Documentation sur Oracle Cloud Infrastructure

Intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure

Le service Exadata Database sur Oracle Database@Azure vous permet de stocker les clés de chiffrement transparent des données (TDE) de votre base de données, également appelées clés principales de chiffrement (MEK) dans un portefeuille Oracle basé sur des fichiers ou dans le service de chambre forte OCI.

Cette fonction permet aux utilisateurs du service Exadata Database sur Oracle Database@Azure d'utiliser le module de sécurité matériel géré Azure Key Vault (AKV), AKV Premium et AKV Standard pour la gestion des clés MEK TDE. Cette intégration permet aux applications, aux services Azure et aux bases de données d'utiliser une solution de gestion des clés centralisée pour une sécurité améliorée et une gestion simplifiée du cycle de vie des clés.

Rubrique parent : Guides pratiques

Préalables

Les étapes suivantes doivent être effectuées pour que vous puissiez configurer Azure Key Vault en tant que gestion des clés pour vos bases de données.

Les étapes suivantes doivent être effectuées pour que vous puissiez configurer Azure Key Vault en tant que service de gestion des clés au niveau de la grappe de machines virtuelles Exadata.

  1. Vous devez d'abord terminer l'enregistrement requis pour les sous-réseaux délégués afin d'utiliser les fonctions de réseau avancées mentionnées dans Planification du réseau pour Oracle Database@Azure, puis créer un réseau virtuel Azure avec au moins un sous-réseau délégué qui sera utilisé par la grappe de machines virtuelles Exadata.
  2. Provisionner une grappe de machines virtuelles Exadata au moyen de l'interface Azure. Voir Provisionnement d'une grappe de machines virtuelles Exadata pour Azure pour obtenir des instructions étape par étape.
  3. Vérifiez les exigences de réseau pour déterminer si la grappe de machines virtuelles se connectera à Azure KMS au moyen d'un réseau public ou d'une connectivité privée. Pour plus d'informations, voir Exigences relatives au réseau de l'agent de machine connectée ou Exigences relatives au réseau pour la création d'un connecteur d'identité et de ressources KMS pour les étapes spécifiques à suivre.
  4. Assurez-vous que la politique suivante est créée avant de créer la base de données.
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

Exigences relatives au réseau pour créer un connecteur d'identité et des ressources KMS

Les ressources du service KMS (Azure Key Management Service) prennent en charge la connectivité publique et privée. Le module de sécurité matériel géré par Azure Key Vault nécessite une connectivité privée, alors que les niveaux Azure Key Vault Premium et Standard prennent en charge les options de connectivité publique et privée.

Les sections suivantes décrivent les exigences relatives au réseau pour l'accès public au réseau.

Configuration à l'aide d'un réseau privé

  • Configuration du réseau de l'agent d'arc

    Pour créer un connecteur d'identité sur un réseau privé, une étendue de lien privé d'arc Azure et un point d'extrémité privé doivent être configurés au moyen du portail Azure. Reportez-vous à la documentation Azure pour des étapes détaillées sur la configuration de la connectivité privée pour les serveurs activés pour l'arc Azure.

    Note

    Le point d'extrémité privé doit être créé dans un sous-réseau non délégué dans le réseau virtuel Azure (VNet) qui héberge la grappe de machines virtuelles Oracle Exadata. Les points d'extrémité privés ne sont pas pris en charge dans les sous-réseaux délégués. Par défaut, les grappes de machines virtuelles Exadata sont provisionnées dans des sous-réseaux délégués.

    Le module de sécurité matériel géré nécessite une connectivité privée et n'est pris en charge que dans les régions Azure qui offrent des fonctions de réseau avancé. Pour obtenir la liste des régions prises en charge, voir Planification du réseau pour Oracle Database@Azure.

    Pour permettre la communication avec des ressources d'agent privé sur le réseau privé, une zone DNS privée et les enregistrements A correspondants doivent être créés dans la configuration DNS du VCN dans votre location Oracle Cloud Infrastructure (OCI).

