Gestionar operaciones de clave maestra

Cifre los archivos de pista distribuidos a otros despliegues de GoldenGate mediante claves de cifrado maestras. A continuación, puede importar y exportar carteras de claves de cifrado maestras para utilizarlas con otros despliegues de OCI GoldenGate de origen y destino.

Nota: Esta información solo se aplica a los despliegues de replicación de datos.

Si se crea una clave maestra en Oracle GoldenGate, cada vez que GoldenGate crea un archivo de pista, genera automáticamente una nueva clave de cifrado que cifra el contenido de la pista. La clave maestra cifra la clave de cifrado.

Antes de empezar

Asegúrese de que tiene lo siguiente:

• Acceso al servicio Vault y a un almacén creado

  Nota: No es necesario un almacén privado virtual.

• Se han agregado las políticas mínimas necesarias para que OCI GoldenGate utilice el servicio Vault

• Clave de cifrado maestra creada en el almacén.

  Nota: Solo se admiten AES, claves protegidas por software o claves de HSM. No se admiten RSA y ECDSA.

Agregar una clave maestra en la consola de despliegue

Para agregar una clave maestra en la consola de despliegue de GoldenGate:

1. Inicie la consola de despliegue de GoldenGate desde la página Detalles de despliegue.

2. Conéctese como usuario administrador de GoldenGate.

3. Después de conectarse, abra el menú de navegación, seleccione Configuración y, a continuación, seleccione Gestión de claves.

4. En la página Key Management (Gestión de claves), para Master Keys (Claves maestras), seleccione Add Master key (Agregar clave maestra) (icono más).

En la lista aparece una nueva clave maestra.

Exportar una cartera de clave de cifrado maestra desde un despliegue de OCI GoldenGate

Si se agrega una clave maestra al despliegue de origen, asegúrese de exportarla e importarla al despliegue de destino.

Para exportar una cartera de claves de cifrado maestras:

1. En la página Despliegues, seleccione el despliegue desde el que exportar la cartera de clave de cifrado maestra.

2. En la página de detalles del despliegue, seleccione Operaciones de clave maestra.

3. En el menú Acciones, seleccione Exportar.

4. En el cuadro de diálogo Exportar:

   1. En Nombre, introduzca un nombre para la cartera de la clave de cifrado maestra.

   2. (Opcional) Introduzca una descripción que le ayude a distinguirla de otras de la lista de carteras.

   3. Seleccione un compartimento en la lista desplegable.

   4. En Almacén en <nombre-compartimento>, seleccione el almacén en el que exportar la cartera de clave de cifrado maestra. Seleccione Cambiar compartimento para seleccionar otro compartimento.

   5. En Clave de cifrado en <nombre de compartimento>, seleccione la clave de cifrado adecuada que desea utilizar. Seleccione Cambiar compartimento para seleccionar otro compartimento.

5. Seleccione Exportar.

Exportar una cartera de cifrado de clave maestra desde una instancia local de Oracle GoldenGate

Si se agrega una clave maestra a una instancia de Oracle GoldenGate de origen (local o de Marketplace), asegúrese de que base64 codifica cwallet.sso y, a continuación, cópielo en un secreto de OCI Vault.

Para exportar una cartera de clave de cifrado maestra desde una instancia local de Oracle GoldenGate:

1. Utilice SSH en la instancia local de Oracle GoldenGate.

2. Cambie los directorios a la ubicación en la que reside la cartera (cwallet.sso).

   Nota: Oracle recomienda realizar una copia de cwallet.sso con la que trabajar.

3. Base64 codifica cwallet.sso mediante el siguiente comando:

   base64 -w 0 cwallet.sso

4. Copie la cadena de salida.

5. En la consola de Oracle Cloud, abra el menú Identidad y seguridad y, a continuación, seleccione Almacén.

6. En la página Almacenes, seleccione el almacén.

7. En la página de detalles del almacén, seleccione Secretos y, a continuación, seleccione Crear secreto.

8. En el panel Crear secreto, complete los campos de la siguiente forma y:

   1. En Crear en compartimento, seleccione el compartimento en que desea crear el secreto.

   2. Introduzca un nombre para el secreto.

   3. (Opcional) Introduzca una descripción para el secreto.

   4. En Clave de cifrado en <compartment-name>, seleccione la clave de cifrado maestra creada en los pasos Antes de empezar. Seleccione Cambiar compartimento para seleccionar una clave de cifrado maestra ubicada en un compartimento diferente.

   5. Seleccione Generación manual de secretos.

   6. Para Contenido secreto, pegue la cadena codificada en base64 cwallet.sso del paso 3.

9. Seleccione Create Secret.

El secreto aparece en la lista Secretos. Ahora puede importar la cartera de clave de cifrado maestra al despliegue de OCI GoldenGate de destino y seleccionar este secreto.

Importar una cartera de claves de cifrado maestras a un despliegue

Para importar una cartera de claves de cifrado maestras:

1. En la página Despliegues, seleccione el despliegue en el que desea importar la cartera de clave de cifrado maestra.

2. En la página de detalles del despliegue, seleccione Operaciones de clave maestra.

3. En el menú Acciones, seleccione Importar.

4. En el cuadro de diálogo Importar:

   1. Para Secreto de cartera en <compartment-name>, seleccione el secreto de cartera que desea importar. Seleccione Cambiar compartimentos para seleccionar un secreto de cartera de un compartimento diferente.

   2. (Opcional) Seleccione Copiar de seguridad de cartera existente para...

      Si se selecciona, en Cartera de copia de seguridad:

      1. En Nombre, introduzca un nombre para la cartera de copia de seguridad.

      2. (Opcional) Introduzca una descripción.

      3. En Clave de cifrado en <compartment-name>, seleccione la clave de cifrado que desea utilizar. Seleccione Cambiar compartimento para seleccionar una clave de cifrado en un compartimento diferente.

5. Seleccione Importar.

Importar una cartera de clave de cifrado maestra a una instancia de GoldenGate local

Asegúrese de haber exportado la cartera de clave de cifrado maestra del despliegue de OCI GoldenGate de origen.

Para importar una cartera de clave de cifrado maestra a una instancia de GoldenGate local:

1. En la página Despliegues de OCI GoldenGate, seleccione el despliegue de origen.

2. En la página de detalles del despliegue, seleccione Operaciones de clave maestra.

3. En la lista de acciones de cartera de clave de cifrado maestra, seleccione la cartera exportada. Accederá a la página de detalles del secreto en su almacén.

4. En la página Detalles del secreto, en Versiones, seleccione Ver contenido del secreto en el menú Acciones.

5. En el cuadro de diálogo Ver contenido de secreto, seleccione Mostrar dígito de Base64 descodificado.

6. Copie el contenido del área de texto.

7. Utilice SSH en la instancia local o de Marketplace de Oracle GoldenGate.

8. Cree un nuevo archivo de texto (vi u otro editor de texto) y, a continuación, pegue el contenido del secreto en el archivo.

9. Ejecute el comando Base64 en el archivo que ha creado (asegúrese de sustituir <filename> por el nombre del archivo de texto):

   base64 -d <filename> > cwallet.sso

10. Copie o mueva cwallet.sso al directorio de cartera de GoldenGate.

Ahora puede agregar y ejecutar un Replicat para recibir el archivo de pista cifrado enviado desde el despliegue de OCI GoldenGate de origen.