Intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure

Exadata Database Service sur Oracle Database@Azure vous permet de stocker les clés de cryptage transparent des données (TDE) de votre base de données, également appelées clés de cryptage maître (MEK) dans un portefeuille Oracle basé sur des fichiers ou dans OCI Vault.

Cette fonctionnalité permet aux utilisateurs d'Exadata Database Service sur Oracle Database@Azure d'utiliser Azure Key Vault (AKV) Managed HSM, AKV Premium et AKV Standard pour gérer les clés MEK TDE. Cette intégration permet aux applications, aux services Azure et aux bases de données d'utiliser une solution de gestion des clés centralisée pour une sécurité améliorée et une gestion simplifiée du cycle de vie des clés.

Prérequis

Vous devez effectuer les étapes suivantes pour pouvoir configurer Azure Key Vault en tant que gestion de clés pour vos bases de données.

Les étapes suivantes doivent être effectuées pour pouvoir configurer Azure Key Vault en tant que service de gestion des clés au niveau du cluster de machines virtuelles Exadata.

  1. Vous devez d'abord terminer l'inscription requise pour que les sous-réseaux délégués utilisent les fonctionnalités réseau avancées mentionnées dans Planification réseau pour Oracle Database@Azure, puis créer un réseau virtuel Azure avec au moins un sous-réseau délégué à utiliser par le cluster de machines virtuelles Exadata.
  2. Provisionner un cluster de machines virtuelles Exadata via l'interface Azure. Pour obtenir des instructions détaillées, reportez-vous à Provisionnement d'un cluster de machines virtuelles Exadata pour Azure.
  3. Passez en revue les exigences de mise en réseau pour déterminer si le cluster de machines virtuelles se connectera à Azure KMS via un réseau public ou via une connectivité privée. Pour plus d'informations, reportez-vous à Configuration réseau requise pour l'agent de machine connectée ou à Configuration réseau requise pour la création d'un connecteur d'identité et de ressources KMS pour connaître les étapes spécifiques à suivre.
  4. Assurez-vous que la stratégie suivante est créée avant de créer la base de données.
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

Configuration réseau requise pour la création d'un connecteur d'identité et de ressources KMS

Les ressources KMS (Azure Key Management Service) prennent en charge la connectivité publique et privée. Le module HSM géré par Azure Key Vault nécessite une connectivité privée, tandis que les niveaux Premium et Standard d'Azure Key Vault prennent en charge les options de connectivité publique et privée.

Les sections suivantes décrivent la configuration réseau requise pour l'accès au réseau public.

Configuration à l'aide du réseau privé

  • Configuration réseau de l'agent Arc

    Pour créer un connecteur d'identité sur un réseau privé, une portée de lien privé Arc Azure et une adresse privée doivent être configurées via le portail Azure. Reportez-vous à la documentation Azure pour plus d'informations sur la configuration de la connectivité privée pour les serveurs compatibles Azure Arc.

    Remarque

    L'adresse privée doit être créée dans un sous-réseau non délégué du réseau virtuel Azure (VNet) qui héberge le cluster de machines virtuelles Oracle Exadata. Les adresses privées ne sont pas prises en charge dans les sous-réseaux délégués. Par défaut, les clusters de machines virtuelles Exadata sont provisionnés dans des sous-réseaux délégués.

    Le module HSM géré nécessite une connectivité privée et n'est pris en charge que dans les régions Azure qui offrent des fonctionnalités de mise en réseau avancées. Pour obtenir la liste des régions prises en charge, reportez-vous à Planification réseau pour Oracle Database@Azure.

    Pour permettre la communication avec des ressources d'agent privé sur le réseau privé, une zone DNS privée et les enregistrements A correspondants doivent être créés dans la configuration DNS du VCN dans votre location Oracle Cloud Infrastructure (OCI).

    La configuration DNS de l'adresse privée associée à la portée de liaison privée doit inclure les adresses de ressource d'agent privé nécessaires. Pour plus d'informations, reportez-vous à la section URL dans Configuration réseau requise pour l'agent de machine connectée.

    Récupérez d'abord la liste des adresses requises à partir du portail Azure. Ensuite, mettez à jour l'entrée de zone DNS dans OCI pour terminer la configuration.