    La configuration DNS du point d'extrémité privé associé à la portée du lien privé doit inclure les adresses de ressource d'agent privé nécessaires. Pour plus d'informations, voir la section URL sous Exigences relatives au réseau de l'agent de machine connectée.

    Tout d'abord, extrayez la liste des adresses requises à partir du portail Azure. Mettez ensuite à jour l'entrée de zone DNS dans OCI pour terminer la configuration.

    Étapes d'extraction de la liste des adresses IP requises :
    1. Connectez-vous au portail Azure.
    2. Recherchez "Azure Arc Private link scopes".
    3. Sélectionnez une étendue de lien privé dans la liste.
    4. Dans le menu Configure, cliquez sur Private endpoint connections.
    5. Cliquez sur le lien Private endpoint.
    6. Sous Paramètres, sélectionnez Configuration DNS pour afficher les adresses requises.

    Exemple : Ajouter une ressource d'agent privé (par exemple, gbl.his.arc.azure.com)

    L'adresse IP associée à gbl.his.arc.azure.com, ainsi que toutes les autres ressources d'agent requises, doivent être définies dans la zone DNS privée.

    Étapes :

    1. Créer une zone privée
      Pour plus d'informations, voir Création d'une zone DNS privée.
      • Type de zone : Principal
      • Nom de la zone : <Nom descriptif>
      • Compartiment : <Nom du compartiment ou OCID>
    2. Ajouter des enregistrements DNS
      • Naviguez jusqu'à l'onglet Enregistrements de la page Détails de la zone.
      • Cliquez sur Manage Records, puis sur Add Record :
        • Nom : gbl.his.arc.azure.com
        • Type : A (adresse IPv4)
        • Durée de vie (secondes) : 3600
        • Mode RDATA : De base
        • Adresse : <Adresse IP privée>
    3. Publier la zone
    4. Assurez-vous que l'enregistrement apparaît dans la page de la zone après la publication.
    5. Vérifiez que la connectivité aux services Azure à partir de la grappe de machines virtuelles est acheminée par le réseau privé.

    Même avec la connectivité privée, les points d'extrémité suivants doivent être acheminés au moyen de la passerelle NAT Azure.

    Ressources d'agent :

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Configuration des points d'extrémité privés du service de chambre forte de clés Azure

    Pour accéder aux points d'extrémité des chambres fortes de clés Azure au moyen d'une connectivité privée, vous devez créer une zone DNS. En outre, un enregistrement A mappant le nom de domaine complet de la ressource à l'adresse IP du point d'extrémité privé correspondant doit être ajouté dans la location OCI.

    Pour accéder au service de module de sécurité matériel géré au moyen d'un point d'extrémité privé de votre réseau virtuel hébergeant une grappe de machines virtuelles Exadata, vous pouvez établir une connexion de lien privé au module de sécurité matériel géré et l'associer au sous-réseau par défaut ou à un sous-réseau non délégué. Suivez les étapes décrites dans la section "Configuration à l'aide d'un réseau privé" de la rubrique "Exigences réseau pour créer un connecteur d'identité et des ressources KMS". Pour plus d'informations, voir Intégrer un module de sécurité matériel géré à l'aide d'un lien privé Azure.

Configuration à l'aide du réseau public

Créez une passerelle NAT dans le portail Azure et associez-la au sous-réseau délégué de la grappe de machines virtuelles Exadata. Pour plus d'informations, voir Créer une passerelle NAT et l'associer à un sous-réseau existant.

Utilisation de la console pour gérer l'intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure

Voyez comment gérer l'intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure.

Rubrique parent : Intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure

La création d'un connecteur d'identité installe l'agent d'arc Azure sur les machines virtuelles de grappe de machines virtuelles Exadata, en les enregistrant en tant que machines virtuelles activées pour l'arc Azure.

