Documentation Oracle Cloud Infrastructure

Intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure

Exadata Database Service sur Oracle Database@Azure vous permet de stocker les clés de cryptage transparent des données (TDE) de votre base de données, également appelées clés de cryptage maître (MEK) dans un portefeuille Oracle basé sur des fichiers ou dans OCI Vault.

Cette fonctionnalité permet aux utilisateurs d'Exadata Database Service sur Oracle Database@Azure d'utiliser Azure Key Vault (AKV) Managed HSM, AKV Premium et AKV Standard pour gérer les clés MEK TDE. Cette intégration permet aux applications, aux services Azure et aux bases de données d'utiliser une solution de gestion des clés centralisée pour une sécurité améliorée et une gestion simplifiée du cycle de vie des clés.

Rubrique parent : Guides pratiques

Prérequis

Vous devez effectuer les étapes suivantes pour pouvoir configurer Azure Key Vault en tant que gestion de clés pour vos bases de données.

Les étapes suivantes doivent être effectuées pour pouvoir configurer Azure Key Vault en tant que service de gestion des clés au niveau du cluster de machines virtuelles Exadata.

  1. Vous devez d'abord terminer l'inscription requise pour que les sous-réseaux délégués utilisent les fonctionnalités réseau avancées mentionnées dans Planification réseau pour Oracle Database@Azure, puis créer un réseau virtuel Azure avec au moins un sous-réseau délégué à utiliser par le cluster de machines virtuelles Exadata.
  2. Provisionner un cluster de machines virtuelles Exadata via l'interface Azure. Pour obtenir des instructions détaillées, reportez-vous à Provisionnement d'un cluster de machines virtuelles Exadata pour Azure.
  3. Passez en revue les exigences de mise en réseau pour déterminer si le cluster de machines virtuelles se connectera à Azure KMS via un réseau public ou via une connectivité privée. Pour plus d'informations, reportez-vous à Configuration réseau requise pour l'agent de machine connectée ou à Configuration réseau requise pour la création d'un connecteur d'identité et de ressources KMS pour connaître les étapes spécifiques à suivre.
  4. Assurez-vous que la stratégie suivante est créée avant de créer la base de données.
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

Configuration réseau requise pour la création d'un connecteur d'identité et de ressources KMS

Les ressources KMS (Azure Key Management Service) prennent en charge la connectivité publique et privée. Le module HSM géré par Azure Key Vault nécessite une connectivité privée, tandis que les niveaux Premium et Standard d'Azure Key Vault prennent en charge les options de connectivité publique et privée.

Les sections suivantes décrivent la configuration réseau requise pour l'accès au réseau public.

Configuration à l'aide du réseau privé

  • Configuration réseau de l'agent Arc

    Pour créer un connecteur d'identité sur un réseau privé, une portée de lien privé Arc Azure et une adresse privée doivent être configurées via le portail Azure. Reportez-vous à la documentation Azure pour plus d'informations sur la configuration de la connectivité privée pour les serveurs compatibles Azure Arc.

    Remarque

    L'adresse privée doit être créée dans un sous-réseau non délégué du réseau virtuel Azure (VNet) qui héberge le cluster de machines virtuelles Oracle Exadata. Les adresses privées ne sont pas prises en charge dans les sous-réseaux délégués. Par défaut, les clusters de machines virtuelles Exadata sont provisionnés dans des sous-réseaux délégués.

    Le module HSM géré nécessite une connectivité privée et n'est pris en charge que dans les régions Azure qui offrent des fonctionnalités de mise en réseau avancées. Pour obtenir la liste des régions prises en charge, reportez-vous à Planification réseau pour Oracle Database@Azure.

    Pour permettre la communication avec des ressources d'agent privé sur le réseau privé, une zone DNS privée et les enregistrements A correspondants doivent être créés dans la configuration DNS du VCN dans votre location Oracle Cloud Infrastructure (OCI).

    La configuration DNS de l'adresse privée associée à la portée de liaison privée doit inclure les adresses de ressource d'agent privé nécessaires. Pour plus d'informations, reportez-vous à la section URL dans Configuration réseau requise pour l'agent de machine connectée.

