Gérer les clés de chiffrement principales dans Oracle Key Vault

Autonomous AI Database prend en charge les clés TDE (Transparent Data Encryption) gérées par le client qui résident dans Oracle Key Vault (OKV).

Préalables à l'utilisation des clés de chiffrement gérées par le client dans Oracle Key Vault

Décrit les étapes préalables à l'utilisation des clés de chiffrement principales gérées par le client qui résident dans Oracle Key Vault (OKV) sur la base de données IA autonome.

Conditions :

• L'instance de base de données d'IA autonome doit utiliser des points d'extrémité privés.

• Autonomous AI Database prend en charge les instances OKV qui se trouvent dans des réseaux privés et qui sont accessibles à partir du même réseau que celui où réside la base de données Autonomous AI Database.

  Pour plus d'informations, voir Gestion des réseaux VCN et des sous-réseaux et Déploiement d'Oracle Key Vault sur une instance de calcul de machine virtuelle Oracle Cloud Infrastructure.

Limitation :

• OKV n'est pas pris en charge dans les bases de secours Autonomous Data Guard inter-région.

Procédez de la façon suivante :

1. Créez un point d'extrémité OKV, un portefeuille et une clé principale TDE.

   1. Connectez-vous à l'instance OKV.

      • Copiez l'adresse IP publique ou l'adresse IP privée dans la page des détails de l'instance OKV et collez-la dans un navigateur.

      • Dans la page de connexion à l'instance OKV, entrez le nom utilisateur et le mot de passe.

   2. Créez et enregistrez un point d'extrémité OKV.

      • Cliquez sur Points d'extrémité dans la page d'accueil OKV.

      • Cliquez sur Ajouter dans la page Détails des points d'extrémité et entrez un nom pour le point d'extrémité.

      • Autorisez tous les autres paramètres par défaut et cliquez sur Enregistrer.

        Exemple :

        

        Description de l'illustration sec_okv_epregister.png

        Pour plus d'informations, voir Ajout, suppression ou reconfiguration de points d'extrémité.

   3. Créer un portefeuille

      Le portefeuille OKV contient la clé de chiffrement principale TDE.

      • À partir de la page d'accueil OKV, naviguez jusqu'à la page Clés et portefeuilles.

      • Pour Portefeuilles dans la page Clés et portefeuilles, cliquez sur Créer.

      • Entrez le nom du portefeuille dans le champ Nom et cliquez sur Enregistrer.

        Exemple :

        

        Description de l'illustration sec_okv_wallet.png

        Pour plus d'informations, voir Création d'un portefeuille virtuel.

   4. Créez une clé de chiffrement principale TDE dans le portefeuille.

      • Sélectionnez Clés et clés secrètes, puis cliquez sur Créer.

      • Pour Clés d'application, sélectionnez Clé de chiffrement principale TDE.

      • Pour Extractable (Extractable), sélectionnez True (Vrai).

      • Assurez-vous que le champ Date de désactivation est vide.

        Exemple :

        

        Description de l'illustration sec_okv_key.png

        • Pour Appartenance à un portefeuille, cliquez sur Sélectionner un portefeuille.

      • Dans la liste affichée des portefeuilles, sélectionnez le portefeuille créé à l'étape précédente et cliquez sur Fermer.

      • Cliquez sur Créer. La clé de chiffrement principale TDE est créée et affichée sous Contenu du portefeuille.

   5. Modifiez le point d'extrémité pour que le portefeuille créé précédemment devienne le portefeuille par défaut.

      • Naviguez jusqu'à la page des détails du point d'extrémité.

      • Dans le volet Portefeuille par défaut, sélectionnez Sélectionner un portefeuille.

      • Dans la page Sélectionner un portefeuille, sélectionnez le portefeuille créé précédemment et cliquez sur Sélectionner.

      • Cliquez sur Enregistrer.

