Gérer les clés à l'aide d'un magasin de clés externe

Ce processus de configuration est essentiel pour utiliser des magasins de clés externes afin de gérer et de sécuriser les clés de chiffrement de vos bases de données sur les systèmes Exadata. Assurez une installation, une configuration de mot de passe et une configuration de communication appropriées pour un fonctionnement transparent.

Communiquez avec votre fournisseur de magasin de clés externe pour connaître les étapes de configuration détaillées. Les détails décrits ci-dessous fournissent un aperçu général des étapes génériques requises pour configurer un magasin de clés externe.

Installation du serveur de magasin de clés externe : Vous êtes responsable de l'installation et de la configuration du serveur de magasin de clés externe à l'aide de la documentation fournie par le fournisseur.

Format du mot de passe du magasin de clés externe : Le format du mot de passe du magasin de clés externe varie en fonction du fournisseur.

Configuration du réseau : Assurez-vous qu'une connexion est établie entre la machine virtuelle invitée et le serveur de magasin de clés externe par :

• Configuration du réseau requis.
• Ouverture des ports nécessaires.
• Activation du protocole spécifié par le fournisseur du magasin de clés externe.

Installation de la bibliothèque PKCS#11 : Installez le logiciel associé à PKCS#11 et configurez la bibliothèque PKCS#11 sur les machines virtuelles en fonction de la documentation du fournisseur du magasin de clés externe.

Limites :

• Une seule bibliothèque PKCS#11 de fournisseur peut être présente sur une machine virtuelle invitée à la fois.
• Les interfaces de magasin de clés externes ne peuvent pas être utilisées pour associer des clés à des bases de données Oracle dans le service Oracle Exadata Database Service on Cloud@Customer.
• Bien que l'interface de magasin de clés externe vous permette de voir les clés associées aux bases de données, il se peut qu'elle ne prenne pas en charge l'exécution des opérations de gestion des clés directement à partir de l'interface.

Validation des communications : Vérifiez que la bibliothèque PKCS#11 peut communiquer avec le magasin de clés externe. Notez que l'automatisation du nuage n'effectue pas de vérifications préalables pour valider cette connexion. Si la clé est inaccessible, la base de données retourne une erreur avec les détails pertinents.

Pour plus de renseignements, consultez la page https://support.oracle.com/support/?kmExternalId=FAQ2403.

Vous pouvez maintenant chiffrer les bases de données Oracle sur le service Oracle Exadata Database Service on Cloud@Customer en stockant les clés dans un magasin de clés externe.

Versions de base de données applicables : 23ai et 19c

Lors du provisionnement d'une base de données, vous avez la possibilité de choisir parmi différentes solutions de gestion des clés : magasin de clés logicielles Oracle, Oracle Key Vault (OKV) ou magasin de clés externe.

• La solution de gestion des clés sélectionnée s'applique à l'ensemble de la base de données conteneur et à toutes les bases de données enfichables qu'elle contient. Si une base de données conteneur est configurée pour utiliser un magasin de clés externe, toutes les bases de données enfichables associées utiliseront également le magasin de clés externe. Vous ne pouvez pas sélectionner différentes solutions de gestion des clés au niveau de la base de données enfichable.
• Bien que la solution de gestion des clés doit être cohérente dans l'ensemble de la base de données conteneur et de ses bases de données enfichables, différentes bases de données enfichables au sein d'une même base de données conteneur peuvent utiliser des clés de chiffrement distinctes, offrant ainsi une flexibilité dans l'utilisation des clés entre les bases de données enfichables.

Cette fonctionnalité garantit que les clés de chiffrement sensibles sont stockées de manière sécurisée dans un magasin de clés externe, offrant ainsi une couche de sécurité supplémentaire pour vos bases de données.

Lorsqu'une base de données est protégée par un magasin de clés externe, l'ajout d'une nouvelle machine virtuelle à la grappe est restreint.

Si une ou plusieurs bases de données d'une grappe de machines virtuelles sont configurées avec un magasin de clés externe, le message suivant s'affiche :

"While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM."