Documentation Oracle Cloud Infrastructure

Utilisation de la clé de cryptage gérée par le client située dans une location distante

Affiche les étapes de sélection des clés de cryptage maître gérées par le client à partir d'un coffre sur une location distante.

Lorsque vous utilisez des clés de cryptage maître gérées par le client avec un coffre dans une location distante, le coffre et l'instance de base de données Autonomous AI doivent se trouver dans la même région. Pour modifier la location, sur la page de connexion, cliquez sur Modifier la location. Après avoir modifié la location, veillez à sélectionner la même région pour le coffre et l'instance de base de données Autonomous AI.

  1. Effectuez les étapes prérequises requises pour la clé de cryptage gérée par le client, si nécessaire. Pour plus d'informations, reportez-vous à Prérequis pour l'utilisation des clés de cryptage gérées par le client sur une base de données d'IA autonome dans OCI Vault.
  2. Dans la liste déroulante Actions supplémentaires de la page Détails, sélectionnez Gérer la clé de cryptage.
  3. Sur la page Gérer la clé de cryptage, sélectionnez l'option Crypter à l'aide d'une clé gérée par le client.

    Si vous utilisez déjà des clés gérées par le client et que vous souhaitez effectuer une rotation des clés TDE, suivez ces étapes et utilisez un autre OCID de clé avec le même OCID de coffre, ou utilisez un nouvel OCID de coffre et un nouvel OCID de clé. Vous pouvez ainsi utiliser une clé différente de la clé de cryptage maître en cours.

  4. Dans Type de clé, sélectionnez Oracle.
  5. Pour Emplacement de clé, cliquez sur Location différente.
  6. Entrez un OCID de coffre de location distant.
  7. Entrez un OCID de clé de cryptage maître d'emplacement distant.
  8. Cliquez sur Enregistrer.

L'état de cycle de vie passe à Mise à jour. Une fois la demande terminée, l'état de cycle de vie affiche Disponible.

Une fois la demande terminée, sur la console Oracle Cloud Infrastructure, les informations clés apparaissent sur la page Informations sur Autonomous Database sous l'en-tête Cryptage. Cette zone affiche le champ Clé de cryptage avec un lien vers la clé de cryptage maître et le champ OCID de clé de cryptage avec l'OCID de clé de cryptage maître.

Rubrique parent : Gestion de clés de cryptage maître dans OCI Vault

Utilisation de vos propres clés (BYOK) dans le service Vault

Lorsque vous créez une clé gérée par le client à l'aide du service OCI Vault, vous pouvez également importer vos propres informations de clé (Bring Your Own Key ou BYOK) au lieu que le service Vault génère les informations de clé en interne.

Pour pouvoir utiliser vos propres clés dans le service Vault, vous devez effectuer le nombre de tâches d'installation préparatoires pour créer un coffre et importer la clé de cryptage maître, puis mettre ce coffre et ses clés à la disposition d'Autonomous Database.
  1. Créez un coffre dans le service Vault en suivant les instructions de procédure de création d'un coffre.
    Après avoir créé le coffre, vous pouvez créer au moins une clé de cryptage maître dans ce dernier en suivant les instructions de procédure de création d'une clé de cryptage maître. Vous pouvez également importer une clé de cryptage client dans un coffre existant. Lorsque vous suivez ces instructions, effectuez les choix suivants :
    • Créer dans le compartiment : Oracle recommande de créer la clé de cryptage maître dans le même compartiment que son coffre, c'est-à-dire le compartiment créé spécifiquement pour contenir les coffres contenant eux-mêmes les clés gérées par le client.
    • Mode de protection : choisissez une valeur appropriée dans la liste déroulante :
      • HSM pour créer une clé de cryptage maître stockée et traitée sur un module de sécurité HSM.
      • Logiciel pour créer une clé de cryptage maître stockée dans un système de fichiers de logiciel dans le service Vault. Les clés protégées par logiciel sont protégées au repos à l'aide d'une clé racine HSM. Vous pouvez exporter des clés logicielles vers d'autres périphériques de gestion de clés ou vers une autre région cloud OCI. Contrairement aux clés HSM, les clés protégées par logiciel sont gratuites.
    • Algorithme de forme de clé : AES.
    • Longueur de forme de clé : 256 bits.
    • Importer une clé externe : pour utiliser une clé de cryptage client (BYOK), sélectionnez Importer une clé externe et fournissez les détails suivants :
      • Informations sur la clé d'encapsulage. Cette section est en lecture seule, mais vous pouvez afficher les détails de la clé d'encapsulation publique.
      • Algorithme d'encapsulation. Sélectionnez un algorithme de renvoi à la ligne dans la liste déroulante.
      • Source des données de la clé externe. Chargez le fichier contenant le matériel de clé RSA encapsulé.
    Remarque

    Vous pouvez importer les informations de clé en tant que nouvelle version de clé externe ou cliquer sur le nom d'une clé de cryptage maître existante et la faire pivoter vers une nouvelle version de clé.
  2. Utilisez le service IAM pour créer un groupe dynamique et définir une stratégie qui donne à votre instance de base de données Autonomous AI l'accès à la clé de cryptage maître que vous avez créée.

Pour plus de détails, reportez-vous à Import d'informations de clé en tant que version de clé externe.