Préparer l'utilisation d'Oracle Key Vault avec Autonomous Database sur une infrastructure Exadata dédiée

Oracle Key Vault est un boîtier applicatif de pile complète à la sécurité renforcée, conçu pour centraliser la gestion des clés et des objets de sécurité au sein de l'entreprise. Oracle Key Vault est un système provisionné et géré par le client et ne fait pas partie des services gérés Oracle Cloud Infrastructure. Vous pouvez intégrer Oracle Key Vault (OKV) sur place aux services en nuage de base de données gérés par le client pour sécuriser vos données essentielles sur place.

Rubriques connexes

Conditions requises

  1. Assurez-vous que OKV est configuré et que le réseau est accessible à partir du réseau client Oracle Public Cloud. Ouvrez les ports 443, 5695 et 5696 pour le trafic sortant sur le réseau client afin d'accéder au serveur OKV.
  2. Assurez-vous que l'interface REST est activée à partir de l'interface utilisateur OKV.
  3. Créez un utilisateur "Administrateur REST OKV". Vous pouvez utiliser n'importe quel nom d'utilisateur qualifié de votre choix, par exemple "okv_rest_user". Pour Autonomous Database sur Cloud@Customer et Oracle Database Exadata Cloud at Customer, utilisez les mêmes utilisateurs REST ou des utilisateurs différents. Ces bases de données peuvent être gérées par clé dans les mêmes grappes OKV sur place ou dans des grappes différentes. Oracle Database Exadata Cloud at Customer a besoin d'un utilisateur REST doté du privilège create endpoint. Autonomous Database sur Cloud@Customer nécessite un utilisateur REST doté des privilèges create endpoint et create endpoint group.
  4. Collectez les données d'identification et l'adresse IP de l'administrateur OKV, qui sont nécessaires pour se connecter à OKV et configurer le magasin de clés. Pour plus d'informations, voir Créer un magasin de clés.
  5. Ouvrez les ports 443, 5695 et 5696 pour le trafic sortant sur le réseau client afin d'accéder au serveur OKV.
  6. Dans les déploiements Oracle Public Cloud, assurez-vous que OKV dispose d'un accès réseau à Autonomous Database en définissant des routes de réseau appropriées avec un RPV (connexion rapide ou RPV-service) ou tout appairage de VCN si l'hôte de calcul se trouve dans un autre VCN.

Créer une chambre forte dans le service de chambre forte OCI et ajouter une clé secrète à la chambre forte pour stocker le mot de passe de l'administrateur REST OKV

Votre déploiement d'infrastructure Exadata dédiée communique avec OKV sur REST chaque fois qu'une base de données Oracle Database est provisionnée pour enregistrer Oracle Database et demander un portefeuille sur OKV. Par conséquent, l'infrastructure Exadata doit avoir accès aux données d'identification de l'administrateur REST pour s'inscrire auprès du serveur OKV. Ces données d'identification sont stockées de manière sécurisée dans le service de chambre forte Oracle dans OCI en tant que clé secrète et accessibles par votre déploiement d'infrastructure Exadata dédiée uniquement si nécessaire. Si nécessaire, les données d'identification sont stockées dans un fichier de portefeuille protégé par mot de passe.

Créer un groupe dynamique et un énoncé de politique pour le magasin de clés pour accéder à une clé secrète dans le chambre forte OCI

Pour accorder à vos ressources de magasin de clés l'autorisation d'accéder à la clé secrète dans une chambre forte OCI, vous créez un groupe dynamique GIA qui identifie ces ressources, puis vous créez une politique GIA qui permet à ce groupe dynamique d'accéder à la clé secrète que vous avez créée dans les chambres fortes et clés secrètes OCI.

Lors de la définition du groupe dynamique, vous identifiez vos ressources de magasin de clés en spécifiant l'OCID du compartiment contenant votre magasin de clés.

  • Copiez l'OCID du compartiment contenant votre ressource de magasin de clés. Vous pouvez trouver cet OCID dans la page Détails du compartiment.
  • Créez un groupe dynamique en suivant les instructions dans Gestion des groupes dynamiques dans la documentation sur Oracle Cloud Infrastructure. Lorsque vous suivez ces instructions, entrez une règle de correspondance dans ce format :
    ALL {resource.compartment.id ='<compartment-ocid>'}

    <compartment-ocid> est l'OCID du compartiment contenant votre ressource de magasin de clés.

Après avoir créé le groupe dynamique, accédez à (ou créez) une politique GIA dans un compartiment de la hiérarchie de compartiments supérieur à celui qui contient vos chambres fortes et clés secrètes OCI. Puis, ajoutez un énoncé de politique dans le format suivant :

allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

<dynamic-group> est le nom du groupe dynamique que vous avez créé et <vaults-and-secrets-compartment> est le nom du compartiment dans lequel vous avez créé vos chambres fortes et clés secrètes.

Créer un énoncé de politique pour que le service de base de données utilise la clé secrète du service de chambre forte OCI

Pour accorder au service Autonomous Database l'autorisation d'utiliser la clé secrète dans la chambre forte OCI pour se connecter à l'interface REST OKV, naviguez jusqu'à (ou créez) une politique IAM dans un compartiment situé plus haut dans votre hiérarchie de compartiments que le compartiment contenant vos chambres fortes et clés secrètes OCI. Puis, ajoutez un énoncé de politique dans le format suivant : 

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

<vaults-and-secrets-compartment> est le nom du compartiment dans lequel vous avez créé vos chambres fortes et clés secrètes OCI.

Une fois la chambre forte OCI configurée et la configuration IAM en place, vous êtes maintenant prêt à déployer votre 'magasin de clés' Oracle Key Vault dans OCI et à l'associer à votre grappe de machines virtuelles Exadata dédiée.