   6. Activer les services Restful.

      Note
      
      Note : Les services restful doivent être activés sur l'instance OKV pour exécuter avec succès la commande curl, dans une étape suivante, afin de télécharger le portefeuille.

      • Dans la page d'accueil OKV, sélectionnez l'onglet Système.

      • Dans le volet de navigation de gauche, cliquez sur Paramètres.

      • Sous Configuration du système, sélectionnez Services restaurés.

      • Cliquez sur Tout, puis sur Enregistrer.

2. Provisionnez une instance de base de données autonome avec les paramètres requis suivants :

   1. Pour Sélectionner l'accès au réseau, sélectionnez Accès au point d'extrémité privé uniquement.

   2. Pour Réseau en nuage virtuel, sélectionnez le VCN où cette instance de base de données est exécutée.

   3. Pour Sous-réseau, sélectionnez le sous-réseau privé dans lequel cette instance de base de données est exécutée.

   4. Pour Groupes de sécurité de réseau, sélectionnez le groupe de sécurité.

   5. Pour les paramètres de clé de chiffrement, réglez par défaut à Chiffrement à l'aide d'une clé gérée par Oracle. Ces paramètres sont modifiés en clés gérées par le client dans OKV, une fois ces étapes préalables terminées. Les clés gérées par le client sont désactivées lors du provisionnement de l'instance. Pour plus de détails, voir Utiliser les clés de chiffrement gérées par le client sur une base de données autonome avec Oracle Key Vault.

3. Connectez-vous à l'instance Autonomous AI Database et créez un répertoire pour le portefeuille OKV.

   1. Connectez-vous à l'instance de base de données autonome avec intelligence artificielle de point d'extrémité privé en tant qu'utilisateur ADMIN.

      Par exemple, connectez-vous à l'instance de base de données OKVDEMO1 :

       <pre class="copy"><code>SQL&gt; connect ADMIN/*&lt;password&gt;*@OKVDEMO1_low</code></pre>
      

   2. Créez un objet de répertoire dans l'instance Autonomous AI Database.

      Exemple :

       <pre class="copy"><code>SQL&gt; create directory okv_dir as &#39;okvdir&#39;;</code></pre>
      

   3. Vérifiez que le répertoire a été créé.

      Par exemple, les énoncés suivants créent l'objet de répertoire OKV_DIR et les résultats de l'énoncé affichent le nom du répertoire (OKV_DIR) et le chemin du répertoire (/u03/dbfs/<path data>/data/okvdir).

       <pre class="copy"><code>SQL&gt; connect ADMIN/&lt;*admin password*&gt;#@OKVDEMO1_low Connected SQL&gt; SQL&gt; create directory okv_dir as &#39;okvdir&#39;; Directory created. SQL&gt; select * from dba_directories where directory_name = &#39;OKV_DIR&#39;; OWNER --------------------------------------------------------------------- DIRECTORY_NAME --------------------------------------------------------------------- DIRECTORY_PATH --------------------------------------------------------------------- ORIGIN_CON_ID ------------- SYS OKV_DIR /u03/dbfs/&lt;*path data*&gt;/data/okvdir SQL&gt;</code></pre>
      

4. Téléchargez le portefeuille de point d'extrémité dans l'objet de répertoire créé dans l'instance de base de données du service d'intelligence artificielle autonome. Ce portefeuille n'est pas le portefeuille TDE virtuel dans OKV qui contient la clé de chiffrement principale TDE. Ce portefeuille contient les certificats nécessaires pour établir une connexion mTLS 1.2 entre OKV et Autonomous AI Database.

   1. Téléchargez le portefeuille pour le point d'extrémité à partir de l'instance OKV.

      Exécutez la commande suivante à partir d'une instance de calcul qui se trouve sur le même réseau qu'OKV :

       <pre class="copy"><code>curl -k -X POST  --location https**:**//*OKV server*:5695/okv/cloud/utility/endpoint/download/sso  --data &quot;token=*Enrollment Token*&quot;  --output cwallet.sso</code></pre>
      

      Où :

      • OKV server est le nom de domaine complet interne (FQDN) ou l'adresse IP privée. Si vous utilisez une machine virtuelle OCI pour héberger OKV, cette valeur peut être obtenue à partir de la page des détails de l'instance OKV OCI dans l'onglet Réseau sous Carte VNIC principale.