    Procédure d'extraction de la liste des adresses IP requises :
    1. Connectez-vous au portail Azure.
    2. Recherchez "Portées de lien privé Azure Arc".
    3. Choisissez une portée de lien privé dans la liste.
    4. Dans le menu Configure, cliquez sur Private endpoint connections.
    5. Cliquez sur le lien d'adresse privée.
    6. Sous Paramètres, sélectionnez la configuration DNS pour afficher les adresses requises.

    Exemple : ajout d'une ressource d'agent privé (par exemple, gbl.his.arc.azure.com)

    L'adresse IP associée à gbl.his.arc.azure.com, ainsi que toutes les autres ressources d'agent requises, doivent être définies dans la zone DNS privée.

    Etapes :

    1. Créer une zone privée
      Pour plus d'informations, reportez-vous à Création d'une zone DNS privée.
      • Type de zone : Principal
      • Nom de la zone : <Nom descriptif>
      • Compartiment : <nom du compartiment ou OCID>
    2. Ajouter des enregistrements DNS
      • Accédez à l'onglet Enregistrements sur la page de détails de la zone.
      • Cliquez sur Gérer les enregistrements, puis sur Ajouter un enregistrement :
        • Nom : gbl.his.arc.azure.com
        • Type : A (adresse IPv4)
        • TTL (secondes) : 3600
        • Mode RDATA : Basic
        • Adresse : <adresse IP privée>
    3. Publier la zone
    4. Assurez-vous que l'enregistrement apparaît sur la page de la zone après la publication.
    5. Vérifiez que la connectivité aux services Azure à partir du cluster de machines virtuelles est acheminée via le réseau privé.

    Même avec la connectivité privée, les adresses suivantes doivent être acheminées via la passerelle NAT Azure.

    Ressources d'agent :

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Configuration d'adresses privées Azure Key Vault

    Pour accéder aux adresses des coffres de clés Azure via une connectivité privée, vous devez créer une zone DNS. En outre, un enregistrement A mettant en correspondance le nom de domaine qualifié complet de la ressource avec l'adresse IP de l'adresse privée correspondante doit être ajouté dans la location OCI.

    Pour accéder au service HSM géré via une adresse privée du réseau virtuel hébergeant un cluster de machines virtuelles Exadata, vous pouvez établir une connexion de liaison privée avec le HSM géré et l'associer au sous-réseau par défaut ou à un sous-réseau non délégué. Suivez les étapes décrites dans la section Configuration à l'aide d'un réseau privé de la rubrique Configuration réseau requise pour la création d'un connecteur d'identité et de ressources KMS. Pour plus d'informations, reportez-vous à Intégration d'un HSM géré à une liaison privée Azure.

Configuration à l'aide du réseau public

Créez une passerelle NAT dans le portail Azure et associez-la au sous-réseau délégué du cluster de machines virtuelles Exadata. Pour plus d'informations, reportez-vous à Création d'une passerelle NAT et association à un sous-réseau existant.

Utilisation de la console pour gérer l'intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure

Découvrez comment gérer l'intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure.

La création d'un connecteur d'identité installe l'agent Azure Arc sur les machines virtuelles de cluster de machines virtuelles Exadata, en les inscrivant en tant que machines virtuelles compatibles Azure Arc.

Cela permet une communication sécurisée avec le service de gestion des clés Azure (KMS) à l'aide de l'identité Azure générée par l'agent Arc. L'agent Azure Arc peut communiquer avec les services Azure via un réseau public ou une configuration de connectivité privée. En savoir plus sur Azure Arc.

Un connecteur d'identité doit être activé pour chaque cluster de machines virtuelles Exadata afin d'accéder aux ressources Azure. Le connecteur d'identité établit une connexion publique ou privée entre le cluster de machines virtuelles Exadata et les ressources de gestion des clés Azure, en fonction des rôles affectés.

Afin de générer un jeton d'accès pour votre compte Azure en cours, reportez-vous à get-access-token de compteaz.

Vous pouvez créer un connecteur d'identité de deux façons : à l'aide de l'interface Oracle Exadata Database Service on Dedicated Infrastructure ou de l'interface Database Multicloud Integrations.

Oracle Exadata Database Service on Dedicated Infrastructure

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Dans le menu de gauche, cliquez sur Clusters De machines virtuelles Exadata sous Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Dans la liste des clusters de machines virtuelles Exadata, sélectionnez le cluster que vous utilisez.
  4. Sélectionnez Informations sur le cluster de machines virtuelles, puis accédez à Connecteur d'identité sous Informations sur le multicloud. Cliquez sur l'icône Créer.
    Remarque

    Si aucun connecteur d'identité n'a été créé précédemment, il est affiché en tant que Aucun.

