Gestion des clés de cryptage maître dans Azure Key Vault

Autonomous Database prend en charge les clés de cryptage transparent des données (TDE) gérées par le client qui résident dans Azure Key Vault.

Prérequis pour l'utilisation de clés de cryptage gérées par le client dans Azure Key Vault

Décrit les étapes prérequises permettant d'utiliser des clés de cryptage maître gérées par le client sur Autonomous Database résidant dans Azure Key Vault.

Limites :
  • Azure Key Vault est uniquement pris en charge dans les régions commerciales.
  • Azure Key Vault n'est pas pris en charge dans les bases de données Autonomous Data Guard inter-régions.
  • Les tailles et formes de clé prises en charge sont les suivantes :

    • RSA 2048, 3072 et 4096
    • EC-P256, EC-P256K, EC-P384, EC-P521

Suivez les étapes suivantes :

  1. Créez une instance Autonomous Database qui utilise le paramètre de clé de cryptage par défaut Crypter à l'aide d'une clé gérée par Oracle. Pour plus d'informations sur le provisionnement d'une instance Autonomous Database.
    Remarque

    Les paramètres de clé de cryptage des clés gérées par le client dans Azure Key Vault ne sont pas disponibles lors du processus de création. Les options sont disponibles après le provisionnement, lors de la modification de l'instance.
  2. Créez un coffre de clés Azure avec une clé maître de cryptage transparent des données (TDE).

    Pour plus d'informations, reportez-vous à A propos d'Azure Key Vault.

  3. Activez l'authentification de principal de service Azure avec l'annuaire Azure tenant_id pour autoriser votre instance Autonomous Database à accéder à Azure Key Vault.
    1. Obtenez votre ID de locataire Microsoft Azure Active Directory.
    2. Connectez-vous à votre instance en tant qu'utilisateur ADMIN.
    3. Activez le principal de service Azure avec DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. La valeur de azure_tenantid est l'ID de répertoire Azure obtenu à l'étape précédente.
      Exemples :
      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Cette commande active l'authentification de principal de service Azure et crée une application Azure pour Autonomous Database sur le portail Azure. Pour plus d'informations, reportez-vous à Activation du principal de service Azure.

  4. Fournissez le consentement de l'application Azure pour accéder aux ressources Azure à partir d'Autonomous Database.
    1. Sur Autonomous Database, interrogez CLOUD_INTEGRATIONS.

      Exemples :

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vue CLOUD_INTEGRATIONS est disponible pour l'utilisateur ADMIN ou pour un utilisateur disposant du rôle DWROLE.

    2. Dans un navigateur, ouvrez l'URL de consentement Azure indiquée par le paramètre azure_consent_url.

      Par exemple, copiez azure_consent_url à partir des résultats de la requête et entrez l'URL dans votre navigateur :

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      La page Autorisations demandées s'ouvre et affiche une demande de consentement semblable à ce qui suit :

      Description de azure_consent.png
      Description de l'image azure_consent.png
  5. Obtenez le nom de l'application Azure.
    1. Sur Autonomous Database, interrogez CLOUD_INTEGRATIONS.

      Exemples :

      SELECT * FROM CLOUD_INTEGRATIONS;
    2. Copiez la valeur client_id incluse dans consent_url.
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...
    3. Recherchez sur client_id dans le portail Azure. L'ID d'application s'affiche sous Microsoft Entra ID.
    4. Copiez l'ID d'application. Cette valeur est utilisée dans les étapes suivantes pour permettre à cette application d'accéder aux clés dans Azure Key Vault.
  6. Affectez les rôles nécessaires à l'application Azure pour accéder à Azure Key Vault.
    1. Dans le portail Azure, accédez aux stratégies d'accès pour Azure Key Vault.

      La liste des applications ayant accès à ce coffre-fort s'affiche.

    2. Sur la page Stratégies d'accès, cliquez sur + Créer afin de créer une stratégie d'accès permettant à l'application d'accéder à ce coffre de clés.
    3. Pour les droits d'accès sur la page Créer une stratégie d'accès, sélectionnez tous les droits d'accès de clé, notamment les opérations de gestion des clés, les opérations de cryptographie, les opérations de clé privilégiée et les opérations de stratégie de rotation, puis cliquez sur Suivant.
    4. Pour Principal, recherchez le nom de l'application.
    5. Sélectionnez le nom d'application affiché, puis cliquez sur Suivant.
    6. Pour Application (facultatif), sélectionnez Suivant.
    7. Pour vérifier + créer, vérifiez les détails de la stratégie et cliquez sur Créer.
    8. Sur la page de détails Azure Key Vault, cliquez sur Refresh et recherchez le nom de l'application. Il est inclus dans la liste affichée des applications autorisées à accéder aux clés dans ce coffre-fort de clés Azure.

    Pour plus d'informations, reportez-vous à Affectation d'une stratégie d'accès Key Vault.

Utilisation de clés de cryptage gérées par le client sur Autonomous Database avec Azure Key Vault

Présente les étapes de cryptage de votre instance Autonomous Database à l'aide de clés de cryptage maître gérées par le client qui résident dans Azure Key Vault.

Suivez les étapes suivantes :

  1. Effectuez les étapes prérequises relatives à la clé maître gérée par le client. Reportez-vous à Prérequis pour l'utilisation de clés de cryptage gérées par le client dans Azure Key Vault.
  2. Sur la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Gérer la clé de cryptage.
    Remarque

    Si vous utilisez déjà des clés de cryptage transparent des données (TDE) gérées par le client stockées dans Azure Key Vault et que vous voulez effectuer une rotation des clés, procédez comme suit et sélectionnez une autre clé (sélectionnez une clé différente de la clé TDE maître actuellement sélectionnée).

  3. Sur la page Gérer la clé de cryptage, sélectionnez Crypter à l'aide d'une clé gérée par le client.
  4. Dans la liste déroulante Type de clé, sélectionnez Microsoft Azure.
  5. Dans le champ URI de coffre, entrez l'URI de coffre Azure.
    1. Dans le portail Azure, accédez à Azure Key Vault.
    2. Sélectionnez la page Présentation Azure Key Vault et copiez l'URI de coffre affiché.
    3. Entrez l'URI Azure Vault copié dans le champ URI de coffre de la page Gérer la clé de cryptage d'Autonomous Database.
  6. Dans le champ Nom de clé, entrez le nom du nom de clé Azure.
    1. Dans le portail Azure, accédez à Azure Key Vault et sélectionnez Clés. La liste des clés de ce coffre apparaît.
    2. Dans la liste des clés affichées, copiez le nom de clé à utiliser.
    3. Entrez le nom de clé Azure copié dans le champ Nom de clé de la page Gérer la clé de cryptage d'Autonomous Database.
  7. Cliquez sur Enregistrer.

L'état de cycle de vie passe à Mise à jour. Une fois la demande terminée, l'état de cycle de vie affiche Disponible.

Une fois la demande terminée, dans la console Oracle Cloud Infrastructure, les informations clés apparaissent sur la page Informations sur l'instance Autonomous Database sous l'en-tête Cryptage. Cette zone indique que la clé de cryptage est clé gérée par le client (Microsoft Azure) et affiche l'URI du coffre et le nom de la clé.

Par exemple :
Description de sec_az_results.png
Description de l'illustration sec_az_results.png