoma en Cloud@Customer necesita un usuario REST con privilegios create endpoint y create endpoint group.
  4. Recopile las credenciales de administrador y de la dirección IP de OKV, que son necesarias para conectarse a OKV y configurar el almacén de claves. Consulte Creación de un almacén de claves para obtener orientación.
  5. Abra los puertos 443, 5695 y 5696 para la salida en la red de cliente para acceder al servidor de OKV.
  6. En los despliegues de Oracle Public Cloud, asegúrese de que OKV tenga acceso de red a la base de datos de IA autónoma definiendo las rutas de red adecuadas con VPN (conexión rápida o VPN como servicio) o cualquier intercambio de tráfico de VCN si el host informático está en otra VCN.

Creación de un almacén en el servicio OCI Vault y adición de un secreto al almacén para almacenar la contraseña de administrador de REST de OKV

El despliegue de infraestructura de Exadata dedicada se comunica con OKV a través de REST cada vez que se aprovisiona una instancia de Oracle Database para registrar Oracle Database y solicitar una cartera en OKV. Por lo tanto, la infraestructura de Exadata necesita acceder a las credenciales de administrador de REST para registrarse en el servidor de OKV. Estas credenciales se almacenan de forma segura en el servicio Oracle Vault de OCI como secreto y al que accede el despliegue de infraestructura de Exadata dedicada solo cuando sea necesario. Cuando es necesario, las credenciales se almacenan en un archivo de cartera protegido por contraseña.

Creación de una sentencia de directiva para que los servicios de base de datos utilicen el secreto desde OKV Vault Service

Para otorgar permiso al servicio Autonomous AI Database para utilizar el secreto en OCI Vault para conectarse a la interfaz REST de OKV, acceda a (o cree) una política de IAM de un compartimento que esté por encima en las jerarquías de compartimentos del compartimento que contiene los almacenes y secreto de OCI. A continuación, agregue una sentencia de política con este formato: 

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

donde <vaults-and-secrets-compartment> es el nombre del compartimento en el que ha creado los almacenes y secretos de OCI.

Una vez configurado OCI Vault y configurada la configuración de IAM, ya está listo para desplegar el "almacén de claves" de Oracle Key Vault en OCI y asociarlo al cluster de VM de Exadata dedicado.

Actualizar grupo de puntos finales de OKV

Puede actualizar el grupo de puntos finales de OKV desde la página Detalles de una ACD.

Opcionalmente, también puede agregar un nombre de grupo de puntos finales de OKV con el almacén de claves de OKV al aprovisionar la ACD o una versión posterior.

Para actualizar el grupo de puntos finales de OKV en una ACD, debe asegurarse de que:
  • El grupo de puntos finales de OKV tiene acceso a la cartera de OKV correspondiente.
  • Los puntos finales de OKV correspondientes a la ACD forman parte del grupo de puntos finales de OKV.
  • El grupo de puntos finales de OKV tiene acceso de lectura a las carteras por defecto de los puntos finales.
Para actualizar el nombre del grupo de puntos finales de OKV:
  • Vaya a la página Detalles de ACD. Para obtener instrucciones, consulte Visualización de detalles de una base de datos de contenedores autónoma.
  • Haga clic en Editar junto al nombre del grupo de puntos finales de OKV en Cifrado.
  • Seleccione un almacén de claves de la lista e introduzca un nombre para el grupo de puntos finales de OKV. El nombre del grupo de puntos finales debe estar en mayúsculas y puede incluir números, guiones (-) y guiones bajos (_) y empezar por una letra mayúscula.
  • Haga clic en Guardar.

Gestionar puntos finales de OKV

Suprimir puntos finales de Oracle Key Vault

Después de terminar una ACD, debe suprimir los puntos finales correspondientes a la ACD de OKV. Los puntos finales de OKV se crean en el momento del aprovisionamiento de ACD por ACD por nodo de cluster. La supresión de los puntos finales correspondientes a una ACD terminada mantiene el OKV organizado y ayuda durante la rotación del certificado de CA de OKV.

Al suprimir un punto final, se elimina de forma permanente de Oracle Key Vault. Sin embargo, los objetos de seguridad que ese punto final haya creado o cargado previamente permanecerán en Oracle Key Vault. Del mismo modo, los objetos de seguridad asociados a ese punto final también permanecen. Para suprimir o reasignar permanentemente estos objetos de seguridad, debe ser un usuario con el rol de administrador de claves o estar autorizado para fusionar estos objetos mediante la gestión de privilegios de cartera. El software de punto final descargado anteriormente en el punto final también permanece en el punto final hasta que el administrador del punto final lo elimina.

No puede suprimir un punto final que tenga el estado PENDING a menos que sea el usuario que lo haya creado. Debe suprimirlo en el nodo en el que se creó. Consulte Supresión de uno o más puntos finales para obtener más información.

Volver a inscribir puntos finales

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure no admite la nueva inscripción de puntos finales de OKV listos para usar. Para volver a inscribir los puntos finales de OKV, debe ponerse en contacto con los equipos de operaciones de Autonomous AI Database.