Gestion des clés de cryptage maître dans AWS Key Management Service

Autonomous Database prend en charge les clés de cryptage transparent des données (TDE) gérées par le client qui résident dans AWS Key Management Service (KMS).

Prérequis pour l'utilisation de clés de cryptage gérées par le client dans AWS Key Management Service

Décrit les étapes préalables à l'utilisation des clés de cryptage maître gérées par le client qui résident dans le service de gestion des clés (KMS) Amazon Web Services (AWS) sur Autonomous Database.

Limites :
  • AWS KMS est uniquement pris en charge dans les régions commerciales.
  • AWS KMS n'est pas pris en charge dans les bases de données autonomes Autonomous Data Guard inter-régions.

Suivez les étapes suivantes :

  1. Créez une stratégie AWS qui accorde un accès en lecture à AWS KMS.

    Pour obtenir des instructions, reportez-vous à Création d'une stratégie IAM afin d'accéder à AWS KMS et à Exécution des prérequis de gestion AWS pour utiliser les noms de ressource Amazon.

    Par exemple, la stratégie ADBS_AWS_Policy1 a été créée :
    Description de sec_aws_policy.png
    Description de l'illustration sec_aws_policy.png

    La stratégie ADBS_AWS_Policy1 inclut le droit d'accès à KMS.
    Description de sec_aws_perm.png
    Description de l'illustration sec_aws_perm.png

  2. Créez un rôle AWS et attachez la stratégie au rôle.

    Pour obtenir des instructions, reportez-vous à Création d'un rôle IAM permettant d'accéder aux services AWS.

    Par exemple, un rôle ADBS_AWS_Role1 a été créé :



    Dans cet exemple, la stratégie ADBS_AWS_Policy1 est attachée au rôle ADBS_AWS_Role1 :



    Sur la page de détails de la stratégie, dans cet exemple, le rôle est répertorié sous Stratégie attachée en tant que droits d'accès :



  3. Indiquez la relation d'approbation du rôle.

    Modifiez la relation de confiance du rôle AWS pour inclure l'ARN utilisateur d'Oracle et un ID externe (OCID de location) pour plus de sécurité.

    1. Sur Autonomous Database, interrogez CLOUD_INTEGRATIONS.

      Exemples :

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      aws_arn           arn:aws:iam:…:user/oraclearn

      La vue CLOUD_INTEGRATIONS est disponible pour l'utilisateur ADMIN ou pour un utilisateur disposant du rôle DWROLE.

    2. Copiez PARAM_VALUE pour aws_user_arn et enregistrez la valeur pour une étape suivante.
    3. Obtenez l'OCID de location, nécessaire pour l'ID externe.

      Dans la console OCI, cliquez sur le profil, puis sélectionnez Location pour accéder à la page de détails de la location. Copiez l'OCID de location et enregistrez-le pour une étape ultérieure.

      Exemples :



    4. Sur le portail AWS, accédez aux entités sécurisées du rôle et faites défiler la page jusqu'à l'instruction "Principal".
    5. Pour "Principal", indiquez AWS en tant qu'ARN utilisateur Oracle enregistré et, pour "Condition", indiquez "sts:ExternalId" en tant qu'OCID enregistré.

Utilisation de clés de cryptage gérées par le client sur Autonomous Database avec AWS Key Management Service

Présente les étapes de cryptage de votre instance Autonomous Database à l'aide de clés de cryptage maître gérées par le client qui résident dans AWS Key Management Service (KMS).

Suivez les étapes suivantes :

  1. Suivez les étapes prérequises relatives à la clé de cryptage gérée par le client si nécessaire. Pour plus d'informations, reportez-vous à Prérequis pour l'utilisation de clés de cryptage gérées par le client dans AWS Key Management Service.
  2. Créez une instance Autonomous Database qui utilise le paramètre de clé de cryptage par défaut Crypter à l'aide d'une clé gérée par Oracle. Pour plus d'informations sur le provisionnement d'une instance Autonomous Database.
    Remarque

    Les paramètres de clé de cryptage des clés gérées par le client dans AWS Key Vault ne sont pas disponibles lors du processus de création d'instance Autonomous Database. Les options sont disponibles après le provisionnement, lors de la modification de l'instance.
  3. Sur la page Détails de l'instance Autonomous Database, cliquez sur Actions supplémentaires, puis sélectionnez Gérer la clé de cryptage.
    Remarque

    Si vous utilisez déjà des clés gérées par le client dans AWS KMS et que vous voulez effectuer une rotation des clés TDE, procédez comme suit et sélectionnez une autre clé (sélectionnez une clé différente de la clé de cryptage maître actuellement sélectionnée).
  4. Sur la page Gérer la clé de cryptage, sélectionnez Crypter à l'aide d'une clé gérée par le client.
  5. Dans la liste déroulante Type de clé, sélectionnez Amazon Web Services (AWS).
  6. Entrez l'URI de l'adresse de service.

    L'URI d'adresse de service est la région AWS où se trouve le KMS AWS.

    1. Accédez au portail AWS, accédez au KMS où se trouve votre clé.
    2. Recherchez le nom de la région répertorié dans la barre supérieure du portail.

      Par exemple, ce KMS se trouve dans la région nommée Ohio :



    3. Recherchez l'adresse correspondant à la région. Accédez à Adresses et quotas AWS Key Management Service et recherchez l'adresse du nom de la région AWS où se trouve votre KMS AWS.

      Par exemple, si le nom de région AWS est Ohio, l'adresse est kms.us-east-2.amazonaws.com.

    4. Entrez l'adresse pour l'URI d'adresse de service.
  7. Entrez l'ARN ou l'alias de clé.
    1. Accédez à la page des détails clés du portail AWS. Copiez l'alias ou l'ARN de la clé.

      Par exemple, l'alias de ADBS_TestAWSKMSKey est sélectionné :



    2. Entrez l'alias ou l'ARN de la clé dans le champ ARN ou alias de la clé.
      Si vous saisissez l'alias, ajoutez le préfixe alias/ à l'entrée. Par exemple, si l'alias est ADBS_TestAWSKMSKey, entrez :
      alias/ADBS_TestAWSKMSKey
      Si vous saisissez le numéro ARN, aucun préfixe n'est nécessaire. Par exemple, si l'ARN est arn.aws.kms.us-east-2:37807956...bd154, entrez :
      arn.aws.kms.us-east-2:37807956...bd154
  8. Entrez le rôle ARN (facultatif).
    1. Accédez à la page de détails du rôle sur le portail AWS.
    2. Copiez le numéro ARN du rôle.

      Par exemple, l'ARN pour ADBS_AWS_Role1 est copié :



    3. Entrez l'ARN copié dans le champ Rôle d'ARN.
  9. Entrez un ID externe (facultatif).

    Pour l'ID externe, entrez tenant_ocid.

  10. Cliquez sur Enregistrer.

L'état de cycle de vie passe à Mise à jour. Une fois la demande terminée, l'état de cycle de vie affiche Disponible.

Une fois la demande terminée, sur la console Oracle Cloud Infrastructure, les informations clés apparaissent sur la page de détails de l'instance Autonomous Database sous l'en-tête Cryptage.

Exemples :