Intégration du service AWS Key Management pour le service Exadata Database sur Oracle Database@AWS

Le domaine d'identité OCI est configuré automatiquement lors du processus d'intégration d'Oracle Database@AWS et aucune action n'est requise. Effectuez les étapes suivantes uniquement pour les comptes qui étaient liés avant la disponibilité générale de l'intégration AWS KMS (18 novembre 2025).

Configurez un domaine d'identité OCI pour activer l'intégration AWS pour vos grappes de machines virtuelles Exadata. Il vous permet d'associer un rôle de service AWS Identity and Access Management (IAM) aux intégrations AWS.

1. Dans la console AWS, sélectionnez Oracle Database@AWS, puis Paramètres.
2. Sélectionnez le bouton Configurer pour configurer votre domaine d'identité OCI.
3. Une fois l'opération terminée, vous pouvez consulter les informations Statut, ID domaine d'identité OCI et URL du domaine d'identité OCI dans la page Paramètres.

1. Si vous n'avez pas de réseau ODB existant, vous pouvez en provisionner un en suivant les instructions étape par étape du réseau ODB. Si vous avez un réseau ODB existant, vous pouvez le modifier en sélectionnant le bouton Modifier, suivez Modifier un réseau ODB pour obtenir des instructions étape par étape.
2. Dans la section Configurer les intégrations de service,
   1. Sélectionnez l'option Service de jeton de sécurité (STS) pour configurer le réseau pour l'accès AWS KMS et AWS STS à partir de la base de données.
   2. Cochez la case AWS KMS pour permettre à AWS KMS d'utiliser des clés KMS dans vos politiques d'authentification.

Allow any-user to read oracle-db-aws-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster'}

Cette politique permet aux grappes de machines virtuelles en nuage gérées par Oracle de lire la ressource oracle-db-aws-keys de votre compartiment. Il accorde les autorisations nécessaires à la grappe de machines virtuelles (principal de type cloudvmcluster) pour accéder aux métadonnées de clé AWS requises pour l'intégration à la gestion des clés externes ou l'exécution d'opérations multinuages. Sans cette politique, la grappe de machines virtuelles ne serait pas en mesure d'extraire les clés nécessaires pour terminer la configuration.

La création de grappe de machines virtuelles Exadata n'est disponible qu'au moyen de la console AWS et de l'interface de ligne de commande AWS. Pour plus d'informations, voir Grappe de machines virtuelles Exadata.

Créez une pile pour chaque grappe. Utilisez les étapes suivantes pour créer une pile CloudFormation. Cette opération doit être effectuée pour chaque grappe de machines virtuelles Exadata.

Lorsque votre pile CloudFormation crée un fournisseur OIDC (OpenID Connect), elle établit une relation d'approbation afin qu'une source d'identité externe (comme OCI) puisse s'authentifier auprès d'AWS. Le rôle IAM associé définit ce que cette identité approuvée est autorisée à faire.

1. Sélectionnez votre grappe de machines virtuelles Exadata existante dans la liste pour ouvrir sa page de détails dans la console de gestion AWS.
   Note
   
   

   Si vous n'avez pas de grappe de machines virtuelles Exadata existante, vous pouvez en provisionner une en suivant les instructions étape par étape de la grappe de machines virtuelles Exadata.

2. Sélectionnez l'onglet Rôles de service IAM, puis cliquez sur le lien CloudFormation.
3. Dans la page Création rapide de pile, vérifiez les informations préremplies.
   1. Sous la section Paramètres, les paramètres sont définis dans votre modèle et vous permettent d'entrer des valeurs personnalisées lors de la création ou de la mise à jour d'une pile.
      1. Vérifiez vos informations préremplies sur OCIIdentityDomainUrl.
      2. Le champ OIDCProviderArn est facultatif. Lorsque vous créez la pile CloudFormation pour la première fois, il crée un fournisseur OIDC et un rôle IAM associé. Si vous exécutez la pile pour la première fois, vous n'avez pas besoin de fournir de valeur pour le champ OIDCProviderArn.
      3. Pour toute durée d'exécution supplémentaire, vous devez fournir l'ARN du fournisseur OIDC existant et l'indiquer dans le champ OIDCProviderArn. Pour obtenir vos informations OIDCProviderArn, procédez comme suit :
         1. À partir de la console AWS, naviguez jusqu'à IAM, puis sélectionnez Fournisseurs d'identités.
         2. Dans la liste Fournisseurs d'identités, vous pouvez filtrer votre fournisseur en sélectionnant Type comme OpenID Connect.
         3. Sélectionnez le lien Fournisseur qui a été créé lors de la création initiale de la pile CloudFormation.
         4. Dans la page Sommaire, copiez les informations ARN.
         5. Collez les informations ARN dans le champ OIDCProviderArn.
   2. Dans la section Autorisations, sélectionnez le nom du rôle IAM dans la liste déroulante, puis sélectionnez le rôle IAM pour CloudFormation à utiliser pour toutes les opérations effectuées sur la pile.
   3. Sélectionnez le bouton Créer une pile pour appliquer les modifications.
4. Une fois le déploiement de la pile CloudFormation terminé, naviguez jusqu'à la section Ressources de la pile et vérifiez les ressources de rôle IdP et IAM créées. Copiez le numéro ARN du rôle IAM pour une utilisation future.

