Gérer les clés de chiffrement principales dans Oracle Key Vault

Décrit les étapes préalables à l'utilisation des clés de chiffrement principales gérées par le client qui résident dans Oracle Key Vault (OKV) sur la base de données IA autonome.

1. Créez un point d'extrémité OKV, un portefeuille et une clé principale TDE.
   1. Connectez-vous à l'instance OKV.

      • Copiez l'adresse IP publique ou l'adresse IP privée dans la page des détails de l'instance OKV et collez-la dans un navigateur.

      • Dans la page de connexion à l'instance OKV, entrez le nom utilisateur et le mot de passe.

   2. Créez et enregistrez un point d'extrémité OKV.
      • Cliquez sur Points d'extrémité dans la page d'accueil OKV.
      • Cliquez sur Ajouter dans la page Détails des points d'extrémité et entrez un nom pour le point d'extrémité.
      • Autorisez tous les autres paramètres par défaut et cliquez sur Enregistrer.

        Par exemple :
        
        Description de l'illustration sec_okv_epregister.png
        

        Pour plus d'informations, voir Ajout, suppression ou reconfiguration de points d'extrémité.

   3. Créer un portefeuille

      Le portefeuille OKV contient la clé de chiffrement principale TDE.

      • À partir de la page d'accueil OKV, naviguez jusqu'à la page Clés et portefeuilles.
      • Pour Portefeuilles dans la page Clés et portefeuilles, cliquez sur Créer.
      • Entrez le nom du portefeuille dans le champ Name (Nom) et cliquez sur Save (Enregistrer).

        Exemple :

        
        
        
        Description de l'illustration sec_okv_wallet.png
        
        

        Pour plus d'informations, voir Création d'un portefeuille virtuel.

   4. Créez une clé de chiffrement principale TDE dans le portefeuille.
      • Sélectionnez Clés et clés secrètes, puis cliquez sur Créer.
      • Pour Clés d'application, sélectionnez Clé de chiffrement principale TDE.
      • Pour Extractable (Extrait), sélectionnez True (Vrai).
      • Assurez-vous que le champ Date de désactivation est vide.

        Exemple :

        
        
        
        Description de l'illustration sec_okv_key.png
        
        
      • Pour Appartenance à un portefeuille, cliquez sur Sélectionner un portefeuille.
      • Dans la liste affichée des portefeuilles, sélectionnez le portefeuille créé à l'étape précédente et cliquez sur Fermer.
      • Cliquez sur Créer. La clé de chiffrement principale TDE est créée et affichée sous Contenu du portefeuille.
   5. Modifiez le point d'extrémité pour que le portefeuille créé précédemment devienne le portefeuille par défaut.
      • Naviguez jusqu'à la page des détails du point d'extrémité.
      • Dans le volet Portefeuille par défaut, sélectionnez Sélectionner un portefeuille.
      • Dans la page Sélectionner un portefeuille, sélectionnez le portefeuille créé précédemment et cliquez sur Sélectionner.
      • Cliquez sur Enregistrer.
   6. Activer les services Restful.
      Note
      
      Les services restants doivent être activés sur l'instance OKV pour exécuter avec succès la commande curl, dans une étape ultérieure, afin de télécharger le portefeuille.

      • Dans la page d'accueil OKV, sélectionnez l'onglet Système.
      • Dans le volet de navigation de gauche, cliquez sur Paramètres.
      • Sous Configuration du système, sélectionnez Services restaurés.
      • Cliquez sur Tout, puis sur Enregistrer.
2. Provisionnez une instance de base de données autonome avec les paramètres requis suivants :
   1. Pour Sélectionner l'accès au réseau, sélectionnez Accès au point d'extrémité privé uniquement.
   2. Pour Réseau en nuage virtuel, sélectionnez le VCN où cette instance de base de données est exécutée.
   3. Pour Sous-réseau, sélectionnez le sous-réseau privé dans lequel cette instance de base de données est exécutée.
   4. Pour Groupes de sécurité de réseau, sélectionnez le groupe de sécurité.
   5. Pour les paramètres de clé de chiffrement, réglez par défaut à Chiffrement à l'aide d'une clé gérée par Oracle. Ces paramètres sont modifiés en clés gérées par le client dans OKV, une fois ces étapes préalables terminées. Les clés gérées par le client sont désactivées lors du provisionnement de l'instance. Pour plus de détails, voir Utiliser les clés de chiffrement gérées par le client sur une base de données autonome avec Oracle Key Vault.
3. Connectez-vous à l'instance Autonomous AI Database et créez un répertoire pour le portefeuille OKV.
   1. Connectez-vous à l'instance de base de données autonome avec intelligence artificielle de point d'extrémité privé en tant qu'utilisateur ADMIN.
      Par exemple, connectez-vous à l'instance de base de données OKVDEMO1 :

