Documentation sur Oracle Cloud Infrastructure

Préalables à l'utilisation des clés de chiffrement gérées par le client pour une base de données d'IA autonome dans le service de chambre forte OCI

Effectuez les étapes préalables suivantes pour utiliser des clés gérées par le client sur une base de données d'IA autonome dans le service de chambre forte OCI :

  1. Créez un service Oracle Cloud Infrastructure Vault.
    1. Ouvrez la console Oracle Cloud Infrastructure en cliquant sur icône de navigationà côté d'Oracle Cloud.
    2. Dans le menu de navigation de gauche d'Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    3. Sous Gestion des clés et gestion des clés secrètes, cliquez sur Chambre forte.
    4. Sélectionnez une chambre forte existante ou créez-en une.

      Pour plus de détails, voir Création d'une chambre forte.

  2. Créer une clé de chiffrement principale dans la chambre forte.
    Note

    Vous devez utiliser ces options lorsque vous créez la clé :

    • Forme de clé : Algorithm : AES (Clé symétrique utilisée pour chiffrer et déchiffrer)

    • Forme de la clé : Longueur : 256 bits

    Pour plus d'informations, voir Création d'une clé de chiffrement principale et Aperçu du service de gestion des clés.

  3. Créez un groupe dynamique et des énoncés de politique pour le groupe dynamique afin de permettre l'accès aux ressources Oracle Cloud Infrastructure (chambres fortes et clés).
    Cette étape dépend du fait que la chambre forte se trouve sur la même location que l'instance de base de données IA autonome ou sur une location différente :

Vous devez répliquer la chambre forte et les clés pour utiliser les clés de chiffrement gérées par le client avec Autonomous Data Guard avec une base de données de secours distante. Les clés de chiffrement gérées par le client ne sont prises en charge qu'avec une seule base de données de secours Autonomous Data Guard inter-région. Les bases de secours inter-régions multiples ne sont pas prises en charge, car Oracle Cloud Infrastructure Vault ne prend en charge que la réplication vers une région distante.

Voir ce qui suit pour plus d'informations :

Rubrique parent : Gérer les clés de chiffrement principales dans le service de chambre forte OCI

Créer un groupe dynamique et des politiques pour les clés gérées par le client avec une chambre forte dans la même location que la base de données

Créez un groupe dynamique et des politiques pour fournir l'accès à la chambre forte et aux clés pour les clés gérées par le client lorsque la chambre forte et les clés se trouvent dans la même location que l'instance de base de données du service d'intelligence artificielle autonome.

  1. Créez un groupe dynamique pour rendre la clé de chiffrement principale accessible à l'instance de base de données Autonomous AI Database.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité, cliquez sur Domaines et sélectionnez un domaine d'identité (ou créez un nouveau domaine d'identité).
    3. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
    4. Cliquez sur Créer un groupe dynamique et entrez un nom, une description et une règle.

      • Créez un groupe dynamique pour une base de données existante :

        Vous pouvez spécifier qu'une instance de base de données IA autonome fait partie du groupe dynamique. Le groupe dynamique dans l'exemple suivant inclut uniquement la base de données d'intelligence artificielle autonome dont l'OCID est spécifié dans le paramètre resource.id : 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Créez un groupe dynamique pour une base de données qui n'a pas encore été provisionnée :

        Lorsque vous créez le groupe dynamique avant de provisionner ou de cloner une instance de base de données d'intelligence artificielle autonome, l'OCID de la nouvelle base de données n'est pas encore disponible. Dans ce cas, créez un groupe dynamique qui spécifie les ressources d'un compartiment donné : 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Cliquez sur Créer.
  2. Écrivez des énoncés de politique pour le groupe dynamique afin de permettre l'accès aux ressources Oracle Cloud Infrastructure (vultes et clés).
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité, puis cliquez sur Politiques.
    2. Pour écrire des politiques pour un groupe dynamique, cliquez sur Créer une politique et entrez un nom et une description.
    3. Utilisez le générateur de politiques pour créer une politique pour la chambre forte et les clés dans la location locale.

      Par exemple, ce qui suit permet aux membres du groupe dynamique DGKeyCustomer1 d'accéder aux chambres fortes et aux clés du compartiment nommé training : 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Cet exemple de politique s'applique à un seul compartiment. Vous pouvez spécifier qu'une politique s'applique à votre location, à un compartiment, à une ressource ou à un groupe de ressources.

      Pour utiliser des clés gérées par le client avec Autonomous Data Guard avec une base de données de secours distante, la politique suivante est également requise : 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Cliquez sur Créer pour enregistrer la politique.

Créer un groupe dynamique et des politiques pour les clés gérées par le client avec une chambre forte dans une location différente de celle de la base de données

Effectuez ces étapes pour utiliser des clés gérées par le client lorsque l'instance de base de données de l'IA autonome, les chambres fortes et les clés se trouvent dans des locations différentes.

