Gestion des clés de cryptage maître dans Oracle Key Vault

Autonomous Database prend en charge les clés de cryptage transparent des données (TDE) gérées par le client qui résident dans Oracle Key Vault (OKV).

Prérequis pour l'utilisation de clés de cryptage gérées par le client dans Oracle Key Vault

Décrit les étapes prérequises pour utiliser les clés de cryptage maître gérées par le client qui résident dans Oracle Key Vault (OKV) sur Autonomous Database.

Exigences :
Limitation :
  • OKV n'est pas pris en charge dans les bases de données de secours Autonomous Data Guard inter-région.

Suivez les étapes suivantes :

  1. Créez une adresse OKV, un portefeuille et une clé maître TDE.
    1. Connectez-vous à l'instance OKV.
      • Copiez l'adresse IP publique ou l'adresse IP privée sur la page de détails de l'instance OKV et collez-la dans un navigateur.

      • Sur la page de connexion à l'instance OKV, entrez le nom utilisateur et le mot de passe.

    2. Créez et inscrivez une adresse OKV.
    3. Créer un "wallet"

      Le portefeuille OKV contient la clé de cryptage maître TDE.

    4. Créez une clé de cryptage maître TDE dans le portefeuille.
      • Sélectionnez Clés et clés secrètes, puis cliquez sur Créer.
      • Dans Clés d'application, sélectionnez Clé de cryptage maître TDE.
      • Pour Extrait, sélectionnez Vrai.
      • Assurez-vous que la date de désactivation est vide.

        Exemples :



      • Pour Appartenance à un portefeuille, cliquez sur Sélectionner un portefeuille.
      • Dans la liste de portefeuilles affichée, sélectionnez le portefeuille créé à l'étape précédente et cliquez sur Fermer.
      • Cliquez sur Créer. La clé de cryptage maître TDE est créée et affichée sous Contenu du portefeuille.
    5. Modifiez l'adresse pour faire du portefeuille créé précédemment le portefeuille par défaut.
      • Accédez à la page de détails de l'adresse.
      • Dans le panneau Portefeuille par défaut, sélectionnez Choisir un portefeuille.
      • Sur la page Choisir un portefeuille, sélectionnez le portefeuille créé précédemment et cliquez sur Sélectionner.
      • Cliquez sur Enregistrer.
    6. Activer les services Restful.
      Remarque