Cela permet une communication sécurisée avec le service KMS (Azure Key Management Service) à l'aide de l'identité Azure générée par l'agent Arc. L'agent Arc Azure peut communiquer avec les services Azure via un réseau public ou une configuration de connectivité privée. En savoir plus sur l'arc Azure.

Chaque grappe de machines virtuelles Exadata doit avoir un connecteur d'identité activé pour accéder aux ressources Azure. Le connecteur d'identité établit une connexion publique ou privée entre la grappe de machines virtuelles Exadata et les ressources Azure Key Management, selon les rôles affectés.

Pour générer un jeton d'accès pour votre compte Azure courant, voir az account get-access-token.

Vous pouvez créer un connecteur d'identité de l'une des deux façons suivantes : à l'aide de l'interface Oracle Exadata Database Service on Dedicated Infrastructure ou de l'interface Database Multicloud Integrations.

Service Oracle Exadata Database sur une infrastructure dédiée

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. From the left menu, click Exadata VM Clusters under Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Dans la liste des grappes de machines virtuelles Exadata, sélectionnez la grappe que vous utilisez.
  4. Sélectionnez Informations sur la grappe de MV, puis naviguez jusqu'à Connecteur d'identité situé sous Informations sur plusieurs nuages. Cliquez sur le lien Créer.
    Note

    Si un connecteur d'identité n'a pas été créé précédemment, il est affiché comme Aucun.

  5. Les champs Nom du connecteur d'identité, Grappe de machines virtuelles Exadata, ID abonnement Azure et Nom du groupe de ressources Azure sont en lecture seule et seront alimentés avec des valeurs.
  6. Entrez votre ID locataire Azure et votre jeton d'accès.
  7. Développez la section Afficher les options avancées.

    Les sections Informations sur la connectivité privée et Marqueurs sont alimentées.

    Pour activer une connexion de point d'extrémité privé, entrez le nom de la portée du lien privé d'arc Azure.

  8. Pour ajouter des marqueurs pour vos ressources, cliquez sur Ajouter un marqueur, puis entrez les valeurs requises.
  9. Vérifiez vos sélections, puis cliquez sur Créer pour créer le connecteur d'identité.

Intégrations de base de données multinuage

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Intégrations multinuage de base de données.
  2. Sélectionnez Connecteurs d'identité dans le menu de navigation de gauche.
  3. Dans la liste déroulante Compartiment, sélectionnez le compartiment que vous utilisez.
  4. Une fois que vous avez sélectionné votre compartiment, le champ Nom du connecteur d'identité alimente automatiquement un nom.

    Par défaut, le type de connecteur d'identité est sélectionné comme Azure.

  5. Sélectionnez AgentARC comme mécanisme d'identité.
  6. Sélectionnez votre compartiment dans la liste Sélectionner un compartiment de grappe de machines virtuelles Exadata, puis sélectionnez votre grappe de machines virtuelles Exadata dans la liste Sélectionner une grappe de machines virtuelles Exadata.
  7. Entrez votre ID locataire Azure. Les champs ID abonnement Azure et Nom du groupe de ressources Azure alimentent des valeurs en fonction de votre sélection de grappe de machines virtuelles Exadata.
  8. Entrez un jeton d'accès.
  9. Développez la section Afficher les options avancées. Les sections Informations sur la connectivité privée et Marqueurs sont alimentées. Ces champs sont facultatifs.
  10. Pour ajouter des marqueurs pour vos ressources, cliquez sur Ajouter un marqueur, puis entrez les valeurs requises.
  11. Vérifiez vos sélections, puis cliquez sur Créer.

Pour voir les détails d'un connecteur d'identité, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Under Oracle Exadata Database Service on Dedicated Infrastructure, click Exadata VM Clusters.
  3. Cliquez sur le nom de la grappe de machines virtuelles de votre choix.
  4. Dans la page Détails de la grappe de MV obtenue, dans la section Informations sur plusieurs nuages, vérifiez que le champ Connecteur d'identité affiche le connecteur d'identité créé précédemment.
  5. Cliquez sur le nom du connecteur d'identité pour en voir les détails.

