Gérer les clés de cryptage maître dans Azure Key Vault

Autonomous Database prend en charge les clés de cryptage transparent des données (TDE) gérées par le client qui résident dans Azure Key Vault.

Prérequis pour l'utilisation des clés de cryptage gérées par le client dans Azure Key Vault

Décrit les étapes préalables à l'utilisation des clés de cryptage maître gérées par le client sur Autonomous Database qui résident dans Azure Key Vault.

Limites :
  • Azure Key Vault n'est pris en charge que dans les régions commerciales.
  • Azure Key Vault n'est pas pris en charge dans les bases de données Autonomous Data Guard inter-régions.
  • Les formes et tailles de clé prises en charge sont les suivantes :

    • RSA 2048, 3072 et 4096
    • CE-P256, CE-P256K, CE-P384, CE-P521

Suivez les étapes ci-après :

  1. Créez une instance Autonomous Database qui utilise le paramètre de clé de cryptage par défaut Crypter à l'aide d'une clé gérée par Oracle. Pour plus d'informations, reportez-vous àProvisionnement d'une instance Autonomous Database.
    Remarque

    Les paramètres de clé de cryptage pour les clés gérées par le client dans Azure Key Vault ne sont pas disponibles pendant le processus de création. Les options sont disponibles après le provisionnement, lors de la modification de l'instance.
  2. Créez un coffre de clés Azure avec une clé maître de cryptage transparent des données (TDE).

    Pour plus d'informations, reportez-vous à A propos d'Azure Key Vault.

  3. Activez l'authentification de principal de service Azure avec l'annuaire Azure tenant_id pour autoriser l'accès de votre instance Autonomous Database à Azure Key Vault.
    1. Obtenez votre ID de locataire Microsoft Azure Active Directory.
    2. Connectez-vous à votre instance en tant qu'utilisateur ADMIN.
    3. Activez le principal de service Azure avec DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. La valeur de azure_tenantid est l'ID de répertoire Azure que vous avez obtenu à l'étape précédente.
      Par exemple :
      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Cela permet l'authentification du principal de service Azure et crée une application Azure pour Autonomous Database sur le portail Azure. Pour plus d'informations, reportez-vous à Activation du principal de service Azure.

  4. Donnez votre consentement à l'application Azure pour accéder aux ressources Azure à partir d'Autonomous Database.
    1. Sur la requête Autonomous Database CLOUD_INTEGRATIONS.

      Par exemple :

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vue CLOUD_INTEGRATIONS est disponible pour l'utilisateur ADMIN ou pour un utilisateur doté du rôle DWROLE.

    2. Dans un navigateur, ouvrez l'URL de consentement Azure indiquée par le paramètre azure_consent_url.

      Par exemple, copiez azure_consent_url à partir des résultats de la requête et entrez l'URL dans votre navigateur :

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      La page Droits d'accès demandés s'ouvre et affiche une demande de consentement, semblable à la suivante :

      Description de l'image azure_consent.png
      Description de l'illustration azure_consent.png
  5. Obtenez le nom de l'application Azure.
    1. Sur la requête Autonomous Database CLOUD_INTEGRATIONS.

      Par exemple :

      SELECT * FROM CLOUD_INTEGRATIONS;
    2. Copiez la valeur client_id incluse dans consent_url.
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...
    3. Recherchez client_id sur le portail Azure. L'ID de l'application s'affiche sous Microsoft Entra ID.
    4. Copiez l'ID d'application. Cette valeur est utilisée dans les étapes suivantes pour autoriser cette application à accéder aux clés dans Azure Key Vault.
  6. Affectez les rôles nécessaires à l'application Azure pour accéder à Azure Key Vault.
    1. Sur le portail Azure, accédez aux stratégies d'accès pour Azure Key Vault.

      La liste des applications ayant accès à ce coffre s'affiche.

    2. Sur la page Stratégies d'accès, cliquez sur + Créer pour créer une stratégie d'accès permettant à l'application d'accéder à ce coffre de clés.
    3. Pour les droits d'accès sur la page Créer une stratégie d'accès, sélectionnez tous les droits d'accès clés, notamment Key Management Operations, Cryptography Operations, Privileged Key Operations et Rotation Policy Operations, puis cliquez sur Suivant.
    4. Pour Principal, recherchez le nom de l'application.
    5. Sélectionnez le nom de l'application affichée et cliquez sur Suivant.
    6. Pour Application (facultatif), sélectionnez Suivant.
    7. Pour Vérifier + créer, vérifiez les détails de la stratégie et cliquez sur Créer.
    8. Sur la page de détails Azure Key Vault, cliquez sur Actualiser et recherchez le nom de l'application. Il est inclus dans la liste affichée des applications autorisées à accéder aux clés dans ce coffre de clés Azure.

    Pour plus d'informations, reportez-vous à Affectation d'une stratégie d'accès Key Vault.

Utilisation de clés de cryptage gérées par les clients sur Autonomous Database avec Azure Key Vault

Présente les étapes de cryptage de votre instance Autonomous Database à l'aide de clés de cryptage maître gérées par le client qui résident dans Azure Key Vault.

Suivez les étapes ci-après :

  1. Effectuez les étapes requises pour la clé maître gérée par le client. Reportez-vous à Prérequis pour l'utilisation des clés de cryptage gérées par le client dans Azure Key Vault.
  2. Dans la liste déroulante Actions supplémentaires de la page Détails, sélectionnez Gérer la clé de cryptage.
    Remarque

    Si vous utilisez déjà des clés TDE (Transparent Data Encryption) gérées par le client stockées dans Azure Key Vault et que vous souhaitez effectuer une rotation des clés, suivez ces étapes et sélectionnez une autre clé (sélectionnez une clé différente de la clé TDE maître actuellement sélectionnée).

  3. Sur la page Gérer la clé de cryptage, sélectionnez Crypter à l'aide d'une clé gérée par le client.
  4. Dans la liste déroulante Type de clé, sélectionnez Microsoft Azure.
  5. Dans le champ URI de coffre, entrez l'URI de coffre Azure.
    1. Dans le portail Azure, accédez à Azure Key Vault.
    2. Sélectionnez la page Présentation d'Azure Key Vault et copiez l'URI de coffre affiché.
    3. Entrez l'URI Azure Vault copié dans le champ URI de coffre de la page Gérer la clé de cryptage d'Autonomous Database.
  6. Dans le champ Nom d'une clé, entrez le nom de la clé Azure.
    1. Sur le portail Azure, accédez à Azure Key Vault et sélectionnez Clés. La liste des clés de ce coffre s'affiche.
    2. Dans la liste des clés affichées, copiez le nom de clé à utiliser.
    3. Entrez le nom de clé Azure copié dans le champ Nom de clé sur la page Gérer la clé de cryptage d'Autonomous Database.
  7. Cliquez sur Enregistrer.

L'état de cycle de vie passe à Mise à jour. Une fois la demande terminée, l'état de cycle de vie affiche Disponible.

Une fois la demande terminée, sur la console Oracle Cloud Infrastructure, les informations clés apparaissent sur la page Informations sur Autonomous Database sous l'en-tête Cryptage. Cette zone indique que la clé de cryptage est clé gérée par le client (Microsoft Azure) et affiche l'URI de coffre et le nom de clé.

Par exemple :
Description de l'image sec_az_results.png
Description de l'illustration sec_az_results.png