Documentation sur Oracle Cloud Infrastructure

Intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure

Le service Exadata Database sur Oracle Database@Azure vous permet de stocker les clés de chiffrement transparent des données (TDE) de votre base de données, également appelées clés principales de chiffrement (MEK) dans un portefeuille Oracle basé sur des fichiers ou dans le service de chambre forte OCI.

Cette fonction permet aux utilisateurs du service Exadata Database sur Oracle Database@Azure d'utiliser le module de sécurité matériel géré Azure Key Vault (AKV), AKV Premium et AKV Standard pour la gestion des clés MEK TDE. Cette intégration permet aux applications, aux services Azure et aux bases de données d'utiliser une solution de gestion des clés centralisée pour une sécurité améliorée et une gestion simplifiée du cycle de vie des clés.

Rubrique parent : Guides pratiques

Préalables

Les étapes suivantes doivent être effectuées pour que vous puissiez configurer Azure Key Vault en tant que gestion des clés pour vos bases de données.

Les étapes suivantes doivent être effectuées pour que vous puissiez configurer Azure Key Vault en tant que service de gestion des clés au niveau de la grappe de machines virtuelles Exadata.

  1. Vous devez d'abord terminer l'enregistrement requis pour les sous-réseaux délégués afin d'utiliser les fonctions de réseau avancées mentionnées dans Planification du réseau pour Oracle Database@Azure, puis créer un réseau virtuel Azure avec au moins un sous-réseau délégué qui sera utilisé par la grappe de machines virtuelles Exadata.
  2. Provisionner une grappe de machines virtuelles Exadata au moyen de l'interface Azure. Voir Provisionnement d'une grappe de machines virtuelles Exadata pour Azure pour obtenir des instructions étape par étape.
  3. Vérifiez les exigences de réseau pour déterminer si la grappe de machines virtuelles se connectera à Azure KMS au moyen d'un réseau public ou d'une connectivité privée. Pour plus d'informations, voir Exigences relatives au réseau de l'agent de machine connectée ou Exigences relatives au réseau pour la création d'un connecteur d'identité et de ressources KMS pour les étapes spécifiques à suivre.
  4. Assurez-vous que la politique suivante est créée avant de créer la base de données.
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

Exigences relatives au réseau pour créer un connecteur d'identité et des ressources KMS

Les ressources du service KMS (Azure Key Management Service) prennent en charge la connectivité publique et privée. Le module de sécurité matériel géré par Azure Key Vault nécessite une connectivité privée, alors que les niveaux Azure Key Vault Premium et Standard prennent en charge les options de connectivité publique et privée.

Les sections suivantes décrivent les exigences relatives au réseau pour l'accès public au réseau.

Configuration à l'aide d'un réseau privé

  • Configuration du réseau de l'agent d'arc

    Pour créer un connecteur d'identité sur un réseau privé, une étendue de lien privé d'arc Azure et un point d'extrémité privé doivent être configurés au moyen du portail Azure. Reportez-vous à la documentation Azure pour des étapes détaillées sur la configuration de la connectivité privée pour les serveurs activés pour l'arc Azure.

    Note

    Le point d'extrémité privé doit être créé dans un sous-réseau non délégué dans le réseau virtuel Azure (VNet) qui héberge la grappe de machines virtuelles Oracle Exadata. Les points d'extrémité privés ne sont pas pris en charge dans les sous-réseaux délégués. Par défaut, les grappes de machines virtuelles Exadata sont provisionnées dans des sous-réseaux délégués.

    Le module de sécurité matériel géré nécessite une connectivité privée et n'est pris en charge que dans les régions Azure qui offrent des fonctions de réseau avancé. Pour obtenir la liste des régions prises en charge, voir Planification du réseau pour Oracle Database@Azure.

    Pour permettre la communication avec des ressources d'agent privé sur le réseau privé, une zone DNS privée et les enregistrements A correspondants doivent être créés dans la configuration DNS du VCN dans votre location Oracle Cloud Infrastructure (OCI).

    La configuration DNS du point d'extrémité privé associé à la portée du lien privé doit inclure les adresses de ressource d'agent privé nécessaires. Pour plus d'informations, voir la section URL sous Exigences relatives au réseau de l'agent de machine connectée.

    Tout d'abord, extrayez la liste des adresses requises à partir du portail Azure. Mettez ensuite à jour l'entrée de zone DNS dans OCI pour terminer la configuration.

    Étapes d'extraction de la liste des adresses IP requises :
    1. Connectez-vous au portail Azure.
    2. Recherchez "Azure Arc Private link scopes".
    3. Sélectionnez une étendue de lien privé dans la liste.
    4. Dans le menu Configure, cliquez sur Private endpoint connections.
    5. Cliquez sur le lien Private endpoint.
    6. Sous Paramètres, sélectionnez Configuration DNS pour afficher les adresses requises.

    Exemple : Ajouter une ressource d'agent privé (par exemple, gbl.his.arc.azure.com)

    L'adresse IP associée à gbl.his.arc.azure.com, ainsi que toutes les autres ressources d'agent requises, doivent être définies dans la zone DNS privée.