  5. Le nom du connecteur d'identité, le cluster de machines virtuelles Exadata, l'ID d'abonnement Azure et le nom du groupe de ressources Azure sont des champs en lecture seule et sont remplis avec des valeurs.
  6. Entrez votre ID de locataire Azure et votre jeton d'accès.
  7. Développez la section Afficher les options avancées.

    Les sections Informations de connectivité privée et Balises sont renseignées.

    Pour activer une connexion d'adresse privée, entrez le nom de portée de lien privé d'arc Azure.

  8. Pour ajouter des balises à vos ressources, cliquez sur Ajouter une balise, puis entrez les valeurs requises.
  9. Vérifiez vos sélections, puis cliquez sur Créer pour créer le connecteur d'identité.

Intégrations de base de données multicloud

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Intégrations multicloud de base de données.
  2. Sélectionnez Connecteurs d'identité dans le menu de navigation de gauche.
  3. Dans la liste déroulante Compartiment, sélectionnez le compartiment que vous utilisez.
  4. Une fois le compartiment sélectionné, le nom du connecteur d'identité renseigne automatiquement un nom.

    Par défaut, le type de connecteur d'identité est sélectionné en tant qu'Azure.

  5. Sélectionnez Agent ARC comme mécanisme d'identité.
  6. Sélectionnez votre compartiment dans la liste Choisir un compartiment de cluster de machines virtuelles Exadata, puis sélectionnez votre cluster de machines virtuelles Exadata dans la liste Choisir un cluster de machines virtuelles Exadata.
  7. Entrez l'ID de locataire Azure. Les champs ID d'abonnement Azure et Nom de groupe de ressources Azure renseignent les valeurs en fonction de votre sélection de cluster de machines virtuelles Exadata.
  8. Entrez un jeton d'accès.
  9. Développez la section Afficher les options avancées. Les sections Informations de connectivité privée et Balises sont renseignées. Ces champs sont facultatifs.
  10. Pour ajouter des balises à vos ressources, cliquez sur Ajouter une balise, puis entrez les valeurs requises.
  11. Passez en revue les sélections, puis cliquez sur Créer.

Pour afficher les détails d'un connecteur d'identité, suivez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Cluster de machines virtuelles Exadata.
  3. Cliquez sur le nom de votre choix pour le cluster.
  4. Sur la page Détails du cluster de machines virtuelles obtenue, dans la section Informations sur le multicloud, vérifiez que le champ Connecteur d'identité affiche le connecteur d'identité créé précédemment.
  5. Cliquez sur le nom du connecteur d'identité pour en visualiser les détails.

Cette étape installe la bibliothèque requise sur le cluster de machines virtuelles pour prendre en charge l'intégration d'Azure Key Vault. Assurez-vous qu'un connecteur d'identité est créé avant d'activer Azure Key Management sur le cluster de machines virtuelles Exadata.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Cluster de machines virtuelles Exadata.
  3. Cliquez sur le nom de votre choix pour le cluster.
  4. Sur la page Détails du cluster de machines virtuelles obtenue, dans la section Informations multicloud, cliquez sur le lien Activer en regard de fichier de clés Azure.
  5. Dans la boîte de dialogue Activer la gestion des clés Azure qui apparaît, cliquez sur Activer pour confirmer l'opération.

    Si vous confirmez l'action, une bibliothèque sera installée sur le cluster de machines virtuelles Exadata.

    Le statut du fichier de clés Azure passe de Désactivé à Activé.

  6. Pour désactiver le fichier de clés Azure, cliquez sur le lien Désactiver.
  7. Dans la boîte de dialogue Désactiver la gestion des clés Azure qui apparaît, cliquez sur Désactiver pour confirmer l'opération.

    La désactivation de la gestion des clés Azure supprime la bibliothèque installée lors de l'activation, ce qui aura un impact sur la disponibilité des bases de données configurées pour l'utiliser.

Remarque

La gestion des clés Azure est configurée au niveau du cluster de machines virtuelles, ce qui exige que toutes les bases de données du cluster utilisent la même solution de gestion des clés. Toutefois, les bases de données qui utilisent Oracle Wallet peuvent coexister avec celles qui utilisent Azure Key Vault au sein du même cluster.

Créez un HSM géré par Azure Key Vault, Azure Key Vault Premium ou Azure Key Vault Standard, puis affectez le droit d'accès.