Cette étape installe la bibliothèque requise sur la grappe de machines virtuelles pour prendre en charge l'intégration d'Azure Key Vault. Assurez-vous qu'un connecteur d'identité est créé avant d'activer Azure Key Management sur la grappe de machines virtuelles Exadata.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Under Oracle Exadata Database Service on Dedicated Infrastructure, click Exadata VM Clusters.
  3. Cliquez sur le nom de la grappe de machines virtuelles de votre choix.
  4. Dans la page Détails de la grappe de MV obtenue, dans la section Informations sur plusieurs nuages, cliquez sur le lien Activer à côté du magasin de clés Azure.
  5. Dans la boîte de dialogue Activer la gestion des clés Azure qui s'affiche, cliquez sur Activer pour confirmer l'opération.

    La confirmation de l'action installera une bibliothèque sur votre grappe de machines virtuelles Exadata.

    Le statut du magasin de clés Azure passe de Désactivé à Activé.

  6. Pour désactiver le magasin de clés Azure, cliquez sur le lien Désactiver.
  7. Dans la boîte de dialogue Désactiver la gestion des clés Azure qui s'affiche, cliquez sur Désactiver pour confirmer l'opération.

    La désactivation de la gestion des clés Azure supprime la bibliothèque installée lors de l'activation, ce qui aura une incidence sur la disponibilité des bases de données configurées pour l'utiliser.

Note

La gestion des clés Azure est configurée au niveau de la grappe de machines virtuelles, ce qui nécessite que toutes les bases de données de la grappe utilisent la même solution de gestion des clés. Toutefois, les bases de données qui utilisent Oracle Wallet peuvent coexister avec celles qui utilisent Azure Key Vault dans le même cluster.

Créez un module de sécurité matériel géré pour Azure Key Vault, Azure Key Vault Premium ou Azure Key Vault Standard, puis affectez l'autorisation.

Pour plus d'informations, voir Créer une chambre forte de clés à l'aide du portail Azure.

Note

There are specific roles that must be assigned to the group to grant the necessary permissions for accessing and managing Azure Key Vault Managed HSM, Azure Key Vault Premium, and Azure Key Vault Standard resources.
  1. Créez un groupe et ajoutez des membres.

    Les groupes Azure vous permettent de gérer les utilisateurs en leur affectant les mêmes accès et autorisations aux ressources.

  2. Affectez les rôles suivants en fonction du type de chambre forte de clés Azure :
    • Pour le module de sécurité matériel géré :
      • IAM : Lecteur
      • Local RBAC : agent de cryptage HSM géré + utilisateur de cryptage HSM géré
    • Pour Key Vault Premium et Standard
      • IAM : Lecteur + Key Vault Crypto Officer

Pour des étapes détaillées, voir Affecter des rôles Azure à l'aide du portail Azure.

Il s'agit d'une autre façon d'enregistrer vos chambres fortes de clés Azure à partir de la console OCI. Si vous avez déjà enregistré votre chambre forte lors de la création d'une base de données dans votre grappe de machines virtuelles Exadata existante, vous pouvez ignorer cette étape.

  1. À partir de la console OCI, naviguez jusqu'à Intégrations multinuages de base de données, puis sélectionnez Intégration Microsoft Azure. Dans la section Intégration Microsoft Azure, sélectionnez Chambres fortes de clés Azure.
    Note

    Au moins une clé doit être créée dans la chambre forte sur le portail Azure pour que l'enregistrement réussisse.
  2. Sélectionnez le bouton Enregistrer les chambres fortes de clés Azure.
  3. Dans la liste déroulante, sélectionnez votre compartiment.
  4. Pour détecter une chambre forte de clés Azure ou un module de sécurité matériel géré dans le même abonnement dans une location Azure (connecteur d'identité et chambre forte de clés Azure ou module de sécurité matériel géré dans le même abonnement) et enregistrer des clés :
    1. Dans la section Chambres fortes de clés Azure, sélectionnez un connecteur d'identité dans la liste Découvrir les chambres fortes de clés Azure à l'aide d'un connecteur.
    2. Cliquez sur Détecter.

