Gérer les clés de chiffrement principales dans Azure Key Vault

Décrit les étapes préalables à l'utilisation des clés de chiffrement principales gérées par le client dans une base de données d'IA autonome qui réside dans Azure Key Vault.

1. Créez une instance de base de données d'intelligence artificielle autonome qui utilise le paramètre de clé de chiffrement par défaut Chiffrer à l'aide d'une clé gérée par Oracle. Pour plus d'informations, voir Provisionner une instance Autonomous AI Database.
   Note
   
   Les paramètres de clé de chiffrement pour les clés gérées par le client dans le service de chambre forte de clés Azure ne sont pas disponibles lors du processus de création. Les options sont disponibles après le provisionnement, lors de la modification de l'instance.
2. Créez une chambre forte de clés Azure avec une clé principale TDE (Transparent Data Encryption).

   Pour plus d'informations, voir À propos d'Azure Key Vault.

3. Activez l'authentification du principal de service Azure avec le répertoire Azure tenant_id pour permettre à votre instance de base de données d'intelligence artificielle autonome d'accéder à la chambre forte de clés Azure.
   1. Obtenez votre ID client Microsoft Azure Active Directory.

      
      
      Description de l'illustration sec_az_tenant_id.png
      

      Pour plus d'informations, voir Comment trouver votre ID locataire Azure Active Directory.

   2. Vous connecter à votre instance en tant qu'administrateur.
   3. Activez un principal de service Azure avec DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. La valeur de azure_tenantid est l'ID répertoire Azure que vous avez obtenu à l'étape précédente.
      Exemple :

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Cela permet l'authentification du principal de service Azure et crée une application Azure pour Autonomous AI Database sur le portail Azure. Pour plus d'informations, voir Activer le principal de service Azure.

4. Fournir le consentement de l'application Azure pour accéder aux ressources Azure à partir de la base de données Autonomous AI Database.
   1. Sur l'interrogation Autonomous AI Database CLOUD_INTEGRATIONS.

      Exemple :

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vue CLOUD_INTEGRATIONS est disponible pour l'utilisateur ADMIN ou pour un utilisateur doté du rôle DWROLE.

   2. Dans un navigateur, ouvrez l'URL de consentement Azure spécifiée par le paramètre azure_consent_url.

      Par exemple, copiez azure_consent_url à partir des résultats de l'interrogation et entrez l'URL dans votre navigateur :

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      La page Autorisations demandées s'ouvre et affiche une demande de consentement, similaire à ce qui suit :

      
      Description de l'illustration azure_consent.png
5. Obtenez le nom de l'application Azure.
   1. Sur l'interrogation Autonomous AI Database CLOUD_INTEGRATIONS.

      Exemple :

      SELECT * FROM CLOUD_INTEGRATIONS;

   2. Copiez la valeur client_id incluse dans consent_url.

      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

   3. Recherchez client_id dans le portail Azure. L'ID application s'affiche sous Microsoft Entra ID.

      
      
      Description de l'illustration sec_az_app_name.png
      

   4. Copiez l'ID application. Cette valeur est utilisée dans les étapes suivantes pour permettre à cette application d'accéder aux clés dans la chambre forte de clés Azure.
6. Affectez les rôles nécessaires à l'application Azure pour accéder à Azure Key Vault.
   1. Dans le portail Azure, naviguez jusqu'aux stratégies Access pour Azure Key Vault.

      La liste des applications ayant accès à cette chambre forte s'affiche.

   2. Dans la page Politiques d'accès, cliquez sur + Créer pour créer une politique d'accès permettant à l'application d'accéder à cette chambre forte de clés.

      
      
      Description de l'illustration sec_az_acc_pol.png
      

   3. Pour les autorisations de la page Créer une politique d'accès, sélectionnez toutes les autorisations de clé, notamment les opérations de gestion des clés, les opérations cryptographiques, les opérations de clé privilégiée et les opérations de politique de rotation, puis cliquez sur Suivant.
   4. Pour Principal, recherchez le nom de l'application.
   5. Sélectionnez le nom d'application affiché et cliquez sur Suivant.
   6. Pour Application (facultatif), sélectionnez Suivant.
   7. Pour Réviser + créer, vérifiez les détails de la politique et cliquez sur Créer.

      
      
      Description de l'illustration sec_az_create_pol.png
      

   8. Dans la page des détails du service de chambre forte de clés Azure, cliquez sur Actualiser et recherchez le nom de l'application. Il est inclus dans la liste affichée des applications autorisées à accéder aux clés dans cette chambre forte de clés Azure.

   Pour plus d'informations, voir Affecter une politique d'accès au service de chambre forte de clés.

Affiche les étapes de chiffrement de votre base de données d'IA autonome à l'aide de clés de chiffrement principales gérées par le client qui résident dans Azure Key Vault.

1. Effectuez les étapes préalables requises pour la clé principale gérée par le client. Voir Préalables à l'utilisation des clés de chiffrement gérées par le client dans le service de chambre forte de clés Azure.
2. Dans la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Gérer la clé de chiffrement.
   Note
   
   

   Si vous utilisez déjà des clés TDE (Transparent Data Encryption) gérées par le client stockées dans Azure Key Vault et que vous souhaitez effectuer une rotation des clés, suivez ces étapes et sélectionnez une autre clé (sélectionnez une clé différente de la clé TDE principale actuellement sélectionnée).

3. Dans la page Gérer la clé de chiffrement, sélectionnez Chiffrer à l'aide d'une clé gérée par le client.
4. Dans la liste déroulante Type de clé, sélectionnez Microsoft Azure.

   
   
   Description de l'illustration sec_azure.png
   

5. Dans le champ URI de la chambre forte, entrez l'URI de la chambre forte Azure.
   1. Dans le portail Azure, naviguez jusqu'à Azure Key Vault.
   2. Sélectionnez la page Aperçu du service de chambre forte de clés Azure et copiez l'URI du service de chambre forte affiché.

      
      
      Description de l'illustration sec_az_vault_uri.png
      

   3. Entrez l'URI du service de chambre forte Azure copié dans le champ URI du service de chambre forte de la page Gérer la clé de chiffrement de la base de données d'intelligence artificielle autonome.
6. Dans le champ Nom de la clé, entrez le nom de la clé Azure.
   1. Dans le portail Azure, naviguez jusqu'à la chambre forte de clés Azure et sélectionnez Clés. Une liste des clés pour cette chambre forte s'affiche.
   2. Dans la liste des clés affichées, copiez le nom de la clé à utiliser.

      
      
      Description de l'illustration sec_az_key_name.png
      

   3. Entrez le nom de la clé Azure copiée dans le champ Nom de la clé de la page Gérer la clé de chiffrement de la base de données d'intelligence artificielle autonome.
7. Cliquez sur Enregistrer.