Gérer les clés de cryptage maître dans Oracle Key Vault

Décrit les étapes préalables à l'utilisation des clés de cryptage maître gérées par le client qui résident dans Oracle Key Vault (OKV) sur une base de données Autonomous AI.

1. Créez une adresse OKV, un portefeuille et une clé maître TDE.
   1. Connectez-vous à l'instance OKV.

      • Copiez l'adresse IP publique ou l'adresse IP privée sur la page de détails de l'instance OKV et collez-la dans un navigateur.

      • Dans la page de connexion à l'instance OKV, entrez le nom utilisateur et le mot de passe.

   2. Créez et enregistrez une adresse OKV.
      • Cliquez sur Adresses sur la page d'accueil OKV.
      • Cliquez sur Ajouter sur la page de détails des adresses et saisissez un nom pour l'adresse.
      • Autorisez tous les autres paramètres à utiliser par défaut et cliquez sur S'inscrire.

        Par exemple :
        
        Description de l'illustration sec_okv_epregister.png
        

        Pour plus d'informations, reportez-vous à Ajout, suppression ou réinscription d'adresses.

   3. Créer un "wallet"

      Le portefeuille OKV contient la clé de cryptage maître TDE.

      • Sur la page d'accueil OKV, accédez à la page Clés et portefeuilles.
      • Pour Portefeuilles sur la page Clés et portefeuilles, cliquez sur Créer.
      • Entrez le nom du portefeuille dans le champ Nom, puis cliquez sur Enregistrer.

        Par exemple :

        
        
        
        Description de l'illustration sec_okv_wallet.png
        
        

        Pour plus d'informations, reportez-vous à Création d'un portefeuille virtuel.

   4. Créez une clé de cryptage maître TDE dans le portefeuille.
      • Sélectionnez Clés et clés secrètes, puis cliquez sur Créer.
      • Pour Clés d'application, sélectionnez Clé de cryptage maître TDE.
      • Dans Extractable, sélectionnez Vrai.
      • Assurez-vous que la date de désactivation est vide.

        Par exemple :

        
        
        
        Description de l'illustration sec_okv_key.png
        
        
      • Pour Adhésion à un portefeuille, cliquez sur Sélectionner un portefeuille.
      • Dans la liste des portefeuilles affichée, sélectionnez le portefeuille créé à l'étape précédente et cliquez sur Fermer.
      • Cliquez sur Créer. La clé de cryptage maître TDE est créée et affichée sous Contenu du portefeuille.
   5. Modifiez l'adresse pour que le portefeuille créé précédemment devienne le portefeuille par défaut.
      • Accédez à la page de détails de l'adresse.
      • Dans le volet Portefeuille par défaut, sélectionnez Choisir un portefeuille.
      • Sur la page Choisir un portefeuille, sélectionnez le portefeuille précédemment créé et cliquez sur Sélectionner.
      • Cliquez sur Enregistrer.
   6. Activation des services Restful.
      Remarque
      
      Les services Restful doivent être activés sur l'instance OKV pour que la commande curl puisse être exécutée, à l'étape suivante, afin de télécharger le portefeuille.

      • Sur la page d'accueil OKV, sélectionnez l'onglet Système.
      • Dans le panneau de navigation de gauche, cliquez sur Paramètre.
      • Sous Configuration système, sélectionnez Services Restful.
      • Cliquez sur Tout, puis sur Enregistrer.
2. Provisionnez une instance de base de données Autonomous AI, avec les paramètres requis suivants :
   1. Pour Choisir l'accès réseau, sélectionnez Accès à l'adresse privée uniquement.
   2. Pour Réseau cloud virtuel, sélectionnez le VCN sur lequel cette instance de base de données est exécutée.
   3. Dans Sous-réseau, sélectionnez le sous-réseau privé sur lequel cette instance de base de données est exécutée.
   4. Pour Groupes de sécurité réseau, sélectionnez le groupe de sécurité.
   5. Pour les paramètres de clé de cryptage, la valeur par défaut est Cryptage à l'aide d'une clé gérée par Oracle. Ces paramètres sont modifiés en clés gérées par le client dans OKV, une fois ces étapes prérequises terminées. Les clés gérées par le client sont désactivées lors du provisionnement de l'instance. Pour plus de détails, reportez-vous à Utilisation de clés de cryptage gérées par le client sur une base de données Autonomous AI avec Oracle Key Vault.
3. Connectez-vous à l'instance de base de données Autonomous AI et créez un répertoire pour le portefeuille OKV.
   1. Connectez-vous à l'instance de base de données Autonomous AI d'adresse privée en tant qu'utilisateur ADMIN.
      Par exemple, connectez-vous à l'instance de base de données OKVDEMO1 :