      SQL> connect ADMIN/<password>@OKVDEMO1_low

   2. Créez un objet de répertoire dans l'instance Autonomous AI Database.
      Exemple :

      SQL> create directory okv_dir as 'okvdir';

   3. Vérifiez que le répertoire a été créé.
      Par exemple, les énoncés suivants créent l'objet de répertoire OKV_DIR et les résultats de l'énoncé affichent le nom du répertoire (OKV_DIR) et le chemin du répertoire (/u03/dbfs/<path data>/data/okvdir).

      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
      Connected
      SQL>
      SQL> create directory okv_dir as 'okvdir';
      Directory created.
      SQL> select * from dba_directories where directory_name = 'OKV_DIR';
      OWNER
      –--------------------------------------------------------------------
      DIRECTORY_NAME
      –--------------------------------------------------------------------
      DIRECTORY_PATH
      –--------------------------------------------------------------------
      ORIGIN_CON_ID
      –------------
      SYS
      OKV_DIR
      /u03/dbfs/<path data>/data/okvdir
      SQL>

4. Téléchargez le portefeuille de point d'extrémité dans l'objet de répertoire créé dans l'instance de base de données du service d'intelligence artificielle autonome. Ce portefeuille n'est pas le portefeuille TDE virtuel dans OKV qui contient la clé de chiffrement principale TDE. Ce portefeuille contient les certificats nécessaires pour établir une connexion mTLS 1.2 entre OKV et Autonomous AI Database.
   1. Téléchargez le portefeuille pour le point d'extrémité à partir de l'instance OKV.
      Exécutez la commande suivante à partir d'une instance de calcul qui se trouve sur le même réseau qu'OKV :

      curl -k -X POST
       --location https://OKV server:5695/okv/cloud/utility/endpoint/download/sso
       --data "token=Enrollment Token"
       --output cwallet.sso

      Où :

      • OKV server est le nom de domaine interne entièrement qualifié ou l'adresse IP privée, qui se trouve dans la page des détails de l'instance OKV.

      • Enrollment Token est le jeton d'inscription pour le point d'extrémité trouvé dans la page Points d'extrémité.

      Exemple :

      $ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso 
                                 --data "token=H5r8NzqxopYOgkZC" 
                                 --output cwallet.sso
      % Total    % Received % Xferd Average Speed   Time    Time    Time  Current 
               Dload  Upload  Total   Spent    Left  Speed
      100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172 
      
      ls -altr ./cwallet.sso 
      -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso

      Une fois le portefeuille téléchargé, le point d'extrémité de l'instance OKV passe de REGISTERED à ENROLLED.

   2. Charger le portefeuille dans le stockage d'objets.

      Chargez le fichier de portefeuille depuis votre machine locale vers votre seau de stockage d'objets à l'aide du chargement d'objet. Pour plus d'informations, voir Chargement d'un objet dans un seau.

   3. Dans le stockage d'objets, générez une URL de demande préauthentifiée pour le fichier de portefeuille chargé. Pour plus d'informations, voir Création d'une demande préauthentifiée dans le stockage d'objets.
   4. À partir de la machine virtuelle, connectez-vous à l'instance de base de données en tant qu'utilisateur ADMIN.
   5. Dans l'instance de base de données, exécutez la procédure DBMS_CLOUD.GET_OBJECT pour télécharger le portefeuille du stockage d'objets vers le répertoire du portefeuille de l'instance de base de données.
      Exemple :

      BEGIN
          DBMS_CLOUD.GET_OBJECT(
              object_uri => '<PAR URL>',
              directory_name => '<wallet_dir>');
      END;
      /

      • Où :

        • object_uri est l'URL de demande préauthentifiée générée pour le fichier de portefeuille dans le stockage d'objets.
        • directory_name est le nom du répertoire de portefeuille créé dans l'instance de base de données.