    Récupérez d'abord la liste des adresses requises à partir du portail Azure. Ensuite, mettez à jour l'entrée de zone DNS dans OCI pour terminer la configuration.

    Procédure d'extraction de la liste des adresses IP requises :
    1. Connectez-vous au portail Azure.
    2. Recherchez "Portées de lien privé Azure Arc".
    3. Choisissez une portée de lien privé dans la liste.
    4. Dans le menu Configure, cliquez sur Private endpoint connections.
    5. Cliquez sur le lien d'adresse privée.
    6. Sous Paramètres, sélectionnez la configuration DNS pour afficher les adresses requises.

    Exemple : ajout d'une ressource d'agent privé (par exemple, gbl.his.arc.azure.com)

    L'adresse IP associée à gbl.his.arc.azure.com, ainsi que toutes les autres ressources d'agent requises, doivent être définies dans la zone DNS privée.

    Etapes :

    1. Créer une zone privée
      Pour plus d'informations, reportez-vous à Création d'une zone DNS privée.
      • Type de zone : Principal
      • Nom de la zone : <Nom descriptif>
      • Compartiment : <nom du compartiment ou OCID>
    2. Ajouter des enregistrements DNS
      • Accédez à l'onglet Enregistrements sur la page de détails de la zone.
      • Cliquez sur Gérer les enregistrements, puis sur Ajouter un enregistrement :
        • Nom : gbl.his.arc.azure.com
        • Type : A (adresse IPv4)
        • TTL (secondes) : 3600
        • Mode RDATA : Basic
        • Adresse : <adresse IP privée>
    3. Publier la zone
    4. Assurez-vous que l'enregistrement apparaît sur la page de la zone après la publication.
    5. Vérifiez que la connectivité aux services Azure à partir du cluster de machines virtuelles est acheminée via le réseau privé.

    Même avec la connectivité privée, les adresses suivantes doivent être acheminées via la passerelle NAT Azure.

    Ressources d'agent :

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Configuration d'adresses privées Azure Key Vault

    Pour accéder aux adresses des coffres de clés Azure via une connectivité privée, vous devez créer une zone DNS. En outre, un enregistrement A mettant en correspondance le nom de domaine qualifié complet de la ressource avec l'adresse IP de l'adresse privée correspondante doit être ajouté dans la location OCI.

    Pour accéder au service HSM géré via une adresse privée du réseau virtuel hébergeant un cluster de machines virtuelles Exadata, vous pouvez établir une connexion de liaison privée avec le HSM géré et l'associer au sous-réseau par défaut ou à un sous-réseau non délégué. Suivez les étapes décrites dans la section Configuration à l'aide d'un réseau privé de la rubrique Configuration réseau requise pour la création d'un connecteur d'identité et de ressources KMS. Pour plus d'informations, reportez-vous à Intégration d'un HSM géré à une liaison privée Azure.

Configuration à l'aide du réseau public

Créez une passerelle NAT dans le portail Azure et associez-la au sous-réseau délégué du cluster de machines virtuelles Exadata. Pour plus d'informations, reportez-vous à Création d'une passerelle NAT et association à un sous-réseau existant.

Utilisation de la console pour gérer l'intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure

Découvrez comment gérer l'intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure.

Rubrique parent : Intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure

La création d'un connecteur d'identité installe l'agent Azure Arc sur les machines virtuelles de cluster de machines virtuelles Exadata, en les inscrivant en tant que machines virtuelles compatibles Azure Arc.

Cela permet une communication sécurisée avec le service de gestion des clés Azure (KMS) à l'aide de l'identité Azure générée par l'agent Arc. L'agent Azure Arc peut communiquer avec les services Azure via un réseau public ou une configuration de connectivité privée. En savoir plus sur Azure Arc.

Un connecteur d'identité doit être activé pour chaque cluster de machines virtuelles Exadata afin d'accéder aux ressources Azure. Le connecteur d'identité établit une connexion publique ou privée entre le cluster de machines virtuelles Exadata et les ressources de gestion des clés Azure, en fonction des rôles affectés.