      La liste des nom(s) de chambre forte s'affiche.

    3. Cochez la case située à côté de Nom de la chambre forte.
  5. Pour détecter une seule chambre forte de clés Azure ou un module de sécurité matériel géré dans le même abonnement dans une location Azure, fournissez l'ID ressource complet dans l'un des formats suivants :

    Pour Azure Key Vault :

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>

    Pour le module de sécurité matériel géré Azure :

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/managedHSMs/<hsm-name>
  6. Pour détecter Azure Key Vault ou le module de sécurité matériel géré dans les abonnements d'une location Azure (connecteur d'identité et chambre forte de clés Azure ou module de sécurité matériel géré dans différents abonnements) et enregistrer des clés :
    1. Dans la section Chambres fortes de clés Azure, sélectionnez un connecteur d'identité dans la liste Découvrir les chambres fortes de clés Azure à l'aide d'un connecteur.
    2. Indiquez l'ID ressource complet de la chambre forte de clés Azure dans le format suivant.
      /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
    3. Cliquez sur Détecter.
  7. Si vous voulez ajouter des marqueurs pour vos ressources, développez la section Options avancées, puis cliquez sur Ajouter un marqueur.
  8. Cliquez sur Enregistrer pour enregistrer les chambres fortes localement dans OCI.
  9. Once you register the vault, you can view the Display name, State, Type, Azure resource group,, and Created information of the vaults in the list.
  10. Sélectionnez la chambre forte que vous utilisez, puis cliquez sur l'onglet Associations de connecteur d'identité, qui répertorie les associations de connecteur d'identité dans le compartiment courant.
    Note

    Une association par défaut est créée automatiquement entre la chambre forte et le connecteur d'identité utilisé lors du processus d'enregistrement de la chambre forte. Cela permet d'utiliser la chambre forte sur la grappe de machines virtuelles Exadata associée à ce connecteur d'identité spécifique.

    Si vous voulez utiliser la même chambre forte dans d'autres grappes enregistrées avec des connecteurs d'identité différents (c'est-à-dire, pas celui utilisé lors de la détection de chambre forte), vous devez créer explicitement une association entre la chambre forte et ces connecteurs d'identité supplémentaires.

  11. Cliquez sur Créer une association.
  12. Dans la liste déroulante, sélectionnez votre compartiment, votre nom d'association de chambre forte de clés Azure et votre connecteur d'identités.
  13. Si vous développez la section Options avancées, vous pouvez ajouter des marqueurs pour organiser vos ressources.
  14. Vérifiez vos sélections, puis cliquez sur Créer.

Créer une base de données et utiliser Azure Key Vault comme solution de gestion des clés

Cette rubrique décrit uniquement les étapes de création d'une base de données et d'utilisation d'Azure Key Vault comme solution de gestion des clés.

Pour la procédure générique de création de base de données, voir Pour créer une base de données dans une grappe de machines virtuelles existante.

