Utilisez le service Oracle Cloud Infrastructure Vault pour enregistrer le mot du mot de passe de l'utilisateur de base de données dans une Clé secrète avec une Clé de cryptage. Le service Vault vous permet de stocker et de gérer des clés de cryptage et des clés secrètes afin d'accéder aux ressources en toute sécurité. Si vous modifiez le mot de passe de l'utilisateur de base de données, vous devez également mettre à jour la clé secrète avec le nouveau mot de passe en créant une autre version de la clé secrète et en mettant à jour le contenu.

Configuration de la reconduction progressive du mot de passe

Pour les bases de données Oracle 19c et versions ultérieures, il est recommandé de définir une durée de remplacement progressif du mot de passe, ce qui vous permet de vous connecter à la base de données à l'aide de l'ancien et du nouveau mot de passe pendant la période de remplacement progressif. Comme l'ancien et le nouveau mot de passe sont valides pendant un certain temps, les temps d'arrêt sont réduits. Grâce à un remplacement progressif des mots de passe, vous pouvez éviter toute interruption de l'utilisation des fonctionnalités de diagnostic et de gestion pour vos bases de données.

Pour plus d'informations sur le script SQL permettant de créer un utilisateur de surveillance disposant des privilèges requis pour surveiller la base de données Oracle Cloud, reportez-vous à Création des informations d'identification de surveillance Oracle Database pour Database Management (KB57458) dans My Oracle Support.

Pour plus d'informations sur le script SQL permettant de créer un utilisateur disposant des privilèges requis pour effectuer des tâches de diagnostic et d'administration avancées, reportez-vous à la section Creating the Oracle Database Management Advanced Diagnostics User and Administration User (KB84103) dans le site My Oracle Support.

Pour plus d'informations sur le service Vault, sur ses concepts et sur la création de coffres, de clés et de clés secrètes, reportez-vous à Vault.

Pour plus d'informations sur la fonctionnalité de remplacement graduel de mot de passe, reportez-vous à Managing Gradual Database Password Rollover for Applications dans le Guide de sécurité Oracle Database.

Pour les bases de données Oracle Cloud dans Base Database Service, ExaDB-D et ExaDB-XS

1. Créez une adresse privée qui fait office de point de présence réseau de Database Management dans le VCN dans lequel la base de données Oracle Cloud est accessible.
2. Ajoutez des règles de sécurité entrantes et sortantes aux groupes de sécurité réseau ou aux listes de sécurité dans le VCN de la base de données Oracle Cloud pour permettre la communication entre l'adresse privée Database Management et la base de données Oracle Cloud.

Pour les bases de données Oracle Cloud dans ExaDB-D et ExaDB-C@C

Activer la communication et la collecte de données à l'aide d'un agent OMA. Vous devez vous assurer qu'un agent OMA 210403.1349 ou version ultérieure est installé sur l'un des noeuds du cluster Exadata. Pour la collecte de mesures au niveau de la base de données Conteneur, un agent OMA version 240628.1505 ou ultérieure est requis.

L'agent OMA installé requiert :

• Accès réseau à Oracle Cloud Infrastructure.
• Accès réseau pour la connexion à la base de données Oracle Cloud.

Vous pouvez utiliser une adresse privée ou un agent de gestion pour activer la communication entre Database Management et les bases de données Oracle Cloud dans ExaDB-D.

Pour plus d'informations sur l'activation de la communication entre Database Management et la base de données Oracle Cloud, reportez-vous à Activation de la communication entre Database Management et les bases de données Oracle Cloud.

Pour obtenir des informations génériques sur l'installation d'un agent de gestion, reportez-vous à Exécution des prérequis pour le déploiement d'agents de gestion et à Installation d'agents de gestion.

Pour plus d'informations sur l'installation d'un agent de gestion sur Exadata Cloud, reportez-vous à Observation et prise en charge de la gestion pour Exadata Cloud (PNEWS1338) dans My Oracle Support.

Les informations d'authentification et de signature, y compris les clés privées, les certificats et les certificats sécurisés utilisés par TLS (Transport Layer Security), sont stockées dans un portefeuille, qui doit être enregistré en tant que clé secrète de service Vault avec une clé de cryptage. La clé secrète de portefeuille de base de données peut être créée dans le service Vault ou lors de l'activation de Diagnostics & Management. Si la clé secrète de portefeuille de base de données est créée dans le service Vault, la balise à format libre suivante doit être associée à la clé secrète pour qu'elle puisse être utilisée dans Database Management :

DBM_Wallet_Type: "DATABASE"

Les formats de portefeuille de base de données pris en charge sont les suivants :

• Fichier de clés Java : (JKS) : afin d'enregistrer un portefeuille de fichier de clés Java en tant que clé secrète, vous devez entrer le mot de passe du fichier de clés, le contenu du fichier de clés (fichier .jks), le mot de passe du truststore, le contenu du truststore (fichier .jks) et le nom distinctif du certificat pour le portefeuille.
• Public-Key Cryptography Standards (PKCS) # 12 : afin d'enregistrer un portefeuille PKCS#12 en tant que clé secrète, vous devez saisir le mot de passe du portefeuille, le contenu du portefeuille (fichier .p12) et le nom distinctif du certificat pour le portefeuille.

Notez que les formats de portefeuille JKS et PKCS ne sont pas pris en charge dans les domaines du gouvernement des Etats-Unis et que seul le format de portefeuille BCFKS est pris en charge.

Pour plus d'informations sur le service Vault, sur ses concepts et sur la création de coffres, de clés et de clés secrètes, reportez-vous à Vault.