Afin de générer un jeton d'accès pour votre compte Azure en cours, reportez-vous à get-access-token de compteaz.

Vous pouvez créer un connecteur d'identité de deux façons : à l'aide de l'interface Oracle Exadata Database Service on Dedicated Infrastructure ou de l'interface Database Multicloud Integrations.

Oracle Exadata Database Service on Dedicated Infrastructure

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Dans le menu de gauche, cliquez sur Clusters De machines virtuelles Exadata sous Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Dans la liste des clusters de machines virtuelles Exadata, sélectionnez le cluster que vous utilisez.
  4. Sélectionnez Informations sur le cluster de machines virtuelles, puis accédez à Connecteur d'identité sous Informations sur le multicloud. Cliquez sur l'icône Créer.
    Remarque

    Si aucun connecteur d'identité n'a été créé précédemment, il est affiché en tant que Aucun.

  5. Le nom du connecteur d'identité, le cluster de machines virtuelles Exadata, l'ID d'abonnement Azure et le nom du groupe de ressources Azure sont des champs en lecture seule et sont remplis avec des valeurs.
  6. Entrez votre ID de locataire Azure et votre jeton d'accès.
  7. Développez la section Afficher les options avancées.

    Les sections Informations de connectivité privée et Balises sont renseignées.

    Pour activer une connexion d'adresse privée, entrez le nom de portée de lien privé d'arc Azure.

  8. Pour ajouter des balises à vos ressources, cliquez sur Ajouter une balise, puis entrez les valeurs requises.
  9. Vérifiez vos sélections, puis cliquez sur Créer pour créer le connecteur d'identité.

Intégrations de base de données multicloud

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Intégrations multicloud de base de données.
  2. Sélectionnez Connecteurs d'identité dans le menu de navigation de gauche.
  3. Dans la liste déroulante Compartiment, sélectionnez le compartiment que vous utilisez.
  4. Une fois le compartiment sélectionné, le nom du connecteur d'identité renseigne automatiquement un nom.

    Par défaut, le type de connecteur d'identité est sélectionné en tant qu'Azure.

  5. Sélectionnez Agent ARC comme mécanisme d'identité.
  6. Sélectionnez votre compartiment dans la liste Choisir un compartiment de cluster de machines virtuelles Exadata, puis sélectionnez votre cluster de machines virtuelles Exadata dans la liste Choisir un cluster de machines virtuelles Exadata.
  7. Entrez l'ID de locataire Azure. Les champs ID d'abonnement Azure et Nom de groupe de ressources Azure renseignent les valeurs en fonction de votre sélection de cluster de machines virtuelles Exadata.
  8. Entrez un jeton d'accès.
  9. Développez la section Afficher les options avancées. Les sections Informations de connectivité privée et Balises sont renseignées. Ces champs sont facultatifs.
  10. Pour ajouter des balises à vos ressources, cliquez sur Ajouter une balise, puis entrez les valeurs requises.
  11. Passez en revue les sélections, puis cliquez sur Créer.

Pour afficher les détails d'un connecteur d'identité, suivez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Cluster de machines virtuelles Exadata.
  3. Cliquez sur le nom de votre choix pour le cluster.
  4. Sur la page Détails du cluster de machines virtuelles obtenue, dans la section Informations sur le multicloud, vérifiez que le champ Connecteur d'identité affiche le connecteur d'identité créé précédemment.
  5. Cliquez sur le nom du connecteur d'identité pour en visualiser les détails.

Cette étape installe la bibliothèque requise sur le cluster de machines virtuelles pour prendre en charge l'intégration d'Azure Key Vault. Assurez-vous qu'un connecteur d'identité est créé avant d'activer Azure Key Management sur le cluster de machines virtuelles Exadata.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Cluster de machines virtuelles Exadata.
  3. Cliquez sur le nom de votre choix pour le cluster.
  4. Sur la page Détails du cluster de machines virtuelles obtenue, dans la section Informations multicloud, cliquez sur le lien Activer en regard de fichier de clés Azure.
  5. Dans la boîte de dialogue Activer la gestion des clés Azure qui apparaît, cliquez sur Activer pour confirmer l'opération.