    Étapes :

    1. Créer une zone privée
      Pour plus d'informations, voir Création d'une zone DNS privée.
      • Type de zone : Principal
      • Nom de la zone : <Nom descriptif>
      • Compartiment : <Nom du compartiment ou OCID>
    2. Ajouter des enregistrements DNS
      • Naviguez jusqu'à l'onglet Enregistrements de la page Détails de la zone.
      • Cliquez sur Manage Records, puis sur Add Record :
        • Nom : gbl.his.arc.azure.com
        • Type : A (adresse IPv4)
        • Durée de vie (secondes) : 3600
        • Mode RDATA : De base
        • Adresse : <Adresse IP privée>
    3. Publier la zone
    4. Assurez-vous que l'enregistrement apparaît dans la page de la zone après la publication.
    5. Vérifiez que la connectivité aux services Azure à partir de la grappe de machines virtuelles est acheminée par le réseau privé.

    Même avec la connectivité privée, les points d'extrémité suivants doivent être acheminés au moyen de la passerelle NAT Azure.

    Ressources d'agent :

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Configuration des points d'extrémité privés du service de chambre forte de clés Azure

    Pour accéder aux points d'extrémité des chambres fortes de clés Azure au moyen d'une connectivité privée, vous devez créer une zone DNS. En outre, un enregistrement A mappant le nom de domaine complet de la ressource à l'adresse IP du point d'extrémité privé correspondant doit être ajouté dans la location OCI.

    Pour accéder au service de module de sécurité matériel géré au moyen d'un point d'extrémité privé de votre réseau virtuel hébergeant une grappe de machines virtuelles Exadata, vous pouvez établir une connexion de lien privé au module de sécurité matériel géré et l'associer au sous-réseau par défaut ou à un sous-réseau non délégué. Suivez les étapes décrites dans la section "Configuration à l'aide d'un réseau privé" de la rubrique "Exigences réseau pour créer un connecteur d'identité et des ressources KMS". Pour plus d'informations, voir Intégrer un module de sécurité matériel géré à l'aide d'un lien privé Azure.

Configuration à l'aide du réseau public

Créez une passerelle NAT dans le portail Azure et associez-la au sous-réseau délégué de la grappe de machines virtuelles Exadata. Pour plus d'informations, voir Créer une passerelle NAT et l'associer à un sous-réseau existant.

Utilisation de la console pour gérer l'intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure

Voyez comment gérer l'intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure.

Rubrique parent : Intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure

La création d'un connecteur d'identité installe l'agent d'arc Azure sur les machines virtuelles de grappe de machines virtuelles Exadata, en les enregistrant en tant que machines virtuelles activées pour l'arc Azure.

Cela permet une communication sécurisée avec le service KMS (Azure Key Management Service) à l'aide de l'identité Azure générée par l'agent Arc. L'agent Arc Azure peut communiquer avec les services Azure via un réseau public ou une configuration de connectivité privée. En savoir plus sur l'arc Azure.

Chaque grappe de machines virtuelles Exadata doit avoir un connecteur d'identité activé pour accéder aux ressources Azure. Le connecteur d'identité établit une connexion publique ou privée entre la grappe de machines virtuelles Exadata et les ressources Azure Key Management, selon les rôles affectés.

Pour générer un jeton d'accès pour votre compte Azure courant, voir az account get-access-token.

Vous pouvez créer un connecteur d'identité de l'une des deux façons suivantes : à l'aide de l'interface Oracle Exadata Database Service on Dedicated Infrastructure ou de l'interface Database Multicloud Integrations.

Service Oracle Exadata Database sur une infrastructure dédiée

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. From the left menu, click Exadata VM Clusters under Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Dans la liste des grappes de machines virtuelles Exadata, sélectionnez la grappe que vous utilisez.
  4. Sélectionnez Informations sur la grappe de MV, puis naviguez jusqu'à Connecteur d'identité situé sous Informations sur plusieurs nuages. Cliquez sur le lien Créer.
    Note

    Si un connecteur d'identité n'a pas été créé précédemment, il est affiché comme Aucun.

  5. Les champs Nom du connecteur d'identité, Grappe de machines virtuelles Exadata, ID abonnement Azure et Nom du groupe de ressources Azure sont en lecture seule et seront alimentés avec des valeurs.
  6. Entrez votre ID locataire Azure et votre jeton d'accès.
  7. Développez la section Afficher les options avancées.

    Les sections Informations sur la connectivité privée et Marqueurs sont alimentées.

    Pour activer une connexion de point d'extrémité privé, entrez le nom de la portée du lien privé d'arc Azure.

  8. Pour ajouter des marqueurs pour vos ressources, cliquez sur Ajouter un marqueur, puis entrez les valeurs requises.
  9. Vérifiez vos sélections, puis cliquez sur Créer pour créer le connecteur d'identité.

Intégrations de base de données multinuage

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Intégrations multinuage de base de données.
  2. Sélectionnez Connecteurs d'identité dans le menu de navigation de gauche.
  3. Dans la liste déroulante Compartiment, sélectionnez le compartiment que vous utilisez.
  4. Une fois que vous avez sélectionné votre compartiment, le champ Nom du connecteur d'identité alimente automatiquement un nom.

    Par défaut, le type de connecteur d'identité est sélectionné comme Azure.