Préalables

Avant de créer votre première base de données et de sélectionner Azure Key Vault pour la gestion des clés, assurez-vous que les préalables suivants sont satisfaits :

  • Tous les préalables au réseau décrits dans la section Exigences relatives au réseau pour la création d'un connecteur d'identité et de ressources KMS sont satisfaits
  • Le connecteur d'identité est créé et disponible pour utilisation
  • La gestion des clés Azure est activée au niveau de la grappe de machines virtuelles
  • La grappe de machines virtuelles dispose des autorisations nécessaires pour accéder aux chambres fortes
  • Les chambres fortes sont enregistrées en tant que ressources OCI

Limites

  • Restriction des machines virtuelles : L'ajustement d'une grappe de machines virtuelles n'étend pas automatiquement les bases de données qui utilisent Azure Key Vault à la nouvelle machine virtuelle ajoutée. Pour terminer l'extension, vous devez mettre à jour le connecteur d'identité existant pour la grappe de machines virtuelles Exadata en fournissant le jeton d'accès Azure. Après avoir mis à jour le connecteur d'identité, exécutez la commande dbaascli database addInstance pour ajouter l'instance de base de données à la nouvelle machine virtuelle.
  • Restrictions de Data Guard :
    • Lors de la création d'une base de données de secours pour une base principale qui utilise Azure Key Vault, assurez-vous que la grappe de machines virtuelles cible comporte un connecteur d'identité actif, que la gestion des clés Azure est activée et que l'association requise entre le connecteur d'identité et la chambre forte de clés est correctement configurée.
    • Les opérations de restauration inter-région de Data Guard et de base de données ne sont pas prises en charge pour les bases de données qui utilisent Azure Key Vault pour la gestion des clés.
  • Restriction des opérations sur la base de données enfichable : Les opérations sur la base de données enfichable distante, telles que le clonage, l'actualisation et le déplacement, ne sont prises en charge que si les bases de données source et de destination utilisent la même clé TDE.

Étapes

Note

Si la gestion des clés Azure est activée au niveau de la grappe de machines virtuelles, vous disposez de deux options de gestion des clés : Oracle Wallet et Chambre forte de clés Azure.

  1. Dans la section Chiffrement, sélectionnez Chambre forte de clés Azure.
  2. Sélectionnez une chambre forte enregistrée disponible dans votre compartiment.
    Note

    • La liste Chambre forte alimente uniquement les chambres fortes enregistrées.

      Cliquez sur le lien Enregistrer de nouvelles chambres fortes pour enregistrer votre chambre forte. Dans la page Enregistrer les chambres fortes de clés Azure, sélectionnez votre chambre forte, puis cliquez sur Enregistrer.

    • Au moins une clé doit être enregistrée dans vos chambres fortes.
  3. Sélectionnez la clé disponible dans votre compartiment.

Voyez comment modifier les clés de chiffrement entre différentes méthodes de chiffrement.

  1. Naviguez jusqu'à votre grappe de machines virtuelles Exadata existante dans la console OCI. Sélectionnez l'onglet Bases de données. Sélectionnez ensuite la ressource de base de données que vous utilisez.
  2. Sélectionnez l'onglet Informations sur la base de données, puis faites défiler l'affichage vers le bas jusqu'à la section Gestion des clés.
  3. Dans la section Chiffrement, vérifiez que la valeur Gestion des clés est réglée à Oracle Wallet, puis sélectionnez le lien Modifier.
  4. Entrez les informations suivantes dans la page Modifier la gestion des clés.
    1. Sélectionnez votre service de gestion des clés comme chambre forte de clés Azure dans la liste déroulante.
    2. Sélectionnez le compartiment de chambre forte que vous utilisez, puis sélectionnez votre chambre forte disponible dans le compartiment.
    3. Sélectionnez le compartiment Clé que vous utilisez, puis sélectionnez votre clé dans la liste déroulante.
    4. Cliquez sur Enregistrer les modifications.
Note

La modification de la gestion des clés d'Azure Key Vault vers Oracle Wallet ne peut pas être effectuée à l'aide de l'API ou de la console OCI. Elle est uniquement prise en charge au moyen de la commande dbaascli tde fileToHsm. En outre, la commutation entre Azure Key Vault et OCI Vault ou Oracle Key Vault (OKV) n'est pas prise en charge.

