Prepararse para utilizar Oracle Key Vault con Autonomous Database on Dedicated Exadata Infrastructure

Oracle Key Vault es un dispositivo de software de pila completa y seguridad reforzada diseñado para centralizar la gestión de las claves y los objetos de seguridad dentro de la empresa. Oracle Key Vault es un sistema gestionado y aprovisionado por el cliente y no forma parte de los servicios gestionados de Oracle Cloud Infrastructure. Puede integrar su instancia local de Oracle Key Vault (OKV) con servicios de base de datos en la nube gestionados por el cliente para proteger sus datos críticos en la ubicación local.

Temas relacionados

Requisitos

  1. Asegúrese de que OKV esté configurado y de que se pueda acceder a la red desde la red de cliente de Oracle Public Cloud. Abra los puertos 443, 5695 y 5696 para la salida en la red de cliente para acceder al servidor de OKV.
  2. Asegúrese de que la interfaz REST está activada desde la interfaz de usuario de OKV.
  3. Cree el usuario "Administrador de REST de OKV". Puede utilizar cualquier nombre de usuario cualificado de su elección, por ejemplo, "okv_rest_user". Para Autonomous Database en Cloud@Customer y Oracle Database Exadata Cloud at Customer, utilice los mismos usuarios de REST o distintos. Esas bases de datos se pueden gestionar mediante claves en el mismo cluster de OKV local o en clusters diferentes. Oracle Database Exadata Cloud at Customer necesita un usuario REST con el privilegio create endpoint. Autonomous Database en Cloud@Customer necesita un usuario REST con privilegios create endpoint y create endpoint group.
  4. Recopile las credenciales de administrador y de la dirección IP de OKV, que son necesarias para conectarse a OKV y configurar el almacén de claves. Consulte Creación de un almacén de claves para obtener orientación.
  5. Abra los puertos 443, 5695 y 5696 para la salida en la red de cliente para acceder al servidor de OKV.
  6. En despliegues de Oracle Public Cloud, asegúrese de que OKV tenga acceso de red a Autonomous Database mediante la definición de rutas de red adecuadas con VPN (conexión rápida o VPN como servicio) o cualquier intercambio de tráfico de VCN si el host de recursos informáticos está en otra VCN.

Creación de un almacén en el servicio OCI Vault y adición de un secreto al almacén para almacenar la contraseña de administrador de REST de OKV

El despliegue de infraestructura de Exadata dedicada se comunica con OKV a través de REST cada vez que se aprovisiona una instancia de Oracle Database para registrar Oracle Database y solicitar una cartera en OKV. Por lo tanto, la infraestructura de Exadata necesita acceder a las credenciales de administrador de REST para registrarse en el servidor de OKV. Estas credenciales se almacenan de forma segura en el servicio Oracle Vault de OCI como secreto y al que accede el despliegue de infraestructura de Exadata dedicada solo cuando sea necesario. Cuando es necesario, las credenciales se almacenan en un archivo de cartera protegido por contraseña.