Documentation Oracle Cloud Infrastructure

Prérequis pour l'utilisation de clés de cryptage gérées par le client sur Autonomous Database dans OCI Vault

Pour utiliser des clés gérées par le client sur Autonomous Database dans OCI Vault, procédez comme suit :

  1. Créez un coffre Oracle Cloud Infrastructure Vault.
    1. Cliquez sur icône de navigation en regard d'Oracle Cloud pour ouvrir la console Oracle Cloud Infrastructure.
    2. Dans le menu de navigation de gauche d'Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    3. Sous Gestion des clés et gestion des clés secrètes, cliquez sur Coffre.
    4. Sélectionnez un coffre existant ou créez-en un.

      Pour plus de détails, reportez-vous à Création d'un coffre.

  2. Créer une clé de cryptage maître dans le coffre.
    Remarque

    Vous devez utiliser les options suivantes lorsque vous créez la clé :

    • Forme de clé : algorithme : clé symétrique utilisée pour le cryptage et le décryptage

    • Forme de clé : longueur : 256 bits.

    Pour plus d'informations, reportez-vous à Création d'une clé de cryptage maître et à Présentation de Key Management.

  3. Créez un groupe dynamique et des instructions de stratégie pour le groupe dynamique afin d'autoriser l'accès aux ressources (coffres et clés) Oracle Cloud Infrastructure.
    Cette étape dépend du fait que le coffre se trouve dans la même location que l'instance Autonomous Database ou dans une autre location :

Vous devez répliquer le coffre et les clés pour utiliser des clés de cryptage gérées par le client avec Autonomous Data Guard avec une base de données de secours distante. Les clés de cryptage gérées par le client ne sont prises en charge qu'avec une seule base de données de secours Autonomous Data Guard inter-région. Plusieurs bases de données de secours inter-région ne sont pas prises en charge, car Oracle Cloud Infrastructure Vault ne prend en charge la réplication que vers une seule région distante.

Pour plus d'informations, reportez-vous à :

Rubrique parent : Gestion des clés de cryptage maître dans OCI Vault

Créer un groupe dynamique et des stratégies pour les clés gérées par le client avec Vault dans la même location que la base de données

Créez un groupe dynamique et des stratégies afin de fournir l'accès au coffre et aux clés pour les clés gérées par le client lorsque le coffre et les clés se trouvent dans la même location que l'instance Autonomous Database.

  1. Créez un groupe dynamique pour rendre la clé de cryptage maître accessible à l'instance Autonomous Database.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité, cliquez sur Domaines et sélectionnez un domaine d'identité (ou créez-en un).
    3. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
    4. Cliquez sur Créer un groupe dynamique, puis saisissez un nom, une Description et une règle.

      • Créez un groupe dynamique pour une base de données existante :

        Vous pouvez indiquer qu'une instance Autonomous Database fait partie du groupe dynamique. Le groupe dynamique de l'exemple suivant inclut uniquement l'instance Autonomous Database dont l'OCID est indiqué dans le paramètre resource.id : 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Créez un groupe dynamique pour une base de données qui n'a pas encore été provisionnée :

        Lorsque vous créez le groupe dynamique avant de provisionner ou de cloner une instance Autonomous Database, l'OCID de la nouvelle base de données n'est pas encore disponible. Dans ce cas, créez un groupe dynamique qui indique les ressources d'un compartiment donné : 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Cliquez sur Créer.
  2. Ecrivez des instructions de stratégie pour le groupe dynamique permettant d'accéder aux ressources (coffres et clés) Oracle Cloud Infrastructure.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité dans Stratégies.
    2. Pour écrire des stratégies pour un groupe dynamique, cliquez sur Créer une stratégie, puis saisissez son nom et sa description.
    3. Utilisez le générateur de stratégies afin de créer une stratégie pour le coffre et les clés dans la location locale.

      Par exemple, la stratégie suivante autorise les membres du groupe dynamique DGKeyCustomer1 à accéder aux coffres et aux clés du compartiment nommé training : 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Cet exemple de stratégie s'applique à un seul compartiment. Vous pouvez indiquer qu'une stratégie s'applique à une location, à un compartiment, à une ressource ou à un groupe de ressources.

      Pour utiliser des clés gérées par le client avec Autonomous Data Guard avec une base de données de secours distante, la stratégie suivante est également requise : 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Cliquez sur Créer pour enregistrer la stratégie.

Créer un groupe dynamique et des stratégies pour les clés gérées par le client avec Vault dans une location différente de celle de la base de données

Effectuez ces étapes pour utiliser des clés gérées par le client lorsque l'instance Autonomous Database et les coffres et les clés se trouvent dans des locations différentes.

