Gérer les clés de chiffrement principales dans le service AWS Key Management

Autonomous AI Database prend en charge les clés TDE (Transparent Data Encryption) gérées par le client qui résident dans AWS Key Management Service (KMS).

Préalables à l'utilisation des clés de chiffrement gérées par le client dans AWS Key Management Service

Décrit les étapes préalables à l'utilisation des clés de chiffrement principales gérées par le client qui résident dans le service de gestion de clés (KMS) Amazon Web Services (AWS) sur la base de données autonome d'IA.

Limites :

• AWS KMS n'est pris en charge que dans les régions commerciales.

• AWS KMS n'est pas pris en charge dans les bases de secours Autonomous Data Guard inter-région.

Procédez de la façon suivante :

1. Créez une stratégie AWS qui accorde l'accès en lecture à AWS KMS.

   Pour plus d'informations, voir Création d'une politique IAM pour accéder à AWS KMS pour obtenir des instructions et Exécuter les préalables de gestion AWS pour utiliser les noms de ressource Amazon (ARN).

   Par exemple, la politique ADBS_AWS_Policy1 a été créée :

   

   Description de l'illustration sec_aws_policy.png

   La politique ADBS_AWS_Policy1 inclut l'autorisation d'accéder au service KMS.

   

   Description de l'illustration sec_aws_perm.png

2. Créez un rôle AWS et associez la stratégie à ce rôle.

   Pour obtenir des instructions, voir Création d'un rôle IAM pour accéder aux services AWS.

   Par exemple, un rôle ADBS_AWS_Role1 a été créé :

   

   Description de l'illustration sec_aws_role.png

   Dans cet exemple, la politique ADBS_AWS_Policy1 est associée au rôle ADBS_AWS_Role1 :

   

   Description de l'illustration sec_aws_att_policy.png

   Dans la page des détails de la politique, pour cet exemple, le rôle est répertorié sous Attaché en tant que politique d'autorisations :

   

   Description de l'illustration sec_aws_att_role.png

3. Spécifiez une relation de confiance pour le rôle.

   Modifiez la relation de confiance du rôle AWS pour inclure l'ARN de l'utilisateur Oracle et un ID externe (OCID de la location) pour une sécurité supplémentaire.

   1. Sur l'interrogation Autonomous AI Database CLOUD_INTEGRATIONS.

      Exemple :

      SELECT * FROM CLOUD.INTEGRATIONS;

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:...:user/oraclearn

      La vue CLOUD_INTEGRATIONS est disponible pour l'utilisateur ADMIN ou pour un utilisateur doté du rôle DWROLE.

   2. Copiez PARAM_VALUE pour aws_user_arn et enregistrez la valeur pour une étape suivante.

   3. Obtenez l'OCID de la location, nécessaire pour l'ID externe.

      Dans la console OCI, cliquez sur votre profil et sélectionnez Location pour accéder à la page des détails de la location. Copiez l'OCID de la location et enregistrez-le pour une étape suivante.

      Exemple :

      

      Description de l'illustration sec_aws_ocid.png

   4. Sur le portail AWS, naviguez jusqu'aux entités approuvées pour le rôle et faites défiler l'affichage jusqu'à l'énoncé "Principal".

   5. Pour "Principal", spécifiez "AWS" comme ARN de l'utilisateur Oracle enregistré et, pour "Condition", spécifiez "sts:ExternalId" comme OCID enregistré.

      Exemple :

      

      Description de l'illustration sec_aws_trustrel.png

Utiliser des clés de chiffrement gérées par le client sur une base de données IA autonome avec le service AWS Key Management

Affiche les étapes de chiffrement de votre base de données d'IA autonome à l'aide de clés de chiffrement principales gérées par le client qui résident dans AWS Key Management Service (KMS).

Procédez de la façon suivante :

1. Effectuez les étapes préalables requises pour la clé de chiffrement gérée par le client, si nécessaire. Pour plus de détails, voir Préalables à l'utilisation des clés de chiffrement gérées par le client dans AWS Key Management Service.