    Si vous confirmez l'action, une bibliothèque sera installée sur le cluster de machines virtuelles Exadata.

    Le statut du fichier de clés Azure passe de Désactivé à Activé.

  6. Pour désactiver le fichier de clés Azure, cliquez sur le lien Désactiver.
  7. Dans la boîte de dialogue Désactiver la gestion des clés Azure qui apparaît, cliquez sur Désactiver pour confirmer l'opération.

    La désactivation de la gestion des clés Azure supprime la bibliothèque installée lors de l'activation, ce qui aura un impact sur la disponibilité des bases de données configurées pour l'utiliser.

Remarque

La gestion des clés Azure est configurée au niveau du cluster de machines virtuelles, ce qui exige que toutes les bases de données du cluster utilisent la même solution de gestion des clés. Toutefois, les bases de données qui utilisent Oracle Wallet peuvent coexister avec celles qui utilisent Azure Key Vault au sein du même cluster.

Créez un HSM géré par Azure Key Vault, Azure Key Vault Premium ou Azure Key Vault Standard, puis affectez le droit d'accès.

Pour plus d'informations, reportez-vous à Création d'un coffre de clés à l'aide du portail Azure.

Remarque

Des rôles spécifiques doivent être affectés au groupe pour accorder les droits d'accès nécessaires à l'accès aux ressources HSM géré par Azure Key Vault, Azure Key Vault Premium et Azure Key Vault Standard et à leur gestion.
  1. Créez un groupe et ajoutez des membres.

    Les groupes Azure vous permettent de gérer les utilisateurs en leur affectant les mêmes droits d'accès et droits d'accès aux ressources.

  2. Affectez les rôles suivants en fonction du type d'Azure Key Vault :
    • Pour le HSM géré :
      • IAM : Lecteur
      • RBAC local : agent cryptographique HSM géré + utilisateur cryptographique HSM géré
    • Pour Key Vault Premium et Standard
      • IAM : Responsable de la cryptographie Reader + Key Vault

Pour obtenir des étapes détaillées, reportez-vous à Affectation de rôles Azure à l'aide du portail Azure.

Vous pouvez également inscrire vos coffres de clés Azure à partir de la console OCI. Si vous avez déjà inscrit le coffre lors de la création d'une base de données dans le cluster de machines virtuelles Exadata existant, vous pouvez ignorer cette étape.

  1. Dans la console OCI, accédez à Intégrations multicloud de base de données, puis sélectionnez Intégration de Microsoft Azure. Dans la section Intégration de Microsoft Azure, sélectionnez les coffres de clés Azure.
    Remarque

    Au moins une clé doit être créée dans le coffre sur le portail Azure pour que l'inscription réussisse.
  2. Cliquez sur le bouton Inscrire des coffres de clés Azure.
  3. Dans la liste déroulante, sélectionnez votre compartiment.
  4. Dans la section Coffrets de clés Azure, sélectionnez un connecteur d'identité dans la liste Repérer les coffres de clés Azure à l'aide du connecteur.
  5. Cliquez sur Repérer.

    La liste des nom(s) de coffre s'affiche.

  6. Cochez la case située en regard de Nom de coffre.
  7. Pour ajouter des balises à vos ressources, développez la section Options avancées, puis cliquez sur Ajouter une balise.
  8. Cliquez sur Inscrire pour inscrire les coffres localement dans OCI.
  9. Une fois le coffre inscrit, vous pouvez visualiser les informations nom d'affichage, état, type, groupe de ressources Azure et créé des coffres de la liste.
  10. Sélectionnez le coffre que vous utilisez, puis cliquez sur l'onglet Associations de connecteur d'identité, qui répertorie les associations de connecteur d'identité dans le compartiment en cours.
    Remarque

    Une association par défaut est automatiquement créée entre le coffre et le connecteur d'identité utilisés lors du processus d'inscription du coffre. Le coffre peut ainsi être utilisé sur le cluster de machines virtuelles Exadata associé à ce connecteur d'identité spécifique.