Vous devez attacher un rôle IAM que vous avez créé précédemment à la grappe de machines virtuelles Exadata pour affecter un connecteur d'identité qui permet l'accès aux ressources AWS.

1. Dans la console AWS, sélectionnez Oracle Database@AWS.
2. Dans le menu de gauche, sélectionnez Grappes de machines virtuelles Exadata, puis sélectionnez votre grappe de machines virtuelles Exadata dans la liste.
3. Sélectionnez l'onglet Rôles IAM, puis sélectionnez le bouton Associer.
   1. Le champ Intégration AWS est en lecture seule.
   2. Entrez le nom de la ressource Amazon (ARN) du rôle IAM à associer à la grappe de machines virtuelles dans le champ ARN du rôle. Vous pouvez obtenir les informations ARN à partir de la section Sommaire du rôle que vous avez créé précédemment.
   3. Sélectionnez le bouton Associer pour attacher le rôle.
      Note
      
      

      Une fois que vous associez un rôle IAM à votre grappe de machines virtuelles, un connecteur d'identité est attaché à votre grappe de machines virtuelles Exadata.

Une fois la section des préalables terminée, effectuez les actions suivantes :

1. Dans la console AWS, créez une clé gérée par le client dans AWS KMS.
2. À partir de la console OCI, activez les grappes de machines virtuelles et les bases de données Exadata pour utiliser la clé AWS KMS créée à l'étape 1.

1. Dans la console AWS, sélectionnez KMS (Key Management Service).
2. Dans le menu de gauche, sélectionnez Clés gérées par le client, puis le bouton Créer une clé.
3. Dans la section Configurer la clé, entrez les informations suivantes.
   1. Sélectionnez l'option Symétrique comme type de clé.
   2. Sélectionnez l'option Chiffrer et déchiffrer comme Utilisation des clés.
   3. Développez la section Options avancées. AWS KMS et AWS CloudHSM sont pris en charge.
      1. If you want to use KMS standard key store, choose the KMS - recommended option as Key material origin, and then choose either the Single-Region key option or the Multi-Region key option from the Regionality section.
         Note
         
         

         Data Guard inter-régions et la restauration de bases de données dans une autre région ne sont actuellement pas prises en charge pour les bases de données qui utilisent des clés gérées par le client AWS pour la gestion des clés.

      2. Si vous voulez utiliser AWS CloudHSM , sélectionnez l'option Magasin de clés AWS CloudHSM comme origine des matières clés.
   4. Sélectionnez le bouton Suivant pour poursuivre le processus de création.
4. Dans la section Ajouter des étiquettes, entrez les informations suivantes.
   1. Entrez un nom d'affichage descriptif dans le champ Alias. 256 caractères au maximum. Utilisez des caractères alphanumériques et '_-/'.
      Note
      
      

      • Le nom d'alias ne peut pas commencer par aws/. Le préfixe aws/ est réservé par AWS pour représenter les clés gérées AWS dans votre compte.
      • Un alias est un nom d'affichage que vous pouvez utiliser pour identifier la clé KMS. Nous vous recommandons de choisir un alias qui indique le type de données que vous prévoyez de protéger ou l'application que vous prévoyez d'utiliser avec la clé KMS
      • Les alias sont requis lorsque vous créez une clé KMS dans la console AWS.
   2. Le champ Description est facultatif.
   3. La section Marqueurs est facultative. Vous pouvez utiliser des balises pour catégoriser et identifier vos clés KMS et vous aider à suivre vos coûts AWS.
   4. Sélectionnez le bouton Suivant pour continuer le processus de création ou le bouton Précédent pour retourner à la page précédente.
5. Dans la section Définir les autorisations d'administration des clés, effectuez les sous-étapes suivantes.
   1. Recherchez le rôle que vous avez créé précédemment, puis cochez la case. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.
      Note
      
      

      Cette stratégie de clé donne au compte AWS le contrôle total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour accorder à d'autres principaux l'autorisation de gérer la clé KMS.