        Pour plus d'informations, voir GET_OBJECT Procédure et fonction.

   6. Supprimez le portefeuille du stockage d'objets.

La figure présente les étapes pour chiffrer votre base de données de l'IA autonome à l'aide des clés de chiffrement principales gérées par le client qui résident dans Oracle Key Vault (OKV).

1. Effectuez les étapes préalables requises pour la clé de chiffrement gérée par le client, si nécessaire. Pour plus de détails, voir Préalables à l'utilisation des clés de chiffrement gérées par le client dans Oracle Key Vault.
2. Dans la page Détails de l'instance de base de données du service d'intelligence artificielle autonome, cliquez sur Actions supplémentaires et sélectionnez Gérer la clé de chiffrement.

   
   
   Description de l'illustration sec_okv_manage.png
   

   Note
   
   

   Si vous utilisez déjà des clés gérées par le client dans OKV et que vous souhaitez effectuer une rotation des clés TDE, suivez ces étapes et sélectionnez une autre clé (sélectionnez une clé différente de la clé de chiffrement principale actuellement sélectionnée). Toutefois, vous ne pouvez pas utiliser une clé OKV qui a été utilisée précédemment sur la même instance de base de données d'IA autonome.

3. Dans la page Gérer la clé de chiffrement, sélectionnez Chiffrer à l'aide d'une clé gérée par le client.
4. Dans la liste déroulante Type de clé, sélectionnez Oracle Key Vault (OKV).

   La boîte de dialogue Gérer la clé de chiffrement affiche les options Oracle Key Vault (OKV).
   
   Description de l'illustration sec_okv.png
   

5. Entrez les informations suivantes :

   • UUID OKV : Entrez l'identificateur unique de la clé principale TDE pour la clé située dans l'instance OKV.

     Pour trouver cette valeur :

     1. Connectez-vous à l'instance OKV et sélectionnez Keys & Wallets (Clés et portefeuilles).

     2. Cliquez sur le nom du portefeuille par défaut pour le point d'extrémité de la base de données d'intelligence artificielle autonome.

     3. Faites défiler jusqu'à Contenu du portefeuille et copiez l'identificateur unique dans la colonne Détails.

        Exemple :

        BC63511B-4B4A-411C-A71C-4AA90005F632
        OKV Server URI: ok
        Certificate DN:

        Cliquez sur le nom du point d'extrémité, puis cliquez sur le téléchargement (format PEM) vert; le message "CA.pem" est téléchargé sur votre ordinateur.

        Extraire le nom distinctif du certificat avec une commande telle que :

        $ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'

        Exemple :

        CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us

     4. Cliquez sur le nom du portefeuille par défaut de votre point d'extrémité de base de données autonome avec intelligence artificielle.

     5. Faites défiler jusqu'à Accès au contenu du portefeuille et copiez l'identificateur unique.

        .

        
        
        Description de l'illustration sec_okv_uuid.png
        

     6. Collez l'identificateur unique dans le champ UUID OKV.

   • URI du serveur OKV - Entrez le nom de domaine interne entièrement qualifié ou l'adresse IP privée trouvée dans la page des détails de l'instance OKV.

     Par exemple, si vous utilisez une machine virtuelle OCI pour héberger OKV, cette valeur se trouve dans la page des détails de l'instance OKV, sous Carte VNIC principale :

     
     
     Description de l'illustration sec_okv_fqdn.png
     

   • Nom distinctif de certificat - Entrez votre nom distinctif de certificat.
   • ID certificat (Facultatif) - Entrez votre ID certificat ou laissez le champ vide.
     Note
     
     Ce champ est facultatif si vous utilisez OKV versions 21.9 et supérieures. Si vous utilisez des versions OKV inférieures à 21.9, l'ID certificat est requis.
   • Nom du répertoire - Entrez le nom du répertoire où le portefeuille est enregistré dans l'instance de base de données du service d'intelligence artificielle autonome.
6. Cliquez sur Enregistrer.