Pour plus d'informations, reportez-vous à Création d'un coffre de clés à l'aide du portail Azure.

Remarque

Des rôles spécifiques doivent être affectés au groupe pour accorder les droits d'accès nécessaires à l'accès aux ressources HSM géré par Azure Key Vault, Azure Key Vault Premium et Azure Key Vault Standard et à leur gestion.
  1. Créez un groupe et ajoutez des membres.

    Les groupes Azure vous permettent de gérer les utilisateurs en leur affectant les mêmes droits d'accès et droits d'accès aux ressources.

  2. Affectez les rôles suivants en fonction du type d'Azure Key Vault :
    • Pour le HSM géré :
      • IAM : Lecteur
      • RBAC local : agent cryptographique HSM géré + utilisateur cryptographique HSM géré
    • Pour Key Vault Premium et Standard
      • IAM : Responsable de la cryptographie Reader + Key Vault

Pour obtenir des étapes détaillées, reportez-vous à Affectation de rôles Azure à l'aide du portail Azure.

Vous pouvez également inscrire vos coffres de clés Azure à partir de la console OCI. Si vous avez déjà inscrit le coffre lors de la création d'une base de données dans le cluster de machines virtuelles Exadata existant, vous pouvez ignorer cette étape.

  1. Dans la console OCI, accédez à Intégrations multicloud de base de données, puis sélectionnez Intégration de Microsoft Azure. Dans la section Intégration de Microsoft Azure, sélectionnez les coffres de clés Azure.
    Remarque

    Au moins une clé doit être créée dans le coffre sur le portail Azure pour que l'inscription réussisse.
  2. Cliquez sur le bouton Inscrire des coffres de clés Azure.
  3. Dans la liste déroulante, sélectionnez votre compartiment.
  4. Pour repérer Azure Key Vault ou Managed HSM dans le même abonnement dans une location Azure (Identity Connector et Azure Key Vault ou Managed HSM dans le même abonnement) et inscrire des clés, procédez comme suit :
    1. Dans la section Coffrets de clés Azure, sélectionnez un connecteur d'identité dans la liste Repérer les coffres de clés Azure à l'aide du connecteur.
    2. Cliquez sur Repérer.

      La liste des nom(s) de coffre s'affiche.

    3. Cochez la case située en regard de Nom de coffre.
  5. Pour repérer un seul Azure Key Vault ou HSM géré au sein du même abonnement dans une location Azure, fournissez l'ID de ressource complet dans l'un des formats suivants :

    Pour Azure Key Vault :

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>

    Pour le module HSM géré par Azure :

    /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/managedHSMs/<hsm-name>
  6. Pour repérer Azure Key Vault ou Managed HSM entre les abonnements d'une location Azure (Identity Connector et Azure Key Vault ou Managed HSM dans différents abonnements) et inscrire des clés, procédez comme suit :
    1. Dans la section Coffrets de clés Azure, sélectionnez un connecteur d'identité dans la liste Repérer les coffres de clés Azure à l'aide du connecteur.
    2. Indiquez l'ID de ressource complet du coffre de clés Azure au format suivant.
      /subscriptions/<subscription-id>/resourceGroups/<resource-groups>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
      
    3. Cliquez sur Repérer.
  7. Pour ajouter des balises à vos ressources, développez la section Options avancées, puis cliquez sur Ajouter une balise.
  8. Cliquez sur Inscrire pour inscrire les coffres localement dans OCI.
  9. Une fois le coffre inscrit, vous pouvez visualiser les informations nom d'affichage, état, type, groupe de ressources Azure et créé des coffres de la liste.
  10. Sélectionnez le coffre que vous utilisez, puis cliquez sur l'onglet Associations de connecteur d'identité, qui répertorie les associations de connecteur d'identité dans le compartiment en cours.
    Remarque

    Une association par défaut est automatiquement créée entre le coffre et le connecteur d'identité utilisés lors du processus d'inscription du coffre. Le coffre peut ainsi être utilisé sur le cluster de machines virtuelles Exadata associé à ce connecteur d'identité spécifique.

    Si vous voulez utiliser le même coffre dans d'autres clusters inscrits auprès de différents connecteurs d'identité (c'est-à-dire pas celui utilisé lors du repérage du coffre), vous devez créer explicitement une association entre le coffre et ces connecteurs d'identité supplémentaires.