2. Créez une instance de base de données d'intelligence artificielle autonome qui utilise le paramètre de clé de chiffrement par défaut Chiffrer à l'aide d'une clé gérée par Oracle. Pour plus d'informations, voir Provisionner une instance Autonomous AI Database.

   Note
   
   Note : Les paramètres de clé de chiffrement pour les clés gérées par le client dans AWS Key Vault ne sont pas disponibles lors du processus de création d'instance de base de données d'IA autonome. Les options sont disponibles après le provisionnement, lors de la modification de l'instance.

3. Dans la page Détails de l'instance de base de données du service d'intelligence artificielle autonome, cliquez sur Actions supplémentaires et sélectionnez Gérer la clé de chiffrement.

   Note
   
   Note : Si vous utilisez déjà des clés gérées par le client dans AWS KMS et que vous souhaitez effectuer une rotation des clés TDE, suivez ces étapes et sélectionnez une autre clé (sélectionnez une clé différente de la clé de chiffrement principale actuellement sélectionnée).

4. Dans la page Gérer la clé de chiffrement, sélectionnez Chiffrer à l'aide d'une clé gérée par le client.

5. Dans la liste déroulante Type de clé, sélectionnez Amazon Web Services (AWS).

   

   Description de l'illustration sec_aws.png

6. Entrez l'URI du point d'extrémité du service.

   L'URI du point d'extrémité du service est la région AWS où se trouve le système de gestion des clés AWS.

   1. Accédez au portail AWS, accédez au KMS où se trouve votre clé.

   2. Recherchez le nom de région indiqué dans la barre supérieure du portail.

      Par exemple, ce service KMS se trouve dans la région nommée Ohio :

      

      Description de l'illustration sec_aws_region.png

   3. Recherchez le point d'extrémité correspondant à la région. Allez à Points d'extrémité et quotas du service de gestion des clés AWS et recherchez le point d'extrémité du nom de région AWS où se trouve votre système de gestion des clés AWS.

      Par exemple, si le nom de la région AWS est Ohio, le point d'extrémité est kms.us-east-2.amazonaws.com.

   4. Entrez le point d'extrémité de l'URI du point d'extrémité du service.

7. Entrez la clé ARN ou l'alias.

   1. Accédez à la page de détails clés du portail AWS. Copiez l'alias ou le numéro ARN de la clé.

      Par exemple, l'alias pour ADBS_TestAWSKMSKey est sélectionné :

      

      Description de l'illustration sec_aws_alias.png

   2. Entrez l'alias ou l'ARN de la clé dans le champ ARN ou alias de clé.

      Si vous entrez l'alias, ajoutez le préfixe alias/ à l'entrée. Par exemple, si l'alias est ADBS_TestAWSKMSKey, entrez :

      alias/ADBS_TestAWSKMSKey

      Si vous entrez le numéro ARN, aucun préfixe n'est nécessaire. Par exemple, si l'ARN est arn.aws.kms.us-east-2:37807956...bd154, entrez :

      arn.aws.kms.us-east-2:37807956...bd154

8. Entrez le rôle ARN (facultatif).

   1. Accédez à la page des détails du rôle sur le portail AWS.

   2. Copiez le numéro ARN du rôle.

      Par exemple, l'ARN pour ADBS_AWS_Role1 est copié :

      

      Description de l'illustration sec_aws_arn_role.png

   3. Entrez le numéro ARN copié dans le champ Rôle ARN.

9. Entrez un code externe (facultatif).

   Pour l'ID externe, entrez tenant_ocid.

10. Cliquez sur Enregistrer.

    Exemple :

    

    Description de l'illustration sec_aws_save.png

    L'état du cycle de vie passe à Mise à jour. Une fois la demande terminée, l'état du cycle de vie affiche Disponible.

Une fois la demande terminée, dans la console Oracle Cloud Infrastructure, les informations clés s'affichent dans la page des détails de l'instance de base de données du service d'intelligence artificielle autonome, sous l'en-tête Chiffrement.

Exemple :

Description de l'illustration sec_aws_done.png

Pour plus d'informations, voir Notes sur l'utilisation des clés gérées par le client avec une base de données autonome d'IA.