Décrit les étapes prérequises permettant d'utiliser des clés de cryptage maître gérées par le client sur Autonomous Database résidant dans Azure Key Vault.

1. Créez une instance Autonomous Database qui utilise le paramètre de clé de cryptage par défaut Crypter à l'aide d'une clé gérée par Oracle. Pour plus d'informations sur le provisionnement d'une instance Autonomous Database.
   Remarque
   
   Les paramètres de clé de cryptage des clés gérées par le client dans Azure Key Vault ne sont pas disponibles lors du processus de création. Les options sont disponibles après le provisionnement, lors de la modification de l'instance.
2. Créez un coffre de clés Azure avec une clé maître de cryptage transparent des données (TDE).

   Pour plus d'informations, reportez-vous à A propos d'Azure Key Vault.

3. Activez l'authentification de principal de service Azure avec l'annuaire Azure tenant_id pour autoriser votre instance Autonomous Database à accéder à Azure Key Vault.
   1. Obtenez votre ID de locataire Microsoft Azure Active Directory.

      
      
      Description de l'image sec_az_tenant_id.png
      

      Pour plus d'informations, reportez-vous à Comment trouver votre ID de locataire Azure Active Directory.

   2. Connectez-vous à votre instance en tant qu'utilisateur ADMIN.
   3. Activez le principal de service Azure avec DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. La valeur de azure_tenantid est l'ID de répertoire Azure obtenu à l'étape précédente.
      Exemples :

      BEGIN
       DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
               provider => 'AZURE',
               params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
       END;
       /

      Cette commande active l'authentification de principal de service Azure et crée une application Azure pour Autonomous Database sur le portail Azure. Pour plus d'informations, reportez-vous à Activation du principal de service Azure.

4. Fournissez le consentement de l'application Azure pour accéder aux ressources Azure à partir d'Autonomous Database.
   1. Sur Autonomous Database, interrogez CLOUD_INTEGRATIONS.

      Exemples :

      SELECT * FROM CLOUD_INTEGRATIONS;
      
      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

      La vue CLOUD_INTEGRATIONS est disponible pour l'utilisateur ADMIN ou pour un utilisateur disposant du rôle DWROLE.

   2. Dans un navigateur, ouvrez l'URL de consentement Azure indiquée par le paramètre azure_consent_url.

      Par exemple, copiez azure_consent_url à partir des résultats de la requête et entrez l'URL dans votre navigateur :

      https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read

      La page Autorisations demandées s'ouvre et affiche une demande de consentement semblable à ce qui suit :

      
      Description de l'image azure_consent.png
5. Obtenez le nom de l'application Azure.
   1. Sur Autonomous Database, interrogez CLOUD_INTEGRATIONS.

      Exemples :

      SELECT * FROM CLOUD_INTEGRATIONS;

   2. Copiez la valeur client_id incluse dans consent_url.

      PARAM_NAME        PARAM_VALUE
      --------------- ------------------------------------------------------------------------------------------------------------------------------------------
      azure_tenantid    29...eb
      azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
      azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...

   3. Recherchez sur client_id dans le portail Azure. L'ID d'application s'affiche sous Microsoft Entra ID.

      
      
      Description de l'image sec_az_app_name.png
      

   4. Copiez l'ID d'application. Cette valeur est utilisée dans les étapes suivantes pour permettre à cette application d'accéder aux clés dans Azure Key Vault.
6. Affectez les rôles nécessaires à l'application Azure pour accéder à Azure Key Vault.
   1. Dans le portail Azure, accédez aux stratégies d'accès pour Azure Key Vault.

      La liste des applications ayant accès à ce coffre-fort s'affiche.

   2. Sur la page Stratégies d'accès, cliquez sur + Créer afin de créer une stratégie d'accès permettant à l'application d'accéder à ce coffre de clés.

      
      
      Description de l'image sec_az_acc_pol.png
      

   3. Pour les droits d'accès sur la page Créer une stratégie d'accès, sélectionnez tous les droits d'accès de clé, notamment les opérations de gestion des clés, les opérations de cryptographie, les opérations de clé privilégiée et les opérations de stratégie de rotation, puis cliquez sur Suivant.
   4. Pour Principal, recherchez le nom de l'application.
   5. Sélectionnez le nom d'application affiché, puis cliquez sur Suivant.
   6. Pour Application (facultatif), sélectionnez Suivant.
   7. Pour vérifier + créer, vérifiez les détails de la stratégie et cliquez sur Créer.

      
      
      Description de l'image sec_az_create_pol.png
      

   8. Sur la page de détails Azure Key Vault, cliquez sur Refresh et recherchez le nom de l'application. Il est inclus dans la liste affichée des applications autorisées à accéder aux clés dans ce coffre-fort de clés Azure.

   Pour plus d'informations, reportez-vous à Affectation d'une stratégie d'accès Key Vault.

Présente les étapes de cryptage de votre instance Autonomous Database à l'aide de clés de cryptage maître gérées par le client qui résident dans Azure Key Vault.

1. Effectuez les étapes prérequises relatives à la clé maître gérée par le client. Reportez-vous à Prérequis pour l'utilisation de clés de cryptage gérées par le client dans Azure Key Vault.
2. Sur la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Gérer la clé de cryptage.
   Remarque
   
   

   Si vous utilisez déjà des clés de cryptage transparent des données (TDE) gérées par le client stockées dans Azure Key Vault et que vous voulez effectuer une rotation des clés, procédez comme suit et sélectionnez une autre clé (sélectionnez une clé différente de la clé TDE maître actuellement sélectionnée).

3. Sur la page Gérer la clé de cryptage, sélectionnez Crypter à l'aide d'une clé gérée par le client.
4. Dans la liste déroulante Type de clé, sélectionnez Microsoft Azure.

   
   
   Description de l'image sec_azure.png
   

5. Dans le champ URI de coffre, entrez l'URI de coffre Azure.
   1. Dans le portail Azure, accédez à Azure Key Vault.
   2. Sélectionnez la page Présentation Azure Key Vault et copiez l'URI de coffre affiché.

      
      
      Description de l'image sec_az_vault_uri.png
      

   3. Entrez l'URI Azure Vault copié dans le champ URI de coffre de la page Gérer la clé de cryptage d'Autonomous Database.
6. Dans le champ Nom de clé, entrez le nom du nom de clé Azure.
   1. Dans le portail Azure, accédez à Azure Key Vault et sélectionnez Clés. La liste des clés de ce coffre apparaît.
   2. Dans la liste des clés affichées, copiez le nom de clé à utiliser.

      
      
      Description de l'image sec_az_key_name.png
      

   3. Entrez le nom de clé Azure copié dans le champ Nom de clé de la page Gérer la clé de cryptage d'Autonomous Database.
7. Cliquez sur Enregistrer.