Documentation sur Oracle Cloud Infrastructure

Gérer les clés de chiffrement principales dans Azure Key Vault

Autonomous AI Database prend en charge les clés TDE (Transparent Data Encryption) gérées par le client qui résident dans Azure Key Vault.

Préalables à l'utilisation des clés de chiffrement gérées par le client dans Azure Key Vault

Décrit les étapes préalables à l'utilisation des clés de chiffrement principales gérées par le client dans une base de données d'IA autonome qui réside dans Azure Key Vault.

Limites :

  • Azure Key Vault n'est pris en charge que dans les régions commerciales.

  • Le service de chambre forte de clés Azure n'est pas pris en charge dans les bases de secours Autonomous Data Guard inter-région.

  • Les formes et tailles de clé prises en charge sont les suivantes :

    • RSA 2048, 3072 et 4096

    • EC-P256, EC-P256K, EC-P384, EC-P521

Procédez de la façon suivante :

  1. Créez une instance de base de données d'intelligence artificielle autonome qui utilise le paramètre de clé de chiffrement par défaut Chiffrer à l'aide d'une clé gérée par Oracle. Pour plus d'informations, voir Provisionner une instance Autonomous AI Database.

    Note

    Note : Les paramètres de clé de chiffrement pour les clés gérées par le client dans le service de chambre forte de clés Azure ne sont pas disponibles lors du processus de création. Les options sont disponibles après le provisionnement, lors de la modification de l'instance.

  2. Créez une chambre forte de clés Azure avec une clé principale TDE (Transparent Data Encryption).

    Pour plus d'informations, voir À propos d'Azure Key Vault.

  3. Activez l'authentification du principal de service Azure avec le répertoire Azure tenant_id pour permettre à votre instance de base de données d'intelligence artificielle autonome d'accéder à la chambre forte de clés Azure.

    1. Obtenez votre ID client Microsoft Azure Active Directory.

      Une description de sec_az_tenant_id.png suit

      Description de l'illustration sec_az_tenant_id.png

      Pour plus d'informations, voir Comment trouver votre ID locataire Azure Active Directory.

    2. Vous connecter à votre instance en tant qu'administrateur.

    3. Activez un principal de service Azure avec DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. La valeur de azure_tenantid est l'ID répertoire Azure que vous avez obtenu à l'étape précédente.

      Exemple :

      BEGIN
 DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
         provider => 'AZURE',
         params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
 END;
 /

      Cela permet l'authentification du principal de service Azure et crée une application Azure pour Autonomous AI Database sur le portail Azure. Pour plus d'informations, voir Activer le principal de service Azure.

  4. Fournir le consentement de l'application Azure pour accéder aux ressources Azure à partir de la base de données Autonomous AI Database.

    1. Sur l'interrogation Autonomous AI Database CLOUD_INTEGRATIONS.

      Exemple :

      SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE

--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vue CLOUD_INTEGRATIONS est disponible pour l'utilisateur ADMIN ou pour un utilisateur doté du rôle DWROLE.

    2. Dans un navigateur, ouvrez l'URL de consentement Azure spécifiée par le paramètre azure_consent_url.

      Par exemple, copiez azure_consent_url à partir des résultats de l'interrogation et entrez l'URL dans votre navigateur :

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      La page Autorisations demandées s'ouvre et affiche une demande de consentement, similaire à ce qui suit :

      Une description de azure_consent.png suit

      Description de l'illustration azure_consent.png

  5. Obtenez le nom de l'application Azure.

    1. Sur l'interrogation Autonomous AI Database CLOUD_INTEGRATIONS.

      Exemple :

      SELECT * FROM CLOUD_INTEGRATIONS;

    2. Copiez la valeur client_id incluse dans consent_url.

      PARAM_NAME        PARAM_VALUE

--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=**d4f5...d5**&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

    3. Recherchez client_id dans le portail Azure. L'ID application s'affiche sous Microsoft Entra ID.

      Une description de sec_az_app_name.png suit

      Description de l'illustration sec_az_app_name.png

    4. Copiez l'ID application. Cette valeur est utilisée dans les étapes suivantes pour permettre à cette application d'accéder aux clés dans la chambre forte de clés Azure.

  6. Affectez les rôles nécessaires à l'application Azure pour accéder à Azure Key Vault.

    1. Dans le portail Azure, naviguez jusqu'aux stratégies Access pour Azure Key Vault.

      La liste des applications ayant accès à cette chambre forte s'affiche.