    Si vous voulez utiliser le même coffre dans d'autres clusters inscrits auprès de différents connecteurs d'identité (c'est-à-dire pas celui utilisé lors du repérage du coffre), vous devez créer explicitement une association entre le coffre et ces connecteurs d'identité supplémentaires.

  11. Cliquez sur Créer une association.
  12. Dans la liste déroulante, sélectionnez votre compartiment, votre nom d'association de coffre de clés Azure et votre connecteur d'identité.
  13. Si vous développez la section Options avancées, vous pouvez ajouter des balises pour organiser vos ressources.
  14. Passez en revue les sélections, puis cliquez sur Créer.

Pour créer une base de données dans un cluster de machines virtuelles existant

Cette rubrique traite de la création de la première ou des bases de données suivantes.

Remarque

Si la gestion des ressources d'E/S (IORM) est activée sur l'instance Exadata Cloud Infrastructure, la directive par défaut s'applique à la nouvelle base de données, ce qui peut avoir un impact sur les performances système. Oracle vous recommande de vérifier les paramètres de l'IORM et d'ajuster, si nécessaire, la configuration une fois la nouvelle base de données provisionnée.
Remarque

Avant de créer votre première base de données et de sélectionner Azure Key Vault pour la gestion des clés, assurez-vous de respecter les prérequis suivants :
Remarque

  • Restriction sur les machines virtuelles : le redimensionnement d'un cluster de machines virtuelles n'étend pas automatiquement les bases de données qui utilisent Azure Key Vault à la machine virtuelle nouvellement ajoutée. Pour terminer l'extension, vous devez mettre à jour le connecteur d'identité existant pour le cluster de machines virtuelles Exadata en fournissant le jeton d'accès Azure. Après avoir mis à jour le connecteur d'identité, exécutez la commande dbaascli database addInstance pour ajouter l'instance de base de données à la nouvelle machine virtuelle.
  • Restrictions Data Guard :
    • Lorsque vous créez une base de données de secours pour une base de données principale qui utilise Azure Key Vault, assurez-vous que le cluster de machines virtuelles cible dispose d'un connecteur d'identité actif, que la gestion des clés Azure est activée et que l'association requise entre le connecteur d'identité et le coffre de clés est correctement configurée.
    • Les opérations de restauration de base de données et Data Guard inter-région ne sont pas prises en charge pour les bases de données qui utilisent Azure Key Vault pour la gestion des clés.
  • Restriction sur les opérations de base de données pluggable : les opérations de base de données pluggable distante, telles que le clonage, l'actualisation et le transfert, ne sont prises en charge que si les bases de données source et de destination utilisent la même clé de cryptage transparent des données.
  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Choisissez votre compartiment.
  3. Accédez au cluster de machines virtuelles cloud ou au système de base de données dans lequel créer la base de données :

    Clusters De machines virtuelles Cloud (nouveau modèle de ressource Exadata Cloud Infrastructure) : sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Clusters De machines virtuelles Exadata. Dans la liste des clusters de machines virtuelles, recherchez celui auquel accéder, puis cliquez sur son nom mis en évidence pour afficher la page de détails correspondante.

    Systèmes de base de données : sous Oracle Base Database, cliquez sur Systèmes de base de données. Dans la liste des systèmes de base de données, recherchez le système de base de données Exadata auquel vous voulez accéder, puis cliquez sur son nom pour afficher les détails correspondants.

  4. Cliquez sur Créer une base de données.
  5. Dans la boîte de dialogue Créer une base de données, entrez les éléments suivants :
    Remarque

    Vous ne pouvez pas modifier db_name, db_unique_name et le préfixe SID après avoir créé la base de données.
    • Nom de base de données : nom de la base de données. Le nom de la base de données doit répondre aux exigences suivantes :
      • 8 caractères au maximum
      • Doit uniquement contenir des caractères alphanumériques
      • Doit commencer par une lettre
      • Ne peut pas figurer dans les