Documentation Oracle Cloud Infrastructure

Prérequis pour l'utilisation de clés de cryptage gérées par un client sur Autonomous Database dans OCI Vault

Pour utiliser des clés gérées par le client sur Autonomous Database dans OCI Vault, procédez comme suit :

  1. Créez un coffre Oracle Cloud Infrastructure Vault.
    1. Ouvrez la consoleOracle Cloud Infrastructure en cliquant sur icône de navigationen regard d'Oracle Cloud.
    2. Dans le menu de navigation de gauche d'Oracle Cloud Infrastructure, cliquez sur Identité et sécurité.
    3. Sous Gestion des clés et gestion des clés secrètes, cliquez sur Coffre.
    4. Sélectionnez un coffre existant ou créez-en un.

      Pour plus d'informations, reportez-vous à Création d'un coffre.

  2. Créer une clé de cryptage maître dans le coffre
    Remarque

    Vous devez utiliser les options suivantes lorsque vous créez la clé :

    • Forme de clé : algorithme : AES (clé symétrique utilisée pour le cryptage et la décryptage)

    • Longueur de forme de clé : 256 bits

    Pour plus d'informations, reportez-vous à Création d'une clé de cryptage maître et à Présentation de Key Management.

  3. Créez des instructions de stratégie et de groupe dynamiques pour le groupe dynamique afin d'autoriser l'accès aux ressources Oracle Cloud Infrastructure (résultats et clés).
    Cette étape dépend du fait que le coffre se trouve sur la même location que l'instance Autonomous Database ou sur une autre location :

Vous devez répliquer le coffre et les clés pour utiliser des clés de cryptage gérées par le client avec Autonomous Data Guard avec une base de données de secours distante. Les clés de cryptage gérées par le client ne sont prises en charge qu'avec une seule base de données de secours Autonomous Data Guard inter-région. Plusieurs bases de données de secours inter-région ne sont pas prises en charge car Oracle Cloud Infrastructure Vault ne prend en charge la réplication que vers une région distante.

Pour plus d'informations, reportez-vous à :

Rubrique parent : Gestion de clés de cryptage maître dans OCI Vault

Créer un groupe dynamique et des stratégies pour les clés gérées par le client avec un coffre dans la même location que la base de données

Créez un groupe dynamique et des stratégies pour fournir l'accès au coffre et aux clés pour les clés gérées par le client lorsque le coffre et les clés se trouvent dans la même location que l'instance Autonomous Database.

  1. Créez un groupe dynamique pour que la clé de cryptage maître soit accessible à l'instance Autonomous Database.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité, sécurité.
    2. Sous Identité, cliquez sur Domaines et sélectionnez un domaine d'identité (ou créez un domaine d'identité).
    3. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
    4. Cliquez sur Créer un groupe dynamique et entrez un nom, une description et une règle.

      • Créez un groupe dynamique pour une base de données existante :

        Vous pouvez indiquer qu'une instance Autonomous Database fait partie du groupe dynamique. Dans l'exemple suivant, le groupe dynamique inclut uniquement la base de données Autonomous Database dont l'OCID est indiqué dans le paramètre resource.id : 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Créez un groupe dynamique pour une base de données qui n'a pas encore été provisionnée :

        Lorsque vous créez le groupe dynamique avant de provisionner ou de cloner une instance Autonomous Database, l'OCID de la nouvelle base de données n'est pas encore disponible. Dans ce cas, créez un groupe dynamique qui indique les ressources d'un compartiment donné : 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Cliquez sur Créer.
  2. Ecrivez des instructions de stratégie pour le groupe dynamique afin d'autoriser l'accès aux ressources Oracle Cloud Infrastructure (clés et coffres).
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité, sécurité, puis sur Stratégies.
    2. Pour écrire des stratégies pour un groupe dynamique, cliquez sur Créer la stratégie, puis entrez un nom et une description.
    3. Utilisez le générateur de stratégie pour créer une stratégie de coffre et de clés dans la location locale.

      Par exemple, les membres du groupe dynamique DGKeyCustomer1 peuvent accéder aux coffres et aux clés dans le compartiment nommé training : 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Cet exemple de stratégie s'applique à un seul compartiment. Vous pouvez indiquer qu'une stratégie s'applique à votre location, à un compartiment, à une ressource ou à un groupe de ressources.

      Pour utiliser des clés gérées par le client avec Autonomous Data Guard avec une base de données de secours distante, la stratégie suivante est également requise : 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Cliquez sur Créer pour enregistrer la stratégie.

Créer un groupe dynamique et des stratégies pour les clés gérées par le client avec un coffre dans une location différente de celle de la base de données

Suivez ces étapes pour utiliser des clés gérées par le client lorsque l'instance Autonomous Database, les coffres et les clés se trouvent dans des locations différentes.