Pour effectuer la rotation de la clé de chiffrement de la chambre forte de clés Azure d'une base de données conteneur, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données dont vous voulez effectuer la rotation des clés de chiffrement.
  4. Cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données dont vous voulez effectuer la rotation des clés de chiffrement.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la section Chiffrement, vérifiez que le service Gestion des clés est réglé à Chambre forte de clés Azure, puis cliquez sur le lien Effectuer une rotation.
  7. Dans la boîte de dialogue Effectuer la rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation pour confirmer l'action.
Note

La rotation des clés doit être effectuée au moyen de l'interface OCI. La rotation de la clé directement à partir de l'interface Azure n'a aucun effet sur la base de données.

Pour effectuer la rotation de la clé de chiffrement de la chambre forte de clés Azure d'une base de données enfichable, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable dont vous voulez effectuer la rotation des clés de chiffrement.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données pluggables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable à laquelle vous voulez effectuer la rotation des clés de chiffrement.

    La page des détails de la base de données enfichable s'affiche.

  8. Dans la section Chiffrement, la gestion des clés est définie en tant que chambre forte de clés Azure.
  9. Cliquez sur le lien Effectuer la rotation.
  10. Dans la boîte de dialogue Effectuer la rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation pour confirmer l'action.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez ces opérations d'API pour gérer l'intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure.

Tableau 5-10 Opération d'API pour gérer l'intégration d'Azure Key Vault pour le service Exadata Database sur Oracle Database@Azure

API Description
createOracleDbAzureConnector Saisit les détails propres à Azure à partir du client et automatise l'installation de l'agent ARC sur la grappe de machines virtuelles ExaDB-D.
deleteOracleDbAzureConnector Supprime la ressource de connecteur Azure et désinstalle l'agent Arc de la grappe de machines virtuelles ExaDB-D.
getOracleDbAzureConnector Extrait les détails d'une ressource de connecteur Azure spécifique.
listOracleDbAzureConnectors Répertorie les ressources de connecteur Azure en fonction des filtres spécifiés.
CreateMultiCloudResourceDiscovery Crée une nouvelle ressource de détection de ressources multinuages.
GetMultiCloudResourceDiscovery Extrait les détails d'une ressource de détection de ressources multinuages spécifique.
ListMultiCloudResourceDiscoveries Extrait une liste de toutes les ressources de détection de ressources multinuages.
CreateOracleDbAzureVaultAssociation Crée une nouvelle association entre une base de données Oracle DB et une chambre forte Azure.
GetOracleDbAzureVaultAssociation Extrait les détails d'une association de chambre forte Azure et Oracle DB spécifique.
ListOracleDbAzureVaultAssociations Extrait une liste de toutes les associations de chambres fortes Oracle DB Azure.
CreateCloudVMCluster Crée une grappe de machines virtuelles en nuage.
GetCloudVmCluster Obtient des informations sur la grappe de machines virtuelles en nuage spécifiée. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
ListCloudVmClusters Obtient la liste des grappes de machines virtuelles en nuage dans le compartiment spécifié. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
DeleteCloudVMCluster Supprime la grappe de machines virtuelles en nuage spécifiée. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
CreateDatabase Crée une nouvelle base de données dans le répertoire de base spécifié. Si la version de la base de données est fournie, elle doit correspondre à la version du répertoire de base. S'applique aux systèmes Exadata et Exadata Cloud@Customer.
CreateDatabaseFromBackup

Informations détaillées sur la création d'une base de données par restauration à partir d'une sauvegarde de base de données.

Avertissement : Oracle recommande d'éviter d'utiliser des informations confidentielles lorsque vous fournissez des valeurs de chaîne à l'aide de l'API.

MigrateVaultKey Modifie la gestion des clés de chiffrement de la gestion par le client, à l'aide du service de chambre forte, à la gestion par Oracle.
RotateVaultKey Crée une nouvelle version d'une clé existante du service de chambre forte.
RestoreDatabase Restaure une base de données en fonction des paramètres de demande que vous fournissez.