Gérer les clés à l'aide d'un magasin de clés externe
Consultez les cas d'utilisation et les détails de mise en oeuvre d'un magasin de clés externe.
- Configuration d'un magasin de clés externe
Ce processus de configuration est crucial pour l'utilisation de magasins de clés externes afin de gérer et de sécuriser les clés de chiffrement de vos bases de données sur les systèmes Exadata. Assurez l'installation appropriée, la configuration des mots de passe et la configuration de la communication pour un fonctionnement transparent. - Storing the Keys in an External Keystore
You can now encrypt Oracle Databases on Oracle Exadata Database Service on Dedicated Infrastructure by storing the master encryption key (MEK) in an external keystore. - Restrictions lors de l'ajout d'une machine virtuelle à une grappe de machines virtuelles configurée avec un magasin de clés externe
Lorsqu'une base de données est protégée par un magasin de clés externe, l'ajout d'une nouvelle machine virtuelle à la grappe est restreint.
Rubrique parent : Guides pratiques
Configuration d'un magasin de clés externe
Ce processus de configuration est crucial pour l'utilisation de magasins de clés externes pour gérer et sécuriser les clés de chiffrement de vos bases de données sur les systèmes Exadata. Assurez l'installation appropriée, la configuration des mots de passe et la configuration de la communication pour un fonctionnement transparent.
Installation du serveur de magasin de clés externe : Vous êtes responsable de l'installation et de la configuration du serveur de magasin de clés externe à l'aide de la documentation fournie par le fournisseur.
Format du mot de passe du magasin de clés externe : Le format du mot de passe du magasin de clés externe varie en fonction du fournisseur.
Configuration du réseau : Assurez-vous qu'une connexion est établie entre la machine virtuelle invitée et le serveur de magasin de clés externe par :
- Configuration du réseau requis.
- Ouverture des ports nécessaires.
- Activation du protocole spécifié par le fournisseur du magasin de clés externe.
Installation de la bibliothèque PKCS#11 : Installez le logiciel associé à PKCS#11 et configurez la bibliothèque PKCS#11 sur les machines virtuelles en fonction de la documentation du fournisseur du magasin de clés externe.
Limites :
- Une seule bibliothèque PKCS#11 de fournisseur peut être présente sur une machine virtuelle invitée à la fois.
- External keystore interfaces cannot be used to associate keys with Oracle Databases on Oracle Exadata Database Service on Dedicated Infrastructure.
- Bien que l'interface de magasin de clés externe vous permette de voir les clés associées aux bases de données, elle ne prend peut-être pas en charge les opérations de gestion des clés directement à partir de l'interface.
Validation de communication : Vérifiez que la bibliothèque PKCS#11 peut communiquer avec le magasin de clés externe. Notez que l'automatisation du nuage n'effectue pas de vérifications préalables pour valider cette connexion. Si la clé est inaccessible, la base de données retournera une erreur avec les détails pertinents.
Rubrique parent : Gérer les clés à l'aide d'un magasin de clés externe
Stockage des clés dans un magasin de clés externe
Vous pouvez désormais chiffrer les bases de données Oracle sur le service Oracle Exadata Database Service on Dedicated Infrastructure en stockant la clé principale de chiffrement (MEK) dans un magasin de clés externe.
Versions de base de données applicables : 23ai et 19c
Lors du provisionnement d'une base de données, vous avez la possibilité de choisir parmi différentes solutions de gestion des clés : Oracle Software Keystore, Oracle Key Vault (OKV) ou un magasin de clés externe.
- La solution de gestion des clés sélectionnée s'applique à l'ensemble de la base de données conteneur et à toutes les bases de données enfichables qu'elle contient. Si une base de données conteneur est configurée pour utiliser un magasin de clés externe, toutes les bases de données enfichables associées utiliseront également le magasin de clés externe. Vous ne pouvez pas sélectionner d'autres solutions de gestion des clés au niveau de la base de données enfichable.
- Bien que la solution de gestion des clés doit être cohérente entre la base de données conteneur et ses bases de données enfichables, différentes bases de données enfichables au sein de la même base de données conteneur peuvent utiliser des clés de chiffrement distinctes, offrant ainsi une flexibilité dans l'utilisation des clés entre les bases de données enfichables.
Cette fonctionnalité garantit que les clés de chiffrement sensibles sont stockées de manière sécurisée dans un magasin de clés externe, ce qui offre une couche de sécurité supplémentaire pour vos bases de données.
Pour plus de renseignements, consultez la page https://support.oracle.com/support/?kmExternalId=FAQ2403.
Rubrique parent : Gérer les clés à l'aide d'un magasin de clés externe
Restrictions relatives à l'ajout d'une machine virtuelle à une grappe de machines virtuelles configurée avec un magasin de clés externe
Lorsqu'une base de données est protégée par un magasin de clés externe, l'ajout d'une nouvelle machine virtuelle au cluster est restreint.
Si une ou plusieurs bases de données d'une grappe de machines virtuelles sont configurées avec un magasin de clés externe, le message suivant s'affiche :
While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM.
Rubrique parent : Gérer les clés à l'aide d'un magasin de clés externe