   2. Dans la section Suppression de clé, la case à cocher Autoriser les administrateurs de clé à supprimer cette clé est sélectionnée par défaut. Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer la clé KMS, vous pouvez désélectionner la case à cocher.
   3. Sélectionnez le bouton Suivant pour continuer le processus de création ou le bouton Précédent pour retourner à la page précédente.
6. Dans la section Définir les autorisations d'utilisation des clés, effectuez les sous-étapes suivantes.
   1. Recherchez le rôle que vous avez créé précédemment, puis cochez la case.
   2. Sélectionnez le bouton Suivant pour continuer le processus de création ou le bouton Précédent pour retourner à la page précédente.
7. Dans la section Modifier la politique de clé, effectuez les sous-étapes suivantes.
   1. Dans la section Prévisualiser, vous pouvez vérifier la politique de clé. Pour apporter une modification, sélectionnez l'onglet Edit (Modifier).

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Sid": "KMSKeyMetadata",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "<arn>"
                  },
                  "Action": [
                      "kms:DescribeKey"
                  ],
                  "Resource": "*"
              },
              {
                  "Sid": "KeyUsage",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "<arn>"
                  },
                  "Action": [
                      "kms:Encrypt",
                      "kms:Decrypt"
                  ],
                  "Resource": "*"
              }
          ]
      }

   2. Sélectionnez le bouton Suivant pour continuer le processus de création ou le bouton Précédent pour retourner à la page précédente.
8. Dans la section Vérifier, vérifiez vos informations, puis sélectionnez le bouton Terminer.

Pour plus d'informations, voir Créer une clé KMS de chiffrement symétrique.

Pour activer AWS KMS pour vos grappes de machines virtuelles Exadata, vous devez d'abord enregistrer la clé AWS KMS dans OCI.

1. Dans la console OCI, sélectionnez Oracle AI Database, puis Intégrations multinuages de base de données.
2. Dans le menu de gauche, sélectionnez Intégration AWS, puis Clés AWS.
3. Sélectionnez le bouton Enregistrer les clés AWS, puis effectuez les sous-étapes suivantes.
   1. Dans la liste déroulante, sélectionnez le compartiment où réside votre grappe de machines virtuelles Exadata.
   2. Sous la section Clés AWS, sélectionnez votre connecteur d'identité dans la liste déroulante.
      Note
      
      

      Assurez-vous que le rôle associé au connecteur dispose de l'autorisation DescribeKey sur la clé. Cette autorisation est requise pour effectuer la détection.

   3. Le champ ARN clé est facultatif.
   4. Cliquez sur le bouton Détecter.
4. Une fois la clé détectée, sélectionnez le bouton Enregistrer pour enregistrer la clé dans OCI.

Lorsque vous activez la gestion des clés AWS pour votre base de données, seules les clés AWS autorisées à être utilisées avec la grappe de machines virtuelles Exadata et enregistrées auprès d'OCI peuvent être utilisées.

1. Dans la console OCI, sélectionnez Oracle AI Database, puis Oracle Exadata Database Service on Dedicated Infrastructure.
2. Dans le menu de gauche, sélectionnez Grappes de machines virtuelles Exadata, puis sélectionnez votre grappe de machines virtuelles Exadata.
3. Sélectionnez l'onglet Informations sur la grappe de MV, puis cliquez sur le bouton Activer à côté de Clé de chiffrement gérée par le client AWS.

Cette rubrique décrit uniquement les étapes de création d'une base de données et d'utilisation d'AWS KMS comme solution de gestion des clés.

Pour la procédure générique de création de base de données, voir Pour créer une base de données dans une grappe de machines virtuelles existante.

Conditions requises

Reportez-vous à la section Préalables.

Étapes

Si la gestion des clés AWS KMS est activée au niveau de la grappe de machines virtuelles, vous disposez de deux options de gestion des clés : Oracle Wallet et Gestion des clés AWS.

1. Dans la section Chiffrement, sélectionnez Gestion des clés AWS.
2. Sélectionnez la clé de chiffrement disponible dans votre compartiment.
   Note
   
   

   • Seules les clés enregistrées sont répertoriées.
   • Si votre clé souhaitée n'est pas visible, elle n'a peut-être pas encore été enregistrée. Cliquez sur Enregistrer les clés AWS pour les détecter et les enregistrer.

