Utiliser Oracle Key Vault avec une base de données autonome avec intelligence artificielle sur une infrastructure Exadata dédiée

Oracle Key Vault est un boîtier applicatif de pile complète à la sécurité renforcée, conçu pour centraliser la gestion des clés et des objets de sécurité au sein de l'entreprise. Oracle Key Vault est un système provisionné et géré par le client et ne fait pas partie des services gérés Oracle Cloud Infrastructure. Vous pouvez intégrer Oracle Key Vault (OKV) sur place aux services en nuage de base de données gérés par le client pour sécuriser vos données essentielles sur place.

Rubriques connexes

Conditions requises

  1. Assurez-vous que OKV est configuré et que le réseau est accessible à partir du réseau client Oracle Public Cloud. Ouvrez les ports 443, 5695 et 5696 pour le trafic sortant sur le réseau client afin d'accéder au serveur OKV.
  2. Assurez-vous que l'interface REST est activée à partir de l'interface utilisateur OKV.
  3. Créez un utilisateur "Administrateur REST OKV". Vous pouvez utiliser n'importe quel nom d'utilisateur qualifié de votre choix, par exemple "okv_rest_user". Pour Autonomous AI Database sur Cloud@Customer et Oracle Database Exadata Cloud at Customer, utilisez les mêmes utilisateurs REST ou des utilisateurs différents. Ces bases de données peuvent être gérées par clé dans des grappes OKV sur place identiques ou différentes. Oracle Database Exadata Cloud at Customer a besoin d'un utilisateur REST doté du privilège create endpoint. Autonomous AI Database sur Cloud@Customer a besoin d'un utilisateur REST doté des privilèges create endpoint et create endpoint group.
  4. Collectez les données d'identification et l'adresse IP de l'administrateur OKV, qui sont nécessaires pour se connecter à OKV et configurer le magasin de clés. Pour plus d'informations, voir Créer un magasin de clés.
  5. Ouvrez les ports 443, 5695 et 5696 pour le trafic sortant sur le réseau client afin d'accéder au serveur OKV.
  6. Dans les déploiements d'Oracle Public Cloud, assurez-vous qu'OKV dispose d'un accès réseau à la base de données d'intelligence artificielle autonome en définissant des routes de réseau appropriées avec RPV (Fast connect ou RPV-service) ou tout appairage de réseau VCN si l'hôte de calcul se trouve dans un autre VCN.

Créer une chambre forte dans le service de chambre forte OCI et ajouter une clé secrète à la chambre forte pour stocker le mot de passe de l'administrateur REST OKV

Votre déploiement d'infrastructure Exadata dédiée communique avec OKV sur REST chaque fois qu'une base de données Oracle Database est provisionnée pour enregistrer Oracle Database et demander un portefeuille sur OKV. Par conséquent, l'infrastructure Exadata doit avoir accès aux données d'identification de l'administrateur REST pour s'inscrire auprès du serveur OKV. Ces données d'identification sont stockées de manière sécurisée dans le service de chambre forte Oracle dans OCI en tant que clé secrète et accessibles par votre déploiement d'infrastructure Exadata dédiée uniquement si nécessaire. Si nécessaire, les données d'identification sont stockées dans un fichier de portefeuille protégé par mot de passe.

Mettre à jour le groupe de points d'extrémité OKV

Vous pouvez mettre à jour le groupe de points d'extrémité OKV à partir de la page Détails d'une base de données conteneur autonome.

Facultativement, vous pouvez également ajouter un nom de groupe de points d'extrémité OKV avec le magasin de clés OKV lors du provisionnement de la base de données conteneur autonome ou d'une version ultérieure.

Pour mettre à jour le groupe de points d'extrémité OKV sur une base de données conteneur autonome, vous devez vous assurer que :
  • Le groupe de points d'extrémité OKV a accès au portefeuille OKV correspondant.
  • Les points d'extrémité OKV correspondant à la base de données conteneur autonome font partie du groupe de points d'extrémité OKV.
  • Le groupe de points d'extrémité OKV dispose d'un accès en lecture aux portefeuilles par défaut des points d'extrémité.
Pour mettre à jour le nom du groupe de points d'extrémité OKV :
  • Allez à la page Détails de la base de données conteneur autonome. Pour obtenir des instructions, voir Voir les détails d'une base de données conteneur autonome.
  • Cliquez sur Modifier à côté du nom du groupe de points d'extrémité OKV sous Chiffrement.
  • Sélectionnez un magasin de clés dans la liste et entrez un nom pour le groupe de points d'extrémité OKV. Le nom du groupe de points d'extrémité doit être en majuscules et peut inclure des chiffres, des tirets (-) et des traits de soulignement (_) et commencer par une lettre majuscule.
  • Cliquez sur Enregistrer.

Gérer les points d'extrémité OKV

Supprimer les points d'extrémité Oracle Key Vault

Après avoir mis fin à une base de données conteneur autonome, vous devez supprimer d'OKV les points d'extrémité correspondant à la base de données conteneur autonome. Les points d'extrémité OKV sont créés au moment du provisionnement de la base de données conteneur autonome par base de données conteneur autonome et par noeud de grappe. La suppression des points d'extrémité correspondant à une base de données conteneur autonome arrêtée maintient l'OKV organisé et facilite la rotation du certificat de l'autorité de certification OKV.

La suppression d'un point d'extrémité le supprime définitivement d'Oracle Key Vault. Toutefois, les objets de sécurité précédemment créés ou chargés par ce point d'extrémité resteront dans Oracle Key Vault. De même, les objets de sécurité associés à ce point d'extrémité demeurent. Pour supprimer ou réaffecter définitivement ces objets de sécurité, vous devez être un utilisateur doté du rôle d'administrateur de clés ou autorisé à fusionner ces objets en gérant les privilèges de portefeuille. Le logiciel de point d'extrémité précédemment téléchargé au point d'extrémité reste également sur le point d'extrémité jusqu'à ce que l'administrateur du point d'extrémité le supprime.

Vous ne pouvez pas supprimer un point d'extrémité qui est à l'état PENDING sauf si vous êtes l'utilisateur qui l'a créé. Vous devez le supprimer sur le noeud sur lequel il a été créé. Pour plus de détails, voir Suppression d'un ou de plusieurs points d'extrémité.

Réinscription des points d'extrémité

Oracle Autonomous AI Database sur une infrastructure Exadata dédiée ne prend pas en charge la réinscription prête à l'emploi des points d'extrémité OKV. Pour réinscrire des points d'extrémité OKV, vous devez communiquer avec les équipes d'exploitation d'Autonomous AI Database.