      SQL> connect ADMIN/<password>@OKVDEMO1_low

   2. Créez un objet de répertoire dans l'instance de base de données Autonomous AI.
      Par exemple :

      SQL> create directory okv_dir as 'okvdir';

   3. Vérifiez que le répertoire est créé.
      Par exemple, les instructions suivantes créent l'objet répertoire OKV_DIR et les résultats de l'instruction affichent le nom du répertoire (OKV_DIR) et le chemin du répertoire (/u03/dbfs/<path data>/data/okvdir).

      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
      Connected
      SQL>
      SQL> create directory okv_dir as 'okvdir';
      Directory created.
      SQL> select * from dba_directories where directory_name = 'OKV_DIR';
      OWNER
      –--------------------------------------------------------------------
      DIRECTORY_NAME
      –--------------------------------------------------------------------
      DIRECTORY_PATH
      –--------------------------------------------------------------------
      ORIGIN_CON_ID
      –------------
      SYS
      OKV_DIR
      /u03/dbfs/<path data>/data/okvdir
      SQL>

4. Téléchargez le portefeuille d'adresse vers l'objet de répertoire créé dans l'instance de base de données Autonomous AI. Ce portefeuille n'est pas le portefeuille TDE virtuel dans OKV qui contient la clé de cryptage maître TDE. Ce portefeuille contient les certificats nécessaires pour établir une connexion mTLS 1.2 entre OKV et la base de données Autonomous AI.
   1. Téléchargez le portefeuille de l'adresse à partir de l'instance OKV.
      Exécutez la commande suivante à partir d'une instance de calcul située sur le même réseau qu'OKV :

      curl -k -X POST
       --location https://OKV server:5695/okv/cloud/utility/endpoint/download/sso
       --data "token=Enrollment Token"
       --output cwallet.sso

      Où :

      • OKV server est le nom de domaine complet interne ou l'adresse IP privée figurant sur la page de détails de l'instance OKV.

      • Enrollment Token est le jeton d'inscription pour l'adresse trouvée sur la page Adresses.

      Par exemple :

      $ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso 
                                 --data "token=H5r8NzqxopYOgkZC" 
                                 --output cwallet.sso
      % Total    % Received % Xferd Average Speed   Time    Time    Time  Current 
               Dload  Upload  Total   Spent    Left  Speed
      100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172 
      
      ls -altr ./cwallet.sso 
      -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso

      Une fois le portefeuille téléchargé, l'adresse de l'instance OKV passe de REGISTERED à ENROLLED.

   2. Téléchargez le portefeuille vers Object Storage.

      Téléchargez le fichier de portefeuille de l'ordinateur local vers le bucket Object Storage à l'aide de Upload Object. Pour plus d'informations, reportez-vous à Téléchargement d'un objet vers un bucket.

   3. Dans Object Storage, générez une URL de demande pré-authentifiée pour le fichier de portefeuille téléchargé. Pour plus d'informations, reportez-vous à Création d'une demande pré-authentifiée dans Object Storage.
   4. Depuis la machine virtuelle, connectez-vous à l'instance de base de données en tant qu'utilisateur ADMIN.
   5. Dans l'instance de base de données, exécutez la procédure DBMS_CLOUD.GET_OBJECT pour télécharger le portefeuille d'Object Storage vers le répertoire de portefeuille de l'instance de base de données.
      Par exemple :

      BEGIN
          DBMS_CLOUD.GET_OBJECT(
              object_uri => '<PAR URL>',
              directory_name => '<wallet_dir>');
      END;
      /

      • Où :

        • object_uri est l'URL de demande pré-authentifiée générée pour le fichier de portefeuille dans Object Storage.
        • directory_name est le nom du répertoire de portefeuille créé dans l'instance de base de données.

