Prepararse para utilizar Oracle Key Vault con Autonomous Database on Dedicated Exadata Infrastructure

Oracle Key Vault es un dispositivo de software de pila completa y seguridad reforzada diseñado para centralizar la gestión de las claves y los objetos de seguridad dentro de la empresa. Oracle Key Vault es un sistema gestionado y aprovisionado por el cliente y no forma parte de los servicios gestionados de Oracle Cloud Infrastructure. Puede integrar su instancia local de Oracle Key Vault (OKV) con servicios de base de datos en la nube gestionados por el cliente para proteger sus datos críticos en la ubicación local.

Requisitos

  1. Asegúrese de que OKV esté configurado y de que se pueda acceder a la red desde la red de cliente de Oracle Public Cloud. Abra los puertos 443, 5695 y 5696 para la salida en la red de cliente para acceder al servidor de OKV.
  2. Asegúrese de que la interfaz REST está activada desde la interfaz de usuario de OKV.
  3. Cree el usuario "Administrador de REST de OKV". Puede utilizar cualquier nombre de usuario cualificado de su elección, por ejemplo, "okv_rest_user". Para Autonomous Database en Cloud@Customer y Oracle Database Exadata Cloud at Customer, utilice los mismos usuarios de REST o distintos. Esas bases de datos se pueden gestionar mediante claves en el mismo cluster de OKV local o en clusters diferentes. Oracle Database Exadata Cloud at Customer necesita un usuario REST con el privilegio create endpoint. Autonomous Database en Cloud@Customer necesita un usuario REST con privilegios create endpoint y create endpoint group.
  4. Recopile las credenciales de administrador y de la dirección IP de OKV, que son necesarias para conectarse a OKV y configurar el almacén de claves. Consulte Creación de un almacén de claves para obtener orientación.
  5. Abra los puertos 443, 5695 y 5696 para la salida en la red de cliente para acceder al servidor de OKV.
  6. En despliegues de Oracle Public Cloud, asegúrese de que OKV tenga acceso de red a Autonomous Database mediante la definición de rutas de red adecuadas con VPN (conexión rápida o VPN como servicio) o cualquier intercambio de tráfico de VCN si el host de recursos informáticos está en otra VCN.

Creación de un almacén en el servicio OCI Vault y adición de un secreto al almacén para almacenar la contraseña de administrador de REST de OKV

El despliegue de infraestructura de Exadata dedicada se comunica con OKV a través de REST cada vez que se aprovisiona una instancia de Oracle Database para registrar Oracle Database y solicitar una cartera en OKV. Por lo tanto, la infraestructura de Exadata necesita acceder a las credenciales de administrador de REST para registrarse en el servidor de OKV. Estas credenciales se almacenan de forma segura en el servicio Oracle Vault de OCI como secreto y al que accede el despliegue de infraestructura de Exadata dedicada solo cuando sea necesario. Cuando es necesario, las credenciales se almacenan en un archivo de cartera protegido por contraseña.

Creación de un grupo dinámico y una sentencia de política para que el almacén de claves acceda al secreto en OCI Vault

Para otorgar permiso a los recursos del almacén de claves para acceder al secreto en OCI Vault, cree un grupo dinámico de IAM que identifique estos recursos y, a continuación, cree una política de IAM que otorgue a este grupo dinámico acceso al secreto creado en los almacenes y secretos de OCI.

Al definir el grupo dinámico, los recursos del almacén de claves se identifican al especificar el OCID del compartimento que contiene el almacén de claves.

  • Copie el OCID del compartimento que contiene el recurso del almacén de claves. Puede encontrar este OCID en la página Detalles del compartimento del compartimento.
  • Cree un grupo dinámico siguiendo las instrucciones de Gestión de grupos dinámicos en la Documentación de Oracle Cloud Infrastructure. Al seguir estas instrucciones, introduzca una regla de coincidencia con este formato:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    donde <compartment-ocid> es el OCID del compartimento que contiene el recurso del almacén de claves.

Después de crear el grupo dinámico, acceda a (o cree) una política de IAM de un compartimento que esté por encima en la jerarquía de compartimentos del compartimento que contiene los almacenes y secretos. A continuación, agregue una sentencia de política con este formato:

allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

donde <dynamic-group> es el nombre del grupo dinámico creado y <vaults-and-secrets-compartment> es el nombre del compartimento en el que ha creado los almacenes y secretos.

Creación de una sentencia de política para que el servicio de base de datos utilice el secreto desde el servicio OCI Vault

Para otorgar permiso al servicio Autonomous Database para utilizar el secreto en OCI Vault para conectarse a la interfaz REST de OKV, acceda a (o cree) una política de IAM de un compartimento que esté por encima en la jerarquía de compartimentos del compartimento que contiene los almacenes y secretos de OCI. A continuación, agregue una sentencia de política con este formato:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

donde <vaults-and-secrets-compartment> es el nombre del compartimento en el que ha creado los almacenes y secretos de OCI.

Una vez configurado OCI Vault y configurada la configuración de IAM, ya está listo para desplegar el "almacén de claves" de Oracle Key Vault en OCI y asociarlo al cluster de VM de Exadata dedicado.