     Pour des instructions détaillées, consultez Enregistrer la clé AWS KMS.

   • Vous pouvez sélectionner un alias de clé dans la liste déroulante. Si aucun alias de clé n'est disponible, la liste déroulante affiche l'ID de clé.

Si vous voulez modifier la gestion des clés de vos bases de données existantes dans la grappe de machines virtuelles Exadata d'Oracle Wallet à AWS KMS, procédez comme suit.

1. Dans vos grappes de machines virtuelles Exadata, naviguez jusqu'à l'onglet Bases de données, puis sélectionnez la base de données que vous utilisez.
2. Dans la section Chiffrement, vérifiez que la valeur Gestion des clés est réglée à Oracle Wallet, puis sélectionnez le lien Modifier.
3. Dans la page Modifier la gestion des clés, entrez les informations suivantes.
   1. Sélectionnez votre gestion des clés comme gestion des clés AWS dans la liste déroulante.
   2. Sélectionnez le compartiment de clés que vous utilisez, puis sélectionnez la clé souhaitée dans la liste déroulante.
   3. Sélectionnez le bouton Enregistrer les modifications.

Pour effectuer la rotation de la clé AWS KMS d'une base de données conteneur, utilisez cette procédure.

1. Ouvrez le menu de navigation. Cliquez sur Oracle AI Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
2. Sélectionnez votre compartiment.

   Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données dont vous voulez effectuer la rotation des clés de chiffrement.
4. Cliquez sur Bases de données.
5. Cliquez sur le nom de la base de données dont vous voulez effectuer la rotation des clés de chiffrement.

   La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

6. Dans la section Chiffrement, vérifiez que le service Gestion des clés est réglé à Gestion des clés AWS, puis cliquez sur le lien Effectuer la rotation.
7. Dans la boîte de dialogue Effectuer la rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation pour confirmer l'action.
   Note
   
   

   La rotation de la clé AWS KMS génère un nouveau contexte de chiffrement pour la même clé.

Pour effectuer la rotation de la clé AWS KMS d'une base de données enfichable, utilisez cette procédure.

1. Ouvrez le menu de navigation. Cliquez sur Oracle AI Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
2. Sélectionnez votre compartiment.

   Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable dont vous voulez effectuer la rotation des clés de chiffrement.
5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

   Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

7. Cliquez sur le nom de la base de données enfichable à laquelle vous voulez effectuer la rotation des clés de chiffrement.

   La page des détails de la base de données enfichable s'affiche.

8. Dans la section Chiffrement, la gestion des clés est définie en tant que gestion des clés AWS.
9. Cliquez sur le lien Effectuer la rotation.
10. Dans la boîte de dialogue Effectuer la rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation pour confirmer l'action.
    Note
    
    

    La rotation de la clé AWS KMS génère un nouveau contexte de chiffrement pour la même clé.

Facultativement, effectuez les étapes suivantes pour désactiver une base de données conteneur ou une clé de base de données enfichable spécifique.

1. Naviguez jusqu'à la console AWS, sélectionnez KMS (Key Management Service).
2. Dans le menu de gauche, sélectionnez Clés gérées par le client, puis sélectionnez l'ID clé de la clé à modifier.
3. Sélectionnez le bouton Modifier la politique.
4. Exécutez l'interrogation suivante pour obtenir le EncryptionContext MKID de la clé.

   Utilisez la commande suivante pour afficher les ID clés principales (MKID) courants pour activer ou désactiver les opérations :

   dbaascli tde getHSMKeys --dbname <DB-Name>

   Vous pouvez également exécuter l'interrogation SQL suivante pour lister toutes les versions de clé :

   SELECT key_id, con_id, creation_time, key_use FROM v$encryption_keys;

5. Ajoutez une politique de refus à l'aide du MKID EncryptionContext extrait comme indiqué ci-dessous :

   {
     "Effect": "Deny",
     "Principal": "*",
     "Action": [
       "kms:Encrypt",
       "kms:Decrypt"
     ],
     "Resource": "arn:aws:kms:us-east-1:867344470629:key/7139075d-a006-4302-92d5-48ecca31d48e",
     "Condition": {
       "StringEquals": {
         "kms:EncryptionContext:MKID": "ORACLE.TDE.HSM.MK.06AE5EFB528D9D4F21BFEDA63C6C8738D9"
       }
     }
   }

6. Sélectionnez Enregistrer les modifications pour appliquer la mise à jour de la politique.