  11. Cliquez sur Créer une association.
  12. Dans la liste déroulante, sélectionnez votre compartiment, votre nom d'association de coffre de clés Azure et votre connecteur d'identité.
  13. Si vous développez la section Options avancées, vous pouvez ajouter des balises pour organiser vos ressources.
  14. Passez en revue les sélections, puis cliquez sur Créer.

Créer une base de données et utiliser Azure Key Vault comme solution de gestion des clés

Cette rubrique décrit uniquement les étapes de création d'une base de données et d'utilisation d'Azure Key Vault comme solution de gestion des clés.

Pour connaître la procédure de création de base de données générique, reportez-vous à Procédure de création d'une base de données dans un cluster de machines virtuelles existant.

Prérequis

Avant de créer votre première base de données et de sélectionner Azure Key Vault pour la gestion des clés, assurez-vous que les prérequis suivants sont remplis :

Limites

  • Restriction sur les machines virtuelles : le redimensionnement d'un cluster de machines virtuelles n'étend pas automatiquement les bases de données qui utilisent Azure Key Vault à la machine virtuelle nouvellement ajoutée. Pour terminer l'extension, vous devez mettre à jour le connecteur d'identité existant pour le cluster de machines virtuelles Exadata en fournissant le jeton d'accès Azure. Après avoir mis à jour le connecteur d'identité, exécutez la commande dbaascli database addInstance pour ajouter l'instance de base de données à la nouvelle machine virtuelle.
  • Restrictions Data Guard :
    • Lorsque vous créez une base de données de secours pour une base de données principale qui utilise Azure Key Vault, assurez-vous que le cluster de machines virtuelles cible dispose d'un connecteur d'identité actif, que la gestion des clés Azure est activée et que l'association requise entre le connecteur d'identité et le coffre de clés est correctement configurée.
    • Les opérations de restauration de base de données et Data Guard inter-région ne sont pas prises en charge pour les bases de données qui utilisent Azure Key Vault pour la gestion des clés.
  • Restriction sur les opérations de base de données pluggable : les opérations de base de données pluggable distante, telles que le clonage, l'actualisation et le transfert, ne sont prises en charge que si les bases de données source et de destination utilisent la même clé de cryptage transparent des données.

Etapes

Remarque

Si la gestion des clés Azure est activée au niveau du cluster de machines virtuelles, vous disposez de deux options de gestion des clés : Oracle Wallet et Azure Key Vault.

  1. Dans la section Cryptage, choisissez Azure Key Vault.
  2. Sélectionnez un coffre inscrit disponible dans votre compartiment.
    Remarque

    • La liste Vault ne renseigne que les coffres inscrits.

      Cliquez sur le lien Inscrire de nouveaux coffres pour inscrire le coffre. Sur la page Inscrire des coffres de clés Azure, sélectionnez votre coffre, puis cliquez sur Inscrire.

    • Au moins une clé doit être inscrite dans vos coffres.
  3. Sélectionnez la clé disponible dans votre compartiment.

Découvrez comment modifier des clés de cryptage entre différentes méthodes.

  1. Accédez à votre cluster de machines virtuelles Exadata existant dans la console OCI. Sélectionnez l'onglet Bases de données. Sélectionnez ensuite la ressource de base de données que vous utilisez.
  2. Sélectionnez l'onglet Informations sur la base de données, puis faites défiler la page jusqu'à la section Gestion des clés.
  3. Dans la section Cryptage, vérifiez que la gestion des clés est définie sur Oracle Wallet, puis sélectionnez le lien Modifier.
  4. Entrez les informations suivantes sur la page Gestion des clés de modification.
    1. Sélectionnez votre gestion des clés en tant que coffre de clés Azure dans la liste déroulante.
    2. Sélectionnez le compartiment Vault que vous utilisez, puis le compartiment Vault disponible dans le compartiment.
    3. Sélectionnez le compartiment de clé que vous utilisez, puis sélectionnez la clé dans la liste déroulante.
    4. Cliquez sur Enregistrer les modifications.
Remarque

La modification de la gestion des clés d'Azure Key Vault vers Oracle Wallet ne peut pas être effectuée à l'aide de l'API ou de la console OCI. Elle est uniquement prise en charge via la commande dbaascli tde fileToHsm. De plus, le basculement entre Azure Key Vault et OCI Vault ou Oracle Key Vault (OKV) n'est pas pris en charge.