        Pour plus d'informations, reportez-vous à la section GET_OBJECT Procedure and Function.

   6. Supprimez le portefeuille d'Object Storage.

Présente les étapes de cryptage de votre base de données Autonomous AI à l'aide de clés de cryptage maître gérées par le client qui résident dans Oracle Key Vault (OKV).

1. Effectuez les étapes prérequises requises pour la clé de cryptage gérée par le client, si nécessaire. Pour plus d'informations, reportez-vous à Prérequis pour l'utilisation des clés de cryptage gérées par le client dans Oracle Key Vault.
2. Sur la page Détails de l'instance de base de données Autonomous AI, cliquez sur Actions supplémentaires, puis sélectionnez Gérer la clé de cryptage.

   
   
   Description de l'image sec_okv_manage.png
   

   Remarque
   
   

   Si vous utilisez déjà des clés gérées par le client dans OKV et que vous souhaitez effectuer une rotation des clés TDE, suivez ces étapes et sélectionnez une autre clé (sélectionnez une clé différente de la clé de cryptage maître actuellement sélectionnée). Cependant, vous ne pouvez pas utiliser une clé OKV qui a été utilisée précédemment sur la même instance de base de données Autonomous AI.

3. Sur la page Gérer la clé de cryptage, sélectionnez Crypter à l'aide d'une clé gérée par le client.
4. Dans la liste déroulante Type de clé, sélectionnez Oracle Key Vault (OKV).

   La boîte de dialogue Gérer la clé de cryptage affiche les options Oracle Key Vault (OKV).
   
   Description de l'illustration sec_okv.png
   

5. Saisissez les informations suivantes :

   • UUID OKV : entrez l'identificateur unique de la clé maître TDE pour la clé située dans l'instance OKV.

     Pour trouver cette valeur :

     1. Connectez-vous à l'instance OKV et sélectionnez Clés et portefeuilles.

     2. Cliquez sur le nom du portefeuille par défaut de l'adresse de base de données Autonomous AI.

     3. Faites défiler la page jusqu'à Contenu du portefeuille et copiez l'identificateur unique de la colonne Détails.

        Par exemple :

        BC63511B-4B4A-411C-A71C-4AA90005F632
        OKV Server URI: ok
        Certificate DN:

        Cliquez sur le nom de l'adresse, puis sur le téléchargement (format PEM) vert pour télécharger le fichier CA.pem sur votre ordinateur.

        Extrayez le nom distinctif du certificat à l'aide d'une commande telle que :

        $ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'

        Par exemple :

        CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us

     4. Cliquez sur le nom du portefeuille par défaut de l'adresse de base de données Autonomous AI.

     5. Faites défiler la page jusqu'à Accès au contenu du portefeuille, puis copiez l'identificateur unique.

        .

        
        
        Description de l'image sec_okv_uuid.png
        

     6. Collez l'identificateur unique dans le champ UUID OKV.

   • URI de serveur OKV : entrez le nom de domaine complet interne ou l'adresse IP privée figurant sur la page de détails de l'instance OKV.

     Par exemple, si vous utilisez une machine virtuelle OCI pour héberger OKV, cette valeur est disponible sur la page de détails de l'instance OKV sous VNIC principale :

     
     
     Description de l'image sec_okv_fqdn.png
     

   • DN de certificat : entrez le nom distinctif (DN) de votre certificat.
   • ID de certificat (Facultatif) : entrez votre ID de certificat ou laissez le champ vide.
     Remarque
     
     Ce champ est facultatif si vous utilisez les versions 21.9 et supérieures d'OKV. Si vous utilisez des versions OKV inférieures à la version 21.9, l'ID de certificat est requis.
   • Nom de répertoire : entrez le nom du répertoire dans lequel le portefeuille est enregistré sur l'instance de base de données Autonomous AI.
6. Cliquez sur Enregistrer.