    2. Dans la page Politiques d'accès, cliquez sur + Créer pour créer une politique d'accès permettant à l'application d'accéder à cette chambre forte de clés.

      Une description de sec_az_acc_pol.png suit

      Description de l'illustration sec_az_acc_pol.png

    3. Pour Autorisations dans la page Créer une politique d'accès, sélectionnez toutes les autorisations de clé, notamment : Opérations de gestion des clés, Opérations cryptographiques, Opérations de clé privilégiée et Opérations de politique de rotation, puis cliquez sur Suivant.

    4. Pour Principal, recherchez le nom de l'application.

    5. Sélectionnez le nom de l'application affichée et cliquez sur Suivant.

    6. Pour Application (facultatif), sélectionnez Suivant.

    7. Pour Vérifier + créer, vérifiez les détails de la politique et cliquez sur Créer.

      Une description de sec_az_create_pol.png suit

      Description de l'illustration sec_az_create_pol.png

    8. Dans la page des détails du service de chambre forte de clés Azure, cliquez sur Actualiser et recherchez le nom de l'application. Il est inclus dans la liste affichée des applications autorisées à accéder aux clés dans cette chambre forte de clés Azure.

    Pour plus d'informations, voir Affecter une politique d'accès au service de chambre forte de clés.

Utiliser des clés de chiffrement gérées par le client dans une base de données d'IA autonome avec Azure Key Vault

Affiche les étapes de chiffrement de votre base de données d'IA autonome à l'aide de clés de chiffrement principales gérées par le client qui résident dans Azure Key Vault.

Procédez de la façon suivante :

  1. Effectuez les étapes préalables requises pour la clé principale gérée par le client. Voir Préalables à l'utilisation des clés de chiffrement gérées par le client dans le service de chambre forte de clés Azure.

  2. Dans la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Gérer la clé de chiffrement.

    Note

    Note : Si vous utilisez déjà des clés TDE (Transparent Data Encryption) gérées par le client stockées dans Azure Key Vault et que vous souhaitez effectuer une rotation des clés, suivez ces étapes et sélectionnez une autre clé (sélectionnez une clé différente de la clé TDE principale actuellement sélectionnée).

  3. Dans la page Gérer la clé de chiffrement, sélectionnez Chiffrer à l'aide d'une clé gérée par le client.

  4. Dans la liste déroulante Type de clé, sélectionnez Microsoft Azure.

    Une description de sec_azure.png suit

    Description de l'illustration sec_azure.png

  5. Dans le champ URI du service de chambre forte, entrez l'URI du service de chambre forte Azure.

    1. Dans le portail Azure, naviguez jusqu'à Azure Key Vault.

    2. Sélectionnez la page Aperçu du service de chambre forte de clés Azure et copiez l'URI du service de chambre forte affiché.

      Une description de sec_az_vault_uri.png suit

      Description de l'illustration sec_az_vault_uri.png

    3. Entrez l'URI du service de chambre forte Azure copié dans le champ URI du service de chambre forte de la page Gérer la clé de chiffrement de la base de données d'intelligence artificielle autonome.

  6. Dans le champ Nom de la clé, entrez le nom de la clé Azure.

    1. Dans le portail Azure, naviguez jusqu'à la chambre forte de clés Azure et sélectionnez Clés. Une liste des clés pour cette chambre forte s'affiche.

    2. Dans la liste des clés affichées, copiez le nom de la clé à utiliser.

      Une description de sec_az_key_name.png suit

      Description de l'illustration sec_az_key_name.png

    3. Entrez le nom de la clé Azure copiée dans le champ Nom de la clé de la page Gérer la clé de chiffrement de la base de données d'intelligence artificielle autonome.

  7. Cliquez sur Enregistrer.

L'état du cycle de vie passe à Mise à jour. Une fois la demande terminée, l'état du cycle de vie affiche Disponible.

Une fois la demande terminée, dans la console Oracle Cloud Infrastructure, les informations clés s'affichent dans la page Informations sur la base de données du service d'intelligence artificielle autonome, sous l'en-tête Chiffrement. Cette zone affiche la clé de chiffrement est Clé gérée par le client (Microsoft Azure) et affiche l'URI de la chambre forte et le nom de la clé.

Par exemple :

Une description de sec_az_results.png suit

Description de l'illustration sec_az_results.png

Pour plus d'informations, voir Notes sur l'utilisation des clés gérées par le client avec une base de données autonome d'IA.