  5. Sélectionnez AgentARC comme mécanisme d'identité.
  6. Sélectionnez votre compartiment dans la liste Sélectionner un compartiment de grappe de machines virtuelles Exadata, puis sélectionnez votre grappe de machines virtuelles Exadata dans la liste Sélectionner une grappe de machines virtuelles Exadata.
  7. Entrez votre ID locataire Azure. Les champs ID abonnement Azure et Nom du groupe de ressources Azure alimentent des valeurs en fonction de votre sélection de grappe de machines virtuelles Exadata.
  8. Entrez un jeton d'accès.
  9. Développez la section Afficher les options avancées. Les sections Informations sur la connectivité privée et Marqueurs sont alimentées. Ces champs sont facultatifs.
  10. Pour ajouter des marqueurs pour vos ressources, cliquez sur Ajouter un marqueur, puis entrez les valeurs requises.
  11. Vérifiez vos sélections, puis cliquez sur Créer.

Pour voir les détails d'un connecteur d'identité, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Under Oracle Exadata Database Service on Dedicated Infrastructure, click Exadata VM Clusters.
  3. Cliquez sur le nom de la grappe de machines virtuelles de votre choix.
  4. Dans la page Détails de la grappe de MV obtenue, dans la section Informations sur plusieurs nuages, vérifiez que le champ Connecteur d'identité affiche le connecteur d'identité créé précédemment.
  5. Cliquez sur le nom du connecteur d'identité pour en voir les détails.

Cette étape installe la bibliothèque requise sur la grappe de machines virtuelles pour prendre en charge l'intégration d'Azure Key Vault. Assurez-vous qu'un connecteur d'identité est créé avant d'activer Azure Key Management sur la grappe de machines virtuelles Exadata.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Under Oracle Exadata Database Service on Dedicated Infrastructure, click Exadata VM Clusters.
  3. Cliquez sur le nom de la grappe de machines virtuelles de votre choix.
  4. Dans la page Détails de la grappe de MV obtenue, dans la section Informations sur plusieurs nuages, cliquez sur le lien Activer à côté du magasin de clés Azure.
  5. Dans la boîte de dialogue Activer la gestion des clés Azure qui s'affiche, cliquez sur Activer pour confirmer l'opération.

    La confirmation de l'action installera une bibliothèque sur votre grappe de machines virtuelles Exadata.

    Le statut du magasin de clés Azure passe de Désactivé à Activé.

  6. Pour désactiver le magasin de clés Azure, cliquez sur le lien Désactiver.
  7. Dans la boîte de dialogue Désactiver la gestion des clés Azure qui s'affiche, cliquez sur Désactiver pour confirmer l'opération.

    La désactivation de la gestion des clés Azure supprime la bibliothèque installée lors de l'activation, ce qui aura une incidence sur la disponibilité des bases de données configurées pour l'utiliser.

Note

La gestion des clés Azure est configurée au niveau de la grappe de machines virtuelles, ce qui nécessite que toutes les bases de données de la grappe utilisent la même solution de gestion des clés. Toutefois, les bases de données qui utilisent Oracle Wallet peuvent coexister avec celles qui utilisent Azure Key Vault dans le même cluster.

Créez un module de sécurité matériel géré pour Azure Key Vault, Azure Key Vault Premium ou Azure Key Vault Standard, puis affectez l'autorisation.

Pour plus d'informations, voir Créer une chambre forte de clés à l'aide du portail Azure.

Note

There are specific roles that must be assigned to the group to grant the necessary permissions for accessing and managing Azure Key Vault Managed HSM, Azure Key Vault Premium, and Azure Key Vault Standard resources.
  1. Créez un groupe et ajoutez des membres.

    Les groupes Azure vous permettent de gérer les utilisateurs en leur affectant les mêmes accès et autorisations aux ressources.

  2. Affectez les rôles suivants en fonction du type de chambre forte de clés Azure :
    • Pour le module de sécurité matériel géré :
      • IAM : Lecteur
      • Local RBAC : agent de cryptage HSM géré + utilisateur de cryptage HSM géré
    • Pour Key Vault Premium et Standard
      • IAM : Lecteur + Key Vault Crypto Officer

Pour des étapes détaillées, voir Affecter des rôles Azure à l'aide du portail Azure.

Il s'agit d'une autre façon d'enregistrer vos chambres fortes de clés Azure à partir de la console OCI. Si vous avez déjà enregistré votre chambre forte lors de la création d'une base de données dans votre grappe de machines virtuelles Exadata existante, vous pouvez ignorer cette étape.

  1. À partir de la console OCI, naviguez jusqu'à Intégrations multinuages de base de données, puis sélectionnez Intégration Microsoft Azure. Dans la section Intégration Microsoft Azure, sélectionnez Chambres fortes de clés Azure.
    Note

    Au moins une clé doit être créée dans la chambre forte sur le portail Azure pour que l'enregistrement réussisse.
  2. Sélectionnez le bouton Enregistrer les chambres fortes de clés Azure.
  3. Dans la liste déroulante, sélectionnez votre compartiment.
  4. Dans la section Chambres fortes de clés Azure, sélectionnez un connecteur d'identité dans la liste Découvrir les chambres fortes de clés Azure à l'aide d'un connecteur.
  5. Cliquez sur Détecter.

    La liste des nom(s) de chambre forte s'affiche.