      Les services Restful doivent être activés sur l'instance OKV pour que la commande curl puisse être exécutée, lors d'une étape ultérieure, afin de télécharger le portefeuille.
      • Sur la page d'accueil d'OKV, sélectionnez l'onglet Système.
      • Dans le panneau de navigation de gauche, cliquez sur Définir.
      • Sous Configuration du système, sélectionnez Services restaurés.
      • Cliquez sur Tout, puis sur Enregistrer.
  2. Provisionnez une instance Autonomous Database avec les paramètres requis suivants :
    1. Pour Choisir l'accès réseau, sélectionnez Accès à l'adresse privée uniquement.
    2. Pour Réseau cloud virtuel, sélectionnez le VCN sur lequel cette instance de base de données est exécutée.
    3. Dans Sous-réseau, sélectionnez le sous-réseau privé sur lequel cette instance de base de données est exécutée.
    4. Dans Groupes de sécurité réseau, sélectionnez le groupe de sécurité.
    5. Pour les paramètres de clé de cryptage, la valeur par défaut est Cryptage à l'aide d'une clé gérée par Oracle. Ces paramètres sont remplacés par des clés gérées par le client dans OKV, une fois ces étapes prérequises terminées. Les clés gérées par le client sont désactivées lors du provisionnement de l'instance. Pour plus de détails, reportez-vous à Utilisation de clés de cryptage gérées par le client sur Autonomous Database avec Oracle Key Vault.
  3. Connectez-vous à l'instance Autonomous Database et créez un répertoire pour le portefeuille OKV.
    1. Connectez-vous à l'instance Autonomous Database d'adresse privée en tant qu'utilisateur ADMIN.
      Par exemple, connectez-vous à l'instance de base de données OKVDEMO1 :
      SQL> connect ADMIN/<password>@OKVDEMO1_low
    2. Créez un objet de répertoire dans l'instance Autonomous Database.
      Exemples :
      SQL> create directory okv_dir as 'okvdir';
    3. Vérifiez que le répertoire est créé.
      Par exemple, les instructions suivantes créent l'objet de répertoire OKV_DIR et les résultats de l'instruction affichent le nom du répertoire (OKV_DIR) et le chemin du répertoire (/u03/dbfs/<path data>/data/okvdir).
      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
      Connected
      SQL>
      SQL> create directory okv_dir as 'okvdir';
      Directory created.
      SQL> select * from dba_directories where directory_name = 'OKV_DIR';
      OWNER
      –--------------------------------------------------------------------
      DIRECTORY_NAME
      –--------------------------------------------------------------------
      DIRECTORY_PATH
      –--------------------------------------------------------------------
      ORIGIN_CON_ID
      –------------
      SYS
      OKV_DIR
      /u03/dbfs/<path data>/data/okvdir
      SQL>
  4. Téléchargez le portefeuille d'adresse vers l'objet de répertoire créé dans l'instance Autonomous Database. Ce portefeuille n'est pas le portefeuille TDE virtuel dans OKV qui contient la clé de cryptage maître TDE. Ce portefeuille contient les certificats nécessaires pour établir une connexion mTLS 1.2 entre OKV et Autonomous Database.
    1. Téléchargez le portefeuille de l'adresse à partir de l'instance OKV.
      Exécutez la commande suivante à partir d'une instance de calcul située sur le même réseau qu'OKV :
      curl -k -X POST
       --location https://OKV server:5695/okv/cloud/utility/endpoint/download/sso
       --data "token=Enrollment Token"
       --output cwallet.sso
      Où :
      • OKV server est le nom de domaine complet interne ou l'adresse IP privée figurant sur la page de détails de l'instance OKV.

      • Enrollment Token est le jeton d'inscription pour l'adresse trouvée sur la page Adresses.

      Exemples :

      $ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso 
                                 --data "token=H5r8NzqxopYOgkZC" 
                                 --output cwallet.sso
      % Total    % Received % Xferd Average Speed   Time    Time    Time  Current 
               Dload  Upload  Total   Spent    Left  Speed
      100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172 
      
      ls -altr ./cwallet.sso 
      -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso

      Une fois le portefeuille téléchargé, l'adresse de l'instance OKV passe de REGISTERED à ENROLLED.

    2. Téléchargez le portefeuille vers Object Storage.

      Téléchargez le fichier de portefeuille de l'ordinateur local vers le bucket Object Storage à l'aide du téléchargement d'objet. Pour plus d'informations, reportez-vous à Téléchargement d'un objet vers un bucket.

    3. Dans Object Storage, générez une URL de demande pré-authentifiée pour le fichier de portefeuille téléchargé. Pour plus d'informations, reportez-vous à Création d'une demande pré-authentifiée dans Object Storage.
    4. A partir de la machine virtuelle, connectez-vous à l'instance de base de données en tant qu'utilisateur ADMIN.
    5. Dans l'instance de base de données, exécutez la procédure DBMS_CLOUD.GET_OBJECT pour télécharger le portefeuille d'Object Storage vers le répertoire de portefeuille de l'instance de base de données.
      Exemples :
      BEGIN
          DBMS_CLOUD.GET_OBJECT(
              object_uri => '<PAR URL>',
              directory_name => '<wallet_dir>');
      END;
      /
      • Où :
        • object_uri est l'URL de demande pré-authentifiée générée pour le fichier de portefeuille dans Object Storage.
        • directory_name est le nom du répertoire de portefeuille créé dans l'instance de base de données.

        Pour plus d'informations, reportez-vous à Procédure et fonction GET_OBJECT.

    6. Supprimez le portefeuille d'Object Storage.

Utilisation de clés de cryptage gérées par le client sur Autonomous Database avec Oracle Key Vault

Présente les étapes de cryptage de votre instance Autonomous Database à l'aide de clés de cryptage maître gérées par le client qui résident dans Oracle Key Vault (OKV).