Dans ce cas, vous devez fournir des valeurs d'OCID lorsque vous passez aux clés gérées par le client. En outre, vous devez définir des stratégies et des groupes dynamiques qui permettent à l'instance Autonomous Database d'utiliser des coffres et des clés dans une autre location.

  1. Copiez l'OCID de clé de cryptage principal.
  2. Copiez l'OCID du coffre.
  3. Copiez l'OCID de location (location distante qui contient des coffres et des clés).
  4. Sur la location avec l'instance Autonomous Database, créez un groupe dynamique.
    1. Dans la console Oracle Cloud Infrastructure, sur la location avec l'instance Autonomous Database, cliquez sur Identité et sécurité.
    2. Sous Identité, cliquez sur Domaines et sélectionnez un domaine d'identité (ou créez un domaine d'identité).
    3. Sous Domaine d'identité, cliquez sur Groupes dynamiques.
    4. Cliquez sur Créer un groupe dynamique et entrez un nom, une description et une règle.

      • Créez un groupe dynamique pour une base de données existante :

        Vous pouvez indiquer qu'une instance Autonomous Database fait partie du groupe dynamique. Dans l'exemple suivant, le groupe dynamique inclut uniquement la base de données Autonomous Database dont l'OCID est indiqué dans le paramètre resource.id : 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Créez un groupe dynamique pour une base de données qui n'a pas encore été provisionnée :

        Lorsque vous créez le groupe dynamique avant de provisionner ou de cloner une instance Autonomous Database, l'OCID de la nouvelle base de données n'est pas encore disponible. Dans ce cas, créez un groupe dynamique qui indique les ressources d'un compartiment donné : 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Cliquez sur Créer.
  5. Sur la location avec l'instance Autonomous Database, définissez les stratégies permettant d'autoriser l'accès aux coffres et aux clés (où les coffres et les clés se trouvent sur une autre location).
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité, sécurité.
    2. Sous Identité cliquez sur Stratégies.
    3. Pour écrire une stratégie, cliquez sur Créer une stratégie.
    4. Dans la page Créer une stratégie, entrez un nom et une description.
    5. Sur la page Créer une stratégie, sélectionnez Afficher l'éditeur manuel.
    6. Dans le générateur de stratégies, ajoutez des stratégies afin que l'instance Autonomous Database puisse accéder aux coffres et aux clés situés dans la location. Ajoutez également des stratégies pour le groupe IAM auquel l'utilisateur IAM appartient afin que la console Oracle Cloud Infrastructure pour l'instance Autonomous Database puisse afficher des détails sur la clé qui réside dans une autre location.

      Par exemple, dans la stratégie générique, appelez la location avec l'instance Autonomous Database Tenancy-1 et la location avec des coffres et des clés Tenancy-2 :

      Copiez la stratégie suivante et remplacez les variables et noms par les valeurs que vous définissez, où le nom de groupe dynamique ADB-DynamicGroup est le groupe dynamique que vous avez créé à l'étape 4 : 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Par exemple, les membres du groupe dynamique DGKeyCustomer1 peuvent accéder aux clés et aux coffres distants de la location nommée training2 : 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Cliquez sur Créer pour enregistrer la stratégie.
  6. Copiez l'OCID de location (la location qui contient l'instance Autonomous Database).
  7. Copiez l'OCID du groupe dynamique (pour le groupe dynamique créé à l'étape 4).
  8. Sur la location distante avec des coffres et des clés, définissez un groupe dynamique et des stratégies pour permettre à l'instance Autonomous Database d'accéder aux coffres et aux clés.
    1. Dans la console Oracle Cloud Infrastructure, cliquez sur Identité, sécurité.
    2. Sous Identité cliquez sur Stratégies.
    3. Pour créer une stratégie, cliquez sur Créer une stratégie.
    4. Sur la page Créer une stratégie, entrez un nom et une description.
    5. Sur la page Créer une stratégie, sélectionnez Afficher l'éditeur manuel.
    6. Dans le générateur de stratégies, ajoutez des stratégies et un groupe dynamique pour fournir l'accès au groupe dynamique sur la location avec l'instance Autonomous Database (location-1), de sorte que l'instance Autonomous Database puisse utiliser les coffres et les clés de la location-2. Vous devez également ajouter des stratégies pour permettre au groupe d'utilisateurs d'accéder au coffre et aux clés afin d'afficher des informations sur la console Oracle Cloud Infrastructure pour l'instance Autonomous Database dans une autre location.

      Utilisez le générateur de stratégie pour créer un groupe dynamique et une stratégie pour les coffres et les clés. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Par exemple, définissez ce qui suit sur la location distante pour autoriser les membres du groupe dynamique DGKeyCustomer1 et du groupe REMGROUP à accéder aux coffres et clés distants de la location nommée training2 : 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Cliquez sur Créer pour enregistrer la stratégie.