  6. Cochez la case située à côté de Nom de la chambre forte.
  7. Si vous voulez ajouter des marqueurs pour vos ressources, développez la section Options avancées, puis cliquez sur Ajouter un marqueur.
  8. Cliquez sur Enregistrer pour enregistrer les chambres fortes localement dans OCI.
  9. Once you register the vault, you can view the Display name, State, Type, Azure resource group,, and Created information of the vaults in the list.
  10. Sélectionnez la chambre forte que vous utilisez, puis cliquez sur l'onglet Associations de connecteur d'identité, qui répertorie les associations de connecteur d'identité dans le compartiment courant.
    Note

    Une association par défaut est créée automatiquement entre la chambre forte et le connecteur d'identité utilisé lors du processus d'enregistrement de la chambre forte. Cela permet d'utiliser la chambre forte sur la grappe de machines virtuelles Exadata associée à ce connecteur d'identité spécifique.

    Si vous voulez utiliser la même chambre forte dans d'autres grappes enregistrées avec des connecteurs d'identité différents (c'est-à-dire, pas celui utilisé lors de la détection de chambre forte), vous devez créer explicitement une association entre la chambre forte et ces connecteurs d'identité supplémentaires.

  11. Cliquez sur Créer une association.
  12. Dans la liste déroulante, sélectionnez votre compartiment, votre nom d'association de chambre forte de clés Azure et votre connecteur d'identités.
  13. Si vous développez la section Options avancées, vous pouvez ajouter des marqueurs pour organiser vos ressources.
  14. Vérifiez vos sélections, puis cliquez sur Créer.

Pour créer une base de données dans une grappe de machines virtuelles existante

Cette rubrique décrit la création de votre première base de données ou des bases de données suivantes.

Note

Si IORM est activé sur l'instance Exadata Cloud Infrastructure, la directive par défaut s'applique à la nouvelle base de données et la performance du système pourrait être touchée. Oracle recommande de vérifier les paramètres IORM et d'effectuer des ajustements applicables à la configuration après le provisionnement de la nouvelle base de données.
Note

Avant de créer votre première base de données et de sélectionner Azure Key Vault pour la gestion des clés, assurez-vous que les préalables suivants sont satisfaits :
  • Tous les préalables au réseau décrits dans la section Exigences relatives au réseau pour la création d'un connecteur d'identité et de ressources KMS sont satisfaits
  • Le connecteur d'identité est créé et disponible pour utilisation
  • La gestion des clés Azure est activée au niveau de la grappe de machines virtuelles
  • La grappe de machines virtuelles dispose des autorisations nécessaires pour accéder aux chambres fortes
  • Les chambres fortes sont enregistrées en tant que ressources OCI
Note

  • Restriction des machines virtuelles : L'ajustement d'une grappe de machines virtuelles n'étend pas automatiquement les bases de données qui utilisent Azure Key Vault à la nouvelle machine virtuelle ajoutée. Pour terminer l'extension, vous devez mettre à jour le connecteur d'identité existant pour la grappe de machines virtuelles Exadata en fournissant le jeton d'accès Azure. Après avoir mis à jour le connecteur d'identité, exécutez la commande dbaascli database addInstance pour ajouter l'instance de base de données à la nouvelle machine virtuelle.
  • Restrictions de Data Guard :
    • Lors de la création d'une base de données de secours pour une base principale qui utilise Azure Key Vault, assurez-vous que la grappe de machines virtuelles cible comporte un connecteur d'identité actif, que la gestion des clés Azure est activée et que l'association requise entre le connecteur d'identité et la chambre forte de clés est correctement configurée.
    • Les opérations de restauration inter-région de Data Guard et de base de données ne sont pas prises en charge pour les bases de données qui utilisent Azure Key Vault pour la gestion des clés.
  • Restriction des opérations sur la base de données enfichable : Les opérations sur la base de données enfichable distante, telles que le clonage, l'actualisation et le déplacement, ne sont prises en charge que si les bases de données source et de destination utilisent la même clé TDE.
  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure
  2. Sélectionnez votre compartiment.
  3. Naviguez jusqu'à la grappe de machines virtuelles en nuage ou au système de base de données où vous souhaitez créer la base de données :

    Grappes de machines virtuelles en nuage (Nouveau modèle de ressource Exadata Cloud Infrastructure) : Sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Grappes de machines virtuelles Exadata. Dans la liste des grappes de machines virtuelles, recherchez celle à laquelle vous voulez accéder et cliquez sur son nom en surbrillance pour afficher sa page de détails.

    Systèmes de base de données : Sous Base de données de base Oracle, cliquez sur Systèmes de base de données. Dans la liste des systèmes de base de données, recherchez le système de base de données Exadata auquel vous souhaitez accéder et cliquez sur son nom pour afficher les détails le concernant.

  4. Cliquez sur Créer une base de données.
  5. Dans la boîte de dialogue Créer une base de données, entrez les informations suivantes :
    Note

    Vous ne pouvez pas modifier les paramètres db_name, db_unique_name et le préfixe IDS après avoir créé la base de données.
    • Nom de la base de données : Nom de la base de données. Le nom de la base de données doit répondre aux exigences suivantes :
      • 8 caractères au maximum
      • Caractères alphanumériques uniquement
      • Caractère alphabétique au début
      • Ne peut pas faire partie des 8 premiers caractères d'un élément DB_UNIQUE_NAME sur la grappe de machines virtuelles
      • N'utilisez PAS les noms réservés suivants : grid, ASM
    • Suffixe du nom unique de la base de données :

      Facultativement, spécifiez une valeur pour le paramètre de base de données DB_UNIQUE_NAME. La valeur n'est pas sensible à la casse.