      • Enrollment Token est le jeton d'inscription pour le point d'extrémité trouvé dans la page Points d'extrémité.

      Exemple :

       <pre class="copy"><code>$ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso                          --data &quot;token=H5r8NzqxopYOgkZC&quot;                          --output cwallet.sso % Total    % Received % Xferd Average Speed   Time    Time    Time  Current      Dload  Upload  Total   Spent    Left  Speed 100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172  ls -altr ./cwallet.sso  -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso</code></pre>
      

      Une fois le portefeuille téléchargé, le point d'extrémité de l'instance OKV passe de REGISTERED à ENROLLED.

   2. Charger le portefeuille dans le stockage d'objets.

      Chargez le fichier de portefeuille depuis votre machine locale vers votre seau de stockage d'objets à l'aide du chargement d'objet. Pour plus d'informations, voir Chargement d'un objet dans un seau.

   3. Dans le stockage d'objets, générez une URL de demande préauthentifiée pour le fichier de portefeuille chargé. Pour plus d'informations, voir Création d'une demande préauthentifiée dans le stockage d'objets.

   4. À partir de la machine virtuelle, connectez-vous à l'instance de base de données en tant qu'utilisateur ADMIN.

   5. Dans l'instance de base de données, exécutez la procédure DBMS_CLOUD.GET_OBJECT pour télécharger le portefeuille du stockage d'objets vers le répertoire du portefeuille de l'instance de base de données.

      Exemple :

       <pre class="copy"><code>BEGIN DBMS_CLOUD.GET_OBJECT(     object_uri =&gt; &#39;*&lt;PAR URL&gt;*&#39;,     directory_name =&gt; &#39;*&lt;wallet_dir&gt;*&#39;); END; /</code></pre>
      

      • Où :

        • object_uri est l'URL de demande préauthentifiée générée pour le fichier de portefeuille dans le stockage d'objets.

        • directory_name est le nom du répertoire de portefeuille créé dans l'instance de base de données.

        Pour plus d'informations, voir Procédure et fonction GET_OBJECT.

   6. Supprimez le portefeuille du stockage d'objets.

5. Copiez la valeur Identificateur unique dans la colonne Détails du contenu du portefeuille.

   1. Extraire le nom distinctif du certificat.

      Exécutez la commande suivante pour extraire le nom distinctif du certificat :

       <pre class="copy"><code>$ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed &#39;s|subject=||&#39;</code></pre>
      
       Output
      
       <pre class="copy"><code>CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us</code></pre>
      

      Ici, CN est le certificat DN.

      Vous pouvez également extraire les détails du nom distinctif de certificat à partir de la console OKV.

      • Connectez-vous à l'instance OKV et cliquez sur l'onglet Système.

      • Dans le volet de navigation de gauche, cliquez sur Paramètres sous Système.

      • Sous Certificats, cliquez sur Certificats de service.

      • Dans la section Certificat de l'autorité de certification courant, localisez Nom commun (nom distinctif du certificat) et utilisez cette valeur comme nom distinctif du certificat au lieu d'exécuter la commande openssl ci-dessus.

Utiliser des clés de chiffrement gérées par le client pour une base de données d'IA autonome avec Oracle Key Vault

La figure présente les étapes pour chiffrer votre base de données de l'IA autonome à l'aide des clés de chiffrement principales gérées par le client qui résident dans Oracle Key Vault (OKV).

Procédez de la façon suivante :

1. Effectuez les étapes préalables requises pour la clé de chiffrement gérée par le client, si nécessaire. Pour plus de détails, voir Préalables à l'utilisation des clés de chiffrement gérées par le client dans Oracle Key Vault.