Pour effectuer la rotation de la clé de cryptage de coffre de clés Azure d'une base de données Conteneur, suivez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Choisissez votre compartiment.

    La liste des clusters de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des cluster de machines virtuelles, cliquez sur le nom de celui qui contient la base de données dont vous voulez effectuer la rotation des clés de cryptage.
  4. Cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données pour laquelle effectuer la rotation des clés de cryptage.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la section Cryptage, vérifiez que la gestion des clés est définie sur Azure Key Vault, puis cliquez sur le lien Faire pivoter.
  7. Dans la boîte de dialogue Effectuer une rotation de la clé qui apparaît, cliquez sur Effectuer une rotation pour confirmer l'action.
Remarque

La rotation des clés doit être effectuée via l'interface OCI. La rotation de la clé directement à partir de l'interface Azure n'a aucun effet sur la base de données.

Pour effectuer la rotation de la clé de cryptage de coffre de clés Azure d'une base de données pluggable, suivez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Choisissez votre compartiment.

    La liste des clusters de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des clusters de machines virtuelles, cliquez sur le nom de celui qui contient la base de données pluggable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous bases de données, recherchez la base de donnée contenant la base de donnée pluggable dont vous voulez effectuer la rotation des clés de cryptage.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de donnée pluggables dans la section Ressources de la page.

    La liste des bases de données pluggables existantes dans cette base de données apparaît.

  7. Cliquez sur le nom de la bases de données pluggables pour laquelle effectuer la rotation des clés de cryptage.

    La page de détails de la base de données pluggable est affichée.

  8. Dans la section Cryptage, la gestion des clés est définie en tant qu'Azure Key Vault.
  9. Cliquez sur le lien Faire pivoter.
  10. Dans la boîte de dialogue Effectuer une rotation de la clé qui apparaît, cliquez sur Effectuer une rotation pour confirmer l'action.

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Utilisez ces opérations d'API pour gérer l'intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure.

Tableau 5-10 Opération d'API permettant de gérer l'intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure

API Description
createOracleDbAzureConnector Capture les détails propres à Azure à partir du client et automatise l'installation de l'agent ARC sur le cluster de machines virtuelles ExaDB-D.
deleteOracleDbAzureConnector Supprime la ressource de connecteur Azure et désinstalle l'agent Arc du cluster de machines virtuelles ExaDB-D.
getOracleDbAzureConnector Extrait les détails d'une ressource de connecteur Azure spécifique.
listOracleDbAzureConnectors Répertorie les ressources de connecteur Azure en fonction des filtres spécifiés.
CreateMultiCloudResourceDiscovery Crée une nouvelle ressource de repérage de ressources multicloud.
GetMultiCloudResourceDiscovery Extrait les détails d'une ressource de repérage de ressources multicloud spécifique.
ListMultiCloudResourceDiscoveries Extrait la liste de toutes les ressources de repérage de ressources multicloud.
CreateOracleDbAzureVaultAssociation Crée une association entre un Oracle DB et un coffre Azure.
GetOracleDbAzureVaultAssociation Extrait les détails d'une association de coffre Oracle DB Azure spécifique.
ListOracleDbAzureVaultAssociations Extrait la liste de toutes les associations de coffre Oracle DB Azure.
CreateCloudVMCluster Crée un cluster de machines virtuelles cloud.
GetCloudVmCluster Obtient des informations sur le cluster de machines virtuelles cloud indiqué. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
ListCloudVmClusters Obtient la liste des clusters de machines virtuelles cloud dans le compartiment indiqué. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
DeleteCloudVMCluster Supprime le cluster de machines virtuelles cloud indiqué. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
CreateDatabase Crée une base de données dans le répertoire de base de base de données indiqué. Si la version de base de données est fournie, elle doit correspondre à la version du répertoire de base de base de données. S'applique aux systèmes Exadata et Exadata Cloud@Customer.
CreateDatabaseFromBackup

Détails relatifs à la création d'une base de données par restauration à partir d'une sauvegarde de base de données.

Avertissement : Oracle vous recommande d'éviter d'utiliser des informations confidentielles lorsque vous fournissez des valeurs de chaîne à l'aide de l'API.

MigrateVaultKey La gestion des clés de cryptage passe de la gestion par le client, à l'aide du service Vault, à la gestion par Oracle.
RotateVaultKey Crée une nouvelle version d'une clé de service Vault existante.
RestoreDatabase Restaure une base de données en fonction des paramètres de demande que vous fournissez.