Gestion des clés de cryptage maître dans AWS Key Management Service

Autonomous Database prend en charge les clés de cryptage transparent des données (TDE) gérées par le client qui résident dans AWS Key Management Service (KMS).

Prérequis pour l'utilisation des clés de cryptage gérées par le client dans AWS Key Management Service

Décrit les étapes préalables à l'utilisation des clés de cryptage maître gérées par le client qui résident dans Amazon Web Services (AWS) Key Management Service (KMS) sur Autonomous Database.

Limites :
  • AWS KMS n'est pris en charge que dans les régions commerciales.
  • AWS KMS n'est pas pris en charge dans les bases de données autonomes Autonomous Data Guard inter-régions.

Suivez les étapes ci-après :

  1. Créez une stratégie AWS qui accorde un accès en lecture à AWS KMS.

    Pour obtenir des instructions, reportez-vous à Création d'une stratégie IAM pour accéder à AWS KMS et à Exécution des prérequis AWS Management pour utiliser les noms de ressource Amazon (ARN) pour plus d'informations.

    Par exemple, la stratégie ADBS_AWS_Policy1 a été créée :
    Description de l'image sec_aws_policy.png
    Description de l'illustration sec_aws_policy.png

    La stratégie ADBS_AWS_Policy1 inclut le droit d'accès à KMS.
    Description de l'image sec_aws_perm.png
    Description de l'illustration sec_aws_perm.png

  2. Créez un rôle AWS et associez la stratégie au rôle.

    Pour obtenir des instructions, reportez-vous à Création d'un rôle IAM pour accéder aux services AWS.

    Par exemple, un rôle ADBS_AWS_Role1 a été créé :



    Dans cet exemple, la stratégie ADBS_AWS_Policy1 est attachée au rôle ADBS_AWS_Role1 :



    Sur la page de détails de la stratégie, dans cet exemple, le rôle est répertorié sous Attaché en tant que stratégie de droits d'accès :



  3. Indiquez une relation de confiance pour le rôle.

    Modifiez la relation de confiance du rôle AWS pour inclure l'ARN de l'utilisateur Oracle et un ID externe (OCID de location) pour une sécurité supplémentaire.

    1. Sur la requête Autonomous Database CLOUD_INTEGRATIONS.

      Par exemple :

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      La vue CLOUD_INTEGRATIONS est disponible pour l'utilisateur ADMIN ou pour un utilisateur doté du rôle DWROLE.

    2. Copiez le fichier PARAM_VALUE pour aws_user_arn et enregistrez la valeur pour une étape suivante.
    3. Obtenez l'OCID de location requis pour l'ID externe.

      Dans la console OCI, cliquez sur votre profil, puis sélectionnez Location pour accéder à la page de détails de la location. Copiez l'OCID de location et enregistrez-le pour une étape ultérieure.

      Par exemple :



    4. Sur le portail AWS, accédez aux entités de confiance du rôle et faites défiler l'écran jusqu'à l'instruction Principal.
    5. Pour "Principal", indiquez "AWS" en tant que nom ARN de l'utilisateur Oracle enregistré et pour "Condition", indiquez "sts:ExternalId" en tant qu'OCID enregistré.

Utilisation de clés de cryptage gérées par les clients sur Autonomous Database avec AWS Key Management Service

Présente les étapes de cryptage de votre instance Autonomous Database à l'aide de clés de cryptage maître gérées par le client qui résident dans AWS Key Management Service (KMS).

Suivez les étapes ci-après :

  1. Effectuez les étapes prérequises requises pour la clé de cryptage gérée par le client, si nécessaire. Pour plus d'informations, reportez-vous à Prérequis pour l'utilisation des clés de cryptage gérées par le client dans AWS Key Management Service.
  2. Créez une instance Autonomous Database qui utilise le paramètre de clé de cryptage par défaut Crypter à l'aide d'une clé gérée par Oracle. Pour plus d'informations, reportez-vous àProvisionnement d'une instance Autonomous Database.
    Remarque

    Les paramètres de clé de cryptage pour les clés gérées par le client dans AWS Key Vault ne sont pas disponibles lors du processus de création d'instance Autonomous Database. Les options sont disponibles après le provisionnement, lors de la modification de l'instance.
  3. Sur la page Détails de l'instance Autonomous Database, cliquez sur Actions supplémentaires, puis sélectionnez Gérer la clé de cryptage.
    Remarque

    Si vous utilisez déjà des clés gérées par le client dans AWS KMS et que vous souhaitez effectuer une rotation des clés TDE, suivez ces étapes et sélectionnez une autre clé (sélectionnez une clé différente de la clé de cryptage maître actuellement sélectionnée).
  4. Sur la page Gérer la clé de cryptage, sélectionnez Crypter à l'aide d'une clé gérée par le client.
  5. Dans la liste déroulante Type de clé, sélectionnez Amazon Web Services (AWS).
  6. Entrez l'URI de l'adresse de service.

    L'URI d'adresse de service est la région AWS dans laquelle le KMS AWS est situé.

    1. Accédez au portail AWS, puis au KMS où se trouve votre clé.
    2. Recherchez le nom de région répertorié dans la barre supérieure du portail.

      Par exemple, ce KMS se trouve dans la région nommée Ohio :



    3. Recherchez l'adresse correspondant à la région. Accédez à Adresses et quotas du service de gestion des clés AWS et recherchez l'adresse du nom de région AWS dans laquelle se trouve votre service KMS AWS.

      Par exemple, si le nom de région AWS est Ohio, l'adresse est kms.us-east-2.amazonaws.com.

    4. Entrez l'adresse de l'URI d'adresse de service.
  7. Saisissez l'ARN ou l'alias de clé.
    1. Accédez à la page de détails clés du portail AWS. Copiez l'alias ou l'ARN de la clé.

      Par exemple, l'alias de ADBS_TestAWSKMSKey est sélectionné :



    2. Entrez l'alias ou l'ARN de la clé dans le champ ARN ou alias de clé.
      Si vous saisissez l'alias, ajoutez le préfixe alias/ à l'entrée. Par exemple, si l'alias est ADBS_TestAWSKMSKey, entrez :
      alias/ADBS_TestAWSKMSKey
      Si vous saisissez le numéro ARN, aucun préfixe n'est nécessaire. Par exemple, si l'ARN est arn.aws.kms.us-east-2:37807956...bd154, entrez :
      arn.aws.kms.us-east-2:37807956...bd154
  8. Saisissez le rôle ARN (facultatif).
    1. Accédez à la page de détails du rôle sur le portail AWS.
    2. Copiez l'ARN du rôle.

      Par exemple, le numéro ARN de ADBS_AWS_Role1 est copié :



    3. Entrez l'ARN copié dans le champ Rôle AR.
  9. Saisissez l'ID externe (facultatif).

    Pour l'ID externe, entrez tenant_ocid.

  10. Cliquez sur Enregistrer.

L'état de cycle de vie passe à Mise à jour. Une fois la demande terminée, l'état de cycle de vie affiche Disponible.

Une fois la demande terminée, sur la console Oracle Cloud Infrastructure, les informations clés apparaissent sur la page de détails de l'instance Autonomous Database sous l'en-tête Cryptage.

Par exemple :