Suivez les étapes suivantes :

  1. Suivez les étapes prérequises relatives à la clé de cryptage gérée par le client si nécessaire. Pour plus d'informations, reportez-vous à Prérequis pour l'utilisation de clés de cryptage gérées par le client dans Oracle Key Vault.
  2. Sur la page Détails de l'instance Autonomous Database, cliquez sur Actions supplémentaires, puis sélectionnez Gérer la clé de cryptage.


    Description de l'image sec_okv_manage.png
    Description de l'image sec_okv_manage.png

    Remarque

    Si vous utilisez déjà des clés gérées par le client dans OKV et que vous voulez effectuer une rotation des clés TDE, procédez comme suit et sélectionnez une autre clé (sélectionnez une clé différente de la clé de cryptage maître actuellement sélectionnée). Cependant, vous ne pouvez pas utiliser une clé OKV qui a été utilisée précédemment sur la même instance Autonomous Database.

  3. Sur la page Gérer la clé de cryptage, sélectionnez Crypter à l'aide d'une clé gérée par le client.
  4. Dans la liste déroulante Type de clé, sélectionnez Oracle Key Vault (OKV).

    La boîte de dialogue Gérer la clé de cryptage affiche les options Oracle Key Vault (OKV).
    Description de l'image sec_okv.png
    Description de l'illustration sec_okv.png

  5. Saisissez les informations suivantes :
    • UUID OKV : entrez l'identificateur unique de la clé maître TDE pour la clé située dans l'instance OKV.

      Pour rechercher cette valeur :

      1. Connectez-vous à l'instance OKV et sélectionnez Clés et portefeuilles.

      2. Cliquez sur le nom du portefeuille par défaut de l'adresse Autonomous Database.

      3. Faites défiler la page jusqu'à Contenu du portefeuille et copiez l'identificateur unique de la colonne Détails.

        Par exemple :

        BC63511B-4B4A-411C-A71C-4AA90005F632
        OKV Server URI: ok
        Certificate DN:

        Cliquez sur le nom de l'adresse, puis sur le téléchargement (format PEM) vert pour télécharger le fichier CA.pem sur votre ordinateur.

        Extrayez le nom distinctif du certificat à l'aide d'une commande telle que :

        $ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'

        Par exemple :

        CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us
      4. Cliquez sur le nom du portefeuille par défaut de l'adresse Autonomous Database.

      5. Faites défiler la page jusqu'à Accès au contenu du portefeuille, puis copiez l'identificateur unique.

        .


        Description de l'image sec_okv_uuid.png
        Description de l'image sec_okv_uuid.png

      6. Collez l'identificateur unique dans le champ UUID OKV.

    • URI de serveur OKV : entrez le nom de domaine complet interne ou l'adresse IP privée figurant sur la page de détails de l'instance OKV.

      Par exemple, si vous utilisez une machine virtuelle OCI pour héberger OKV, cette valeur est disponible sur la page de détails de l'instance OKV sous VNIC principale :


      Description de l'image sec_okv_fqdn.png
      Description de l'image sec_okv_fqdn.png

    • DN de certificat : entrez le nom distinctif (DN) de votre certificat.
    • ID de certificat (Facultatif) : entrez votre ID de certificat ou laissez le champ vide.
      Remarque

      Ce champ est facultatif si vous utilisez OKV versions 21.9 et supérieures. Si vous utilisez des versions d'OKV inférieures à la version 21.9, l'ID de certificat est requis.
    • Nom de répertoire : entrez le nom du répertoire dans lequel le portefeuille est enregistré sur l'instance Autonomous Database.
  6. Cliquez sur Enregistrer.

Une fois l'enregistrement terminé, les paramètres de cryptage de l'instance Autonomous Database sont mis à jour pour afficher la clé gérée par le client (Oracle Key Vault (OKV)) et l'état de la demande de travail s'affiche avec succès.


Description de l'image sec_okv_done.png
Description de l'image sec_okv_done.png