Dans ce cas, vous devez fournir des valeurs d'OCID lorsque vous passez à des clés gérées par le client. En outre, vous devez définir des groupes dynamiques et des stratégies qui permettent à l'instance Autonomous Database d'utiliser des coffres et des clés dans une autre location.

  1. Copiez l'OCID de clé de cryptage maître.
  2. Copiez l'OCID du coffre.
  3. Copiez l'OCID de location (la location distante qui contient des coffres et des clés).
  4. Sur la location avec l'instance Autonomous Database, créez un groupe dynamique.
    1. Dans la console Oracle Cloud Infrastructure, sur la location avec l'instance Autonomous Database, cliquez sur Identité et sécurité.
    2. Sous Identité, cliquez sur Domaines et sélectionnez un domaine d'identité (ou créez-en un).
    3. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
    4. Cliquez sur Créer un groupe dynamique, puis saisissez un nom, une Description et une règle.

      • Créez un groupe dynamique pour une base de données existante :

        Vous pouvez indiquer qu'une instance Autonomous Database fait partie du groupe dynamique. Le groupe dynamique de l'exemple suivant inclut uniquement l'instance Autonomous Database dont l'OCID est indiqué dans le paramètre resource.id : 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Créez un groupe dynamique pour une base de données qui n'a pas encore été provisionnée :

        Lorsque vous créez le groupe dynamique avant de provisionner ou de cloner une instance Autonomous Database, l'OCID de la nouvelle base de données n'est pas encore disponible. Dans ce cas, créez un groupe dynamique qui indique les ressources d'un compartiment donné : 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Cliquez sur Créer.
  5. Sur la location avec l'instance Autonomous Database, définissez les stratégies permettant d'autoriser l'accès aux coffres et aux clés (où les coffres et les clés se trouvent sur une autre location).
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité cliquez sur Stratégies.
    3. Pour écrire une stratégie, cliquez sur Créer une stratégie.
    4. Sur la page Créer une stratégie, entrez un nom et une description.
    5. Sur la page Créer une stratégie, sélectionnez Afficher l'éditeur manuel.
    6. Dans le générateur de stratégies, ajoutez des stratégies pour que l'instance Autonomous Database puisse accéder aux coffres et aux clés situés dans les différentes locations. Ajoutez également des stratégies pour le groupe IAM auquel l'utilisateur IAM appartient afin que la console Oracle Cloud Infrastructure de l'instance Autonomous Database puisse afficher des détails sur la clé qui réside dans une autre location.

      Par exemple, dans la stratégie générique, appelez la location avec l'instance Autonomous Database Tenancy-1 et la location avec des coffres et des clés, Tenancy-2 :

      Copiez la stratégie suivante et remplacez les variables et les noms par les valeurs que vous définissez, où le nom de groupe dynamique ADB-DynamicGroup est le groupe dynamique que vous avez créé à l'étape 4 : 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Par exemple, la stratégie suivante autorise les membres du groupe dynamique DGKeyCustomer1 à accéder aux clés et aux coffres distants de la location nommée training2 : 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Cliquez sur Créer pour enregistrer la stratégie.
  6. Copiez l'OCID de location (la location qui contient l'instance Autonomous Database).
  7. Copiez l'OCID du groupe dynamique (pour le groupe dynamique créé à l'étape 4).
  8. Sur la location distante avec des coffres et des clés, définissez un groupe dynamique et des stratégies pour permettre à l'instance Autonomous Database d'accéder aux coffres et aux clés.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    2. Sous Identité cliquez sur Stratégies.
    3. Pour créer une stratégie, cliquez sur Créer une stratégie.
    4. Sur la page Créer une stratégie, entrez un nom et une description.
    5. Sur la page Créer une stratégie, sélectionnez Afficher l'éditeur manuel.
    6. Dans le générateur de stratégies, ajoutez des stratégies et un groupe dynamique pour fournir l'accès au groupe dynamique sur la location avec l'instance Autonomous Database (localisation-1), de sorte que l'instance Autonomous Database puisse utiliser les coffres et les clés dans la location-2. Vous devez également ajouter des stratégies pour autoriser le groupe d'utilisateurs à accéder au coffre et aux clés afin d'afficher des informations sur la console Oracle Cloud Infrastructure pour l'instance Autonomous Database dans une autre location.

      Utilisez le générateur de stratégies afin de créer un groupe dynamique et une stratégie pour les coffres et les clés. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Par exemple, définissez ce qui suit sur la location distante pour autoriser les membres du groupe dynamique DGKeyCustomer1 et le groupe REMGROUP à accéder aux coffres et clés distants dans la location nommée training2 : 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Cliquez sur Créer pour enregistrer la stratégie.