Dans ce cas, vous devez fournir des valeurs d'OCID lorsque vous passez à des clés gérées par le client. En outre, vous devez définir des groupes dynamiques et des politiques qui permettent à l'instance de base de données du service d'intelligence artificielle autonome d'utiliser des chambres fortes et des clés dans une autre location.

  1. Copiez l'OCID de la clé de chiffrement principale.
  2. Copiez l'OCID de la chambre forte.
  3. Copiez l'OCID de la location (la location distante qui contient les chambres fortes et les clés).
  4. Dans la location avec l'instance Autonomous AI Database, créez un groupe dynamique.
    1. Dans la console Oracle Cloud Infrastructure, sur la location avec l'instance Autonomous AI Database, cliquez sur Identité et sécurité.
    2. Sous Identité, cliquez sur Domaines et sélectionnez un domaine d'identité (ou créez un nouveau domaine d'identité).
    3. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
    4. Cliquez sur Créer un groupe dynamique et entrez un nom, une description et une règle.

      • Créez un groupe dynamique pour une base de données existante :

        Vous pouvez spécifier qu'une instance de base de données IA autonome fait partie du groupe dynamique. Le groupe dynamique dans l'exemple suivant inclut uniquement la base de données d'intelligence artificielle autonome dont l'OCID est spécifié dans le paramètre resource.id : 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Créez un groupe dynamique pour une base de données qui n'a pas encore été provisionnée :

        Lorsque vous créez le groupe dynamique avant de provisionner ou de cloner une instance de base de données d'intelligence artificielle autonome, l'OCID de la nouvelle base de données n'est pas encore disponible. Dans ce cas, créez un groupe dynamique qui spécifie les ressources d'un compartiment donné : 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Cliquez sur Créer.
  5. Dans la location avec l'instance de base de données du service d'intelligence artificielle autonome, définissez les politiques pour autoriser l'accès aux chambres fortes et aux clés (où les chambres fortes et les clés se trouvent dans une location différente).
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité cliquez sur Politiques.
    3. Pour écrire une politique, cliquez sur Créer une politique.
    4. Dans la page Create Policy, entrez un nom et une description.
    5. Dans la page Créer une politique, sélectionnez Afficher l'éditeur manuel.
    6. Dans le générateur de politiques, ajoutez des politiques afin que l'instance de base de données du service d'intelligence artificielle autonome puisse accéder aux chambres fortes et aux clés situées dans les différentes locations. Ajoutez également des politiques pour le groupe IAM auquel l'utilisateur IAM appartient afin que la console Oracle Cloud Infrastructure pour l'instance de base de données du service d'intelligence artificielle autonome puisse afficher des détails sur la clé qui réside dans une autre location.

      Par exemple, dans la politique générique, appelez la location avec l'instance de base de données du service d'intelligence artificielle autonome Tenancy-1 et la location avec chambres fortes et clés Tenancy-2 :

      Copiez la politique suivante et remplacez les variables et les noms par les valeurs que vous définissez, le nom de groupe dynamique ADB-DynamicGroup étant le groupe dynamique que vous avez créé à l'étape 4 : 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Par exemple, les éléments suivants permettent aux membres du groupe dynamique DGKeyCustomer1 d'accéder aux chambres fortes et clés distantes de la location nommée training2 : 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Cliquez sur Créer pour enregistrer la politique.
  6. Copiez l'OCID de la location (la location qui contient l'instance de base de données de l'IA autonome).
  7. Copiez l'OCID du groupe dynamique (pour le groupe dynamique que vous avez créé à l'étape 4).
  8. Dans la location distante avec chambres fortes et clés, définissez un groupe dynamique et des politiques pour permettre à l'instance de base de données du service d'intelligence artificielle autonome d'accéder aux chambres fortes et aux clés.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité cliquez sur Politiques.
    3. Pour créer une politique, cliquez sur Créer une politique.
    4. Dans la page Create Policy, entrez un nom et une description.
    5. Dans la page Créer une politique, sélectionnez Afficher l'éditeur manuel.
    6. Dans le générateur de politiques, ajoutez des politiques et un groupe dynamique pour fournir l'accès au groupe dynamique de la location avec l'instance de base de données d'IA autonome (location-1), de sorte que l'instance de base de données d'IA autonome puisse utiliser les chambres fortes et les clés de la location-2. Vous devez également ajouter des politiques pour permettre au groupe d'utilisateurs d'accéder à la chambre forte et aux clés pour afficher des informations sur la console Oracle Cloud Infrastructure pour l'instance de base de données du service d'intelligence artificielle autonome dans une autre location.

      Utilisez le générateur de politiques pour créer un groupe dynamique et une politique pour les chambres fortes et les clés. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Par exemple, définissez ce qui suit sur la location distante pour permettre aux membres du groupe dynamique DGKeyCustomer1 et au groupe REMGROUP d'accéder aux chambres fortes et clés distantes de la location nommée training2 : 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Cliquez sur Créer pour enregistrer la politique.