2. Dans la page Détails de l'instance de base de données du service d'intelligence artificielle autonome, cliquez sur Actions supplémentaires et sélectionnez Gérer la clé de chiffrement.

   

   Description de l'illustration sec_okv_manage.png

   Note
   
   Note : Si vous utilisez déjà des clés gérées par le client dans OKV et que vous souhaitez effectuer une rotation des clés TDE, suivez ces étapes et sélectionnez une autre clé (sélectionnez une clé différente de la clé de chiffrement principale actuellement sélectionnée). Toutefois, vous ne pouvez pas utiliser une clé OKV qui a été utilisée précédemment sur la même instance de base de données d'IA autonome.

3. Dans la page Gérer la clé de chiffrement, sélectionnez Chiffrer à l'aide d'une clé gérée par le client.

4. Dans la liste déroulante Type de clé, sélectionnez Oracle Key Vault (OKV).

   La boîte de dialogue Gérer la clé de chiffrement affiche les options Oracle Key Vault (OKV).

   

   Description de l'illustration sec_okv.png

5. Entrez les informations suivantes :

   • UUID OKV : Entrez l'identificateur unique de la clé principale TDE pour la clé située dans l'instance OKV.

     Pour trouver cette valeur :

     1. Connectez-vous à l'instance OKV et sélectionnez Keys & Wallets (Clés et portefeuilles).

     2. Cliquez sur le nom du portefeuille par défaut pour le point d'extrémité de la base de données d'intelligence artificielle autonome.

     3. Faites défiler jusqu'à Contenu du portefeuille et copiez l'identificateur unique dans la colonne Détails.

        Exemple :

           <pre class="copy"><code>BC63511B-4B4A-411C-A71C-4AA90005F632 OKV Server URI: ok Certificate DN:</code></pre>
        
           Click the endpoint name, then click the green **Download (PEM format)**; this downloads the "CA.pem" to your computer.
        
           Extract the certificate DN with a command such as:
        
           <pre class="copy"><code>$ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed &#39;s|subject=||&#39;</code></pre>
        

        Par exemple :

           <pre class="copy"><code>CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us</code></pre>
        

     4. Cliquez sur le nom du portefeuille par défaut de votre point d'extrémité de base de données autonome avec intelligence artificielle.

     5. Faites défiler l'affichage jusqu'à Accès au contenu du portefeuille et copiez l'identificateur unique.

        

        Description de l'illustration sec_okv_uuid.png

     6. Collez l'identificateur unique dans le champ UUID OKV.

     • URI du serveur OKV - Entrez le nom de domaine interne entièrement qualifié ou l'adresse IP privée trouvée dans la page des détails de l'instance OKV.

     Par exemple, si vous utilisez une machine virtuelle OCI pour héberger OKV, cette valeur se trouve dans la page des détails de l'instance OKV, sous Carte VNIC principale :

     

     Description de l'illustration sec_okv_fqdn.png

     • Nom distinctif de certificat - Entrez le nom distinctif (DN) de votre certificat.

     • ID certificat (Facultatif) - Entrez votre ID certificat ou laissez le champ vide.

       Note
       
       Note : Ce champ est facultatif si vous utilisez OKV versions 21.9 et supérieures. Si vous utilisez des versions OKV inférieures à 21.9, l'ID certificat est requis.

     • Nom du répertoire - Entrez le nom du répertoire dans lequel le portefeuille est enregistré dans l'instance de base de données du service d'intelligence artificielle autonome.

6. Cliquez sur Enregistrer.

   Lorsque l'enregistrement est terminé, les paramètres de chiffrement de l'instance de base de données autonome avec intelligence artificielle sont mis à jour pour afficher la clé gérée par le client (Oracle Key Vault (OKV) et l'état de la demande de travail est Réussite.

   

   Description de l'illustration sec_okv_done.png

Pour plus d'informations, voir Notes sur l'utilisation des clés gérées par le client avec une base de données autonome d'IA.