      Le nom unique doit répondre aux exigences suivantes :

      • Maximum de 30 caractères
      • Doit contenir des caractères alphanumériques ou des traits de soulignement (_) uniquement
      • Caractère alphabétique au début
      • Doit être unique dans la grappe de MV. Recommandé pour être unique dans toute la location.
      S'il n'est pas précisé, le système génère automatiquement une valeur de nom unique, comme suit : 
      <db_name>_<3_chars_unique_string>_<region-name>
    • Version de la base de données : Version de la base de données. Vous pouvez combiner les versions de base de données sur le système de base de données Exadata.
    • Nom de la base de données enfichable : (Facultatif) Pour Oracle Database 12c (12.1.0.2) et les versions ultérieures, vous pouvez spécifier le nom de la base de données enfichable. Le nom de la base de données enfichable doit commencer par un caractère alphabétique et ne peut pas contenir plus de huit caractères numériques. Le seul caractère spécial autorisé est le trait de soulignement (_).

      Pour éviter toute collision de noms de service lors de l'utilisation d'Oracle Net Services pour la connexion à la base de données enfichable, assurez-vous que le nom de cette dernière est unique dans toute la grappe de machines virtuelles. Si vous ne fournissez pas le nom de la première base de données enfichable, un nom généré par le système est utilisé.

    • Répertoire de base de la base de données : Répertoire de base Oracle Database pour la base de données. Choisissez l'option applicable :
      • Sélectionner un répertoire de base existant pour la base de données : Le champ de nom d'affichage du répertoire de base vous permet d'effectuer une sélection parmi les répertoires existants pour la version de base de données que vous avez spécifiée. Si aucune base de données n'existe avec cette version, vous devez en créer une.
      • Créer un répertoire de base de base de base de données : Utilisez cette option pour provisionner un répertoire de base pour votre base de données pair Data Guard.

        Cliquez sur Modifier l'image de base de données pour utiliser une image publiée par Oracle souhaitée ou une image logicielle de base de données personnalisée que vous avez créée à l'avance, puis sélectionnez un type d'image :

        • Images logicielles de base de données fournies par Oracle :

          Vous pouvez utiliser le commutateur Afficher toutes les versions disponibles pour effectuer une sélection parmi toutes les PSU et RU disponibles. La version la plus récente de chaque version majeure est indiquée par une étiquette La plus récente.

          Note

          Pour les versions principales d'Oracle Database disponibles dans Oracle Cloud Infrastructure, des images sont fournies pour la version courante plus les trois versions précédentes (N à N - 3). Par exemple, si une instance utilise Oracle Database 19c et que la dernière version proposée est 19.8.0.0, les images disponibles pour le provisionnement concernent les versions 19.8.0.0, 19.7.0.0, 19.6.0.0 et 19.5.0.0.
        • Images logicielles de base de données personnalisées : Ces images sont créées par votre organisation et contiennent les configurations personnalisées des mises à jour logicielles et des correctifs. Utilisez les sélecteurs Sélectionner un compartiment, Sélectionner une région et Sélectionner une version de base de données pour limiter la liste des images logicielles de base de données personnalisées à un compartiment, à une région ou à une version majeure du logiciel Oracle Database.

          Le filtre de région prend par défaut la région actuellement connectée et répertorie toutes les images logicielles créées dans cette région. Lorsque vous choisissez une autre région, la liste des images logicielles est actualisée pour afficher les images logicielles créées dans la région sélectionnée.

    • Créer les données d'identification d'administrateur : (Lecture seule) Un utilisateur SYS administrateur de base de données sera créé avec le mot de passe que vous fournissez.
      • Nom d'utilisateur : SYS
      • Mot de passe : Fournissez le mot de passe de cet utilisateur. Le mot de passe doit répondre aux critères suivants :

        Mot de passe fort pour SYS, SYSTEM, le portefeuille TDE et PDB Admin. Le mot de passe doit comporter de 9 à 30 caractères et contenir au moins deux majuscules, deux minuscules, deux caractères numériques et deux caractères spéciaux. Les caractères spéciaux doivent être _, # ou -. Le mot de passe ne doit pas contenir le nom d'utilisateur (SYS, SYSTEM, etc.) ni le mot "oracle" dans l'ordre aval ou inversé, quelle que soit la casse.

      • Confirmer le mot de passe : Entrez de nouveau le mot de passe SYS que vous avez spécifié.
      • L'utilisation d'un mot de passe pour le portefeuille TDE est facultative. Si vous utilisez des clés de chiffrement gérées par le client stockées dans une chambre forte de votre location, le mot de passe du portefeuille TDE ne s'applique pas à votre système de base de données. Utilisez Afficher les options avancées à la fin de la boîte de dialogue Créer une base de données pour configurer les clés gérées par le client.

        Si vous utilisez des clés gérées par le client ou si vous voulez spécifier un mot de passe de portefeuille TDE différent, désélectionnez la case Utiliser le mot de passe de l'administrateur pour le portefeuille TDE. Si vous utilisez des clés gérées par le client, laissez les champs de mot de passe TDE vides. Pour définir manuellement le mot de passe pour le portefeuille TDE, entrez un mot de passe dans le champ Entrer le mot de passe pour le portefeuille TDE, puis confirmez-le en l'entrant dans le champ Confirmer le mot de passe pour le portefeuille TDE.

    • Configurer les sauvegardes de base de données : Spécifiez les paramètres de sauvegarde de la base de données dans le service de récupération autonome ou le service de stockage d'objets :
      • Activer la sauvegarde automatique : Cochez cette case pour activer les sauvegardes supplémentaires automatiques pour cette base de données. Si vous créez une base de données dans un compartiment de zone de sécurité, vous devez activer les sauvegardes automatiques.
      • Destination de sauvegarde : Vos choix sont Autonomous Service de récupération ou Stockage d'objets.
      • Programmation de la sauvegarde :
        • Stockage d'objets (L0) :
          • Jour de programmation des sauvegardes complètes : Sélectionnez un jour de la semaine pour le démarrage des sauvegardes L0 initiale et futures.
          • Heure de programmation des sauvegardes complètes (UTC) : Spécifiez la fenêtre de temps dans laquelle les sauvegardes complètes commencent lorsque la fonctionnalité de sauvegarde automatique est sélectionnée.

          • Effectuer la première sauvegarde immédiatement : Une sauvegarde complète est une sauvegarde par le système d'exploitation de tous les fichiers de données et du fichier de contrôle qui composent une base de données Oracle. Une sauvegarde complète doit également inclure le(s) fichier(s) de paramètres associé(s) à la base de données. Vous pouvez prendre une sauvegarde de base de données complète lorsque la base de données est arrêtée ou lorsque la base de données est ouverte. En principe, vous ne devez pas effectuer une sauvegarde complète après la défaillance d'une instance ou dans d'autres circonstances inhabituelles.

            Si vous choisissez de différer la première sauvegarde complète, votre base de données ne sera peut-être pas récupérable en cas de défaillance.

        • Stockage d'objets (L1) :
          • Heure de programmation de la sauvegarde incrémentielle (UTC) : Spécifiez la fenêtre de temps dans laquelle les sauvegardes incrémentielles commencent lorsque la fonctionnalité de sauvegarde automatique est sélectionnée.
        • Service de récupération autonome (L0) :
          • Date programmée pour la sauvegarde initiale : Sélectionnez un jour de la semaine pour la sauvegarde initiale.
          • Heure programmée pour la sauvegarde initiale (UTC) : Sélectionnez la fenêtre de temps pour la sauvegarde initiale.

          • Effectuer la première sauvegarde immédiatement : Une sauvegarde complète est une sauvegarde par le système d'exploitation de tous les fichiers de données et du fichier de contrôle qui composent une base de données Oracle. Une sauvegarde complète doit également inclure le(s) fichier(s) de paramètres associé(s) à la base de données. Vous pouvez prendre une sauvegarde de base de données complète lorsque la base de données est arrêtée ou lorsque la base de données est ouverte. En principe, vous ne devez pas effectuer une sauvegarde complète après la défaillance d'une instance ou dans d'autres circonstances inhabituelles.

            Si vous choisissez de différer la première sauvegarde complète, votre base de données ne sera peut-être pas récupérable en cas de défaillance.

        • Service de récupération autonome (L1) :
          • Heure programmée pour la sauvegarde quotidienne (UTC) : Spécifiez la fenêtre de temps dans laquelle les sauvegardes incrémentielles commencent lorsque la fonctionnalité de sauvegarde automatique est sélectionnée.
      • Options de suppression après l'arrêt de la base de données : Options que vous pouvez utiliser pour conserver les sauvegardes de base de données protégées après l'arrêt de la base de données. Ces options peuvent également vous aider à restaurer la base de données à partir de sauvegardes en cas de dommage accidentel ou malveillant à la base de données.
        • Conserver les sauvegardes pour la période spécifiée dans votre politique de protection ou la période de conservation des sauvegardes : Sélectionnez cette option si vous voulez conserver les sauvegardes de base de données pour toute la période définie dans la période de conservation des sauvegardes de stockage d'objets ou la politique de protection du service de récupération autonome après l'arrêt de la base de données.
        • Conserver les sauvegardes pendant 72 heures, puis supprimer : Sélectionnez cette option pour conserver les sauvegardes pendant une période de 72 heures après l'arrêt de la base de données.

      • Politique de période de conservation/protection des sauvegardes : Si vous choisissez d'activer les sauvegardes automatiques, vous pouvez choisir une politique avec l'une des périodes de conservation prédéfinies suivantes ou une politique personnalisée.

        Période de conservation des sauvegardes de stockage d'objets : 7, 15, 30, 45, 60. Par défaut : 30 jours. Le système supprime automatiquement vos sauvegardes incrémentielles à la fin de la période de conservation sélectionnée.

        Politique de protection du service de récupération autonome :

        • Bronze : 14 jours
        • Argent : 35 jours
        • Or : 65 jours
        • Platine : 95 jours
        • Personnalisé que vous avez défini
        • Valeur par défaut : Argent - 35 jours
      • Activer la protection des données en temps réel : La protection en temps réel est le transfert continu des modifications d'informations de journalisation d'une base de données protégée vers le service de récupération autonome. Cela réduit la perte de données et fournit un objectif de point de récupération (OPR) proche de 0. Cette option est payante.

  6. Cliquez sur Afficher les options avancées pour spécifier les options avancées de la base de données :

    • Gestion :

      Préfixe IDS d'Oracle : Le numéro d'instance Oracle Database est automatiquement ajouté au préfixe IDS pour créer le paramètre de base de données INSTANCE_NAME. Le paramètre INSTANCE_NAME est également appelé SID. SID est unique dans la grappe de machines virtuelles en nuage. S'il n'est pas indiqué, le préfixe SID est réglé par défaut à db_name.

      Note

      L'entrée d'un préfixe SID n'est disponible que pour les bases de données Oracle 12.1 et versions supérieures.

      Le préfixe SID doit répondre aux exigences suivantes :

      • Maximum de 12 caractères
      • Caractères alphanumériques uniquement. Vous pouvez toutefois utiliser le trait de soulignement (_), qui est le seul caractère spécial qui n'est pas limité par cette convention d'attribution de nom.
      • Caractère alphabétique au début
      • Doit être unique dans la grappe de MV
      • N'utilisez PAS les noms réservés suivants : grid, ASM
    • Jeu de caractères : Jeu de caractères de la base de données. La valeur par défaut est AL32UTF8.
    • Jeu de caractères national : Jeu de caractères national de la base de données. La valeur par défaut est AL16UTF16.

    • Chiffrement :

      Si vous créez une base de données dans une grappe de machines virtuelles Exadata Cloud Service, vous pouvez choisir d'utiliser le chiffrement basé sur les clés de chiffrement que vous gérez. Par défaut, la base de données est configurée à l'aide de clés de chiffrement gérées par Oracle.

      • Pour configurer la base de données avec chiffrement en fonction de clés que vous gérez :
        Note

        Si la gestion des clés Azure est désactivée au niveau de la grappe de machines virtuelles, vous disposez de trois options de gestion des clés : Oracle Wallet, Chambre forte OCI et Oracle Key Vault.
        • Service de chambre forte OCI :
          1. Vous devez disposer d'une clé de chiffrement valide dans le service de chambre forte pour Oracle Cloud Infrastructure. Voir Permettre aux administrateurs de la sécurité de gérer les chambres fortes, les clés et les clés secrètes.
            Note

            Vous devez utiliser des clés de chiffrement AES-256 pour votre base de données.
          2. Sélectionnez une chambre forte.
          3. Sélectionnez une clé de chiffrement principale.
          4. Pour spécifier une version de clé autre que la dernière version de la clé sélectionnée, cochez Sélectionnez la version de la clé et entrez l'OCID de la clé que vous souhaitez utiliser dans le champ OCID de la version de clé.
            Note

            La version de clé ne sera affectée qu'à la base de données conteneur et non à sa base de données enfichable. Une nouvelle version de clé générée automatiquement sera affectée à la base de données enfichable.
        • Oracle Key Vault : Sélectionnez un compartiment et un magasin de clés dans le compartiment sélectionné.
      • Pour créer une base de données à l'aide du service de chambre forte de clés Azure en tant que solution de gestion de clés :
        Note

        Si la gestion des clés Azure est activée au niveau de la grappe de machines virtuelles, vous disposez de deux options de gestion des clés : Oracle Wallet et Chambre forte de clés Azure.
        1. Sélectionnez le type Gestion des clés Chambre forte de clés Azure.
        2. Sélectionnez la chambre forte disponible dans votre compartiment.
          Note

          La liste Chambre forte alimente uniquement les chambres fortes enregistrées. Cliquez sur le lien Enregistrer de nouvelles chambres fortes pour enregistrer votre chambre forte. Dans la page Enregistrer les chambres fortes de clés Azure, sélectionnez votre chambre forte, puis cliquez sur Enregistrer.
          Note

          Au moins une clé doit être enregistrée dans vos chambres fortes.
        3. Sélectionnez la clé disponible dans votre compartiment.
    • Marqueurs : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
  7. Cliquez sur Créer une base de données.
Note

Vous pouvez maintenant :
  • Créer ou supprimer une base de données conteneur alors qu'une configuration Data Guard est exécutée sur une autre base de données dans le même répertoire de base Oracle, et inversement.
  • Créer ou supprimer une base de données conteneur lors de l'exécution simultanée d'actions Data Guard (passerelle, basculement et remise en service) dans le même répertoire de base Oracle, et inversement.
  • Créez ou supprimez une base de données conteneur tout en créant ou en supprimant simultanément une base de données enfichable dans le même répertoire de base Oracle, et inversement.
  • Créez ou supprimez une base de données conteneur simultanément dans le même répertoire d'origine Oracle Home.
  • Créez ou supprimez une base de données conteneur tout en mettant à jour simultanément des marqueurs de grappe de machines virtuelles.

Une fois la base de données créée, le statut passe de Provisionnement à Disponible, et sur la page de détails de la nouvelle base de données, la section Chiffrement affiche le nom et l'OCID de la clé de chiffrement.

AVERTISSEMENT :

Ne supprimez pas la clé de chiffrement à partir de la chambre forte. Les bases de données protégées par la clé deviendraient indisponibles.

Voyez comment modifier les clés de chiffrement entre différentes méthodes de chiffrement.

  1. Naviguez jusqu'à votre grappe de machines virtuelles Exadata existante dans la console OCI. Sélectionnez l'onglet Bases de données. Sélectionnez ensuite la ressource de base de données que vous utilisez.
  2. Sélectionnez l'onglet Informations sur la base de données, puis faites défiler l'affichage vers le bas jusqu'à la section Gestion des clés.
  3. Dans la section Chiffrement, vérifiez que la valeur Gestion des clés est réglée à Oracle Wallet, puis sélectionnez le lien Modifier.
  4. Entrez les informations suivantes dans la page Modifier la gestion des clés.
    1. Sélectionnez votre service de gestion des clés comme chambre forte de clés Azure dans la liste déroulante.
    2. Sélectionnez le compartiment de chambre forte que vous utilisez, puis sélectionnez votre chambre forte disponible dans le compartiment.
    3. Sélectionnez le compartiment Clé que vous utilisez, puis sélectionnez votre clé dans la liste déroulante.
    4. Cliquez sur Enregistrer les modifications.
Note

La modification de la gestion des clés d'Azure Key Vault vers Oracle Wallet ne peut pas être effectuée à l'aide de l'API ou de la console OCI. Elle est uniquement prise en charge au moyen de la commande dbaascli tde fileToHsm. En outre, la commutation entre Azure Key Vault et OCI Vault ou Oracle Key Vault (OKV) n'est pas prise en charge.

Pour effectuer la rotation de la clé de chiffrement de la chambre forte de clés Azure d'une base de données conteneur, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données dont vous voulez effectuer la rotation des clés de chiffrement.
  4. Cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données dont vous voulez effectuer la rotation des clés de chiffrement.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la section Chiffrement, vérifiez que le service Gestion des clés est réglé à Chambre forte de clés Azure, puis cliquez sur le lien Effectuer une rotation.
  7. Dans la boîte de dialogue Effectuer la rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation pour confirmer l'action.
Note

La rotation des clés doit être effectuée au moyen de l'interface OCI. La rotation de la clé directement à partir de l'interface Azure n'a aucun effet sur la base de données.

Pour effectuer la rotation de la clé de chiffrement de la chambre forte de clés Azure d'une base de données enfichable, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable dont vous voulez effectuer la rotation des clés de chiffrement.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données pluggables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable à laquelle vous voulez effectuer la rotation des clés de chiffrement.

    La page des détails de la base de données enfichable s'affiche.

  8. Dans la section Chiffrement, la gestion des clés est définie en tant que chambre forte de clés Azure.
  9. Cliquez sur le lien Effectuer la rotation.
  10. Dans la boîte de dialogue Effectuer la rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation pour confirmer l'action.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez ces opérations d'API pour gérer l'intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure.

Tableau 5-9 Opération d'API pour gérer l'intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure

API Description
createOracleDbAzureConnector Saisit les détails propres à Azure à partir du client et automatise l'installation de l'agent ARC sur la grappe de machines virtuelles ExaDB-D.
deleteOracleDbAzureConnector Supprime la ressource de connecteur Azure et désinstalle l'agent Arc de la grappe de machines virtuelles ExaDB-D.
getOracleDbAzureConnector Extrait les détails d'une ressource de connecteur Azure spécifique.
listOracleDbAzureConnectors Répertorie les ressources de connecteur Azure en fonction des filtres spécifiés.
CreateMultiCloudResourceDiscovery Crée une nouvelle ressource de détection de ressources multinuages.
GetMultiCloudResourceDiscovery Extrait les détails d'une ressource de détection de ressources multinuages spécifique.
ListMultiCloudResourceDiscoveries Extrait une liste de toutes les ressources de détection de ressources multinuages.
CreateOracleDbAzureVaultAssociation Crée une nouvelle association entre une base de données Oracle DB et une chambre forte Azure.
GetOracleDbAzureVaultAssociation Extrait les détails d'une association de chambre forte Azure et Oracle DB spécifique.
ListOracleDbAzureVaultAssociations Extrait une liste de toutes les associations de chambres fortes Oracle DB Azure.
CreateCloudVMCluster Crée une grappe de machines virtuelles en nuage.
GetCloudVmCluster Obtient des informations sur la grappe de machines virtuelles en nuage spécifiée. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
ListCloudVmClusters Obtient la liste des grappes de machines virtuelles en nuage dans le compartiment spécifié. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
DeleteCloudVMCluster Supprime la grappe de machines virtuelles en nuage spécifiée. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
CreateDatabase Crée une nouvelle base de données dans le répertoire de base spécifié. Si la version de la base de données est fournie, elle doit correspondre à la version du répertoire de base. S'applique aux systèmes Exadata et Exadata Cloud@Customer.
CreateDatabaseFromBackup

Informations détaillées sur la création d'une base de données par restauration à partir d'une sauvegarde de base de données.

Avertissement : Oracle recommande d'éviter d'utiliser des informations confidentielles lorsque vous fournissez des valeurs de chaîne à l'aide de l'API.

MigrateVaultKey Modifie la gestion des clés de chiffrement de la gestion par le client, à l'aide du service de chambre forte, à la gestion par Oracle.
RotateVaultKey Crée une nouvelle version d'une clé existante du service de chambre forte.
RestoreDatabase Restaure une base de données en fonction des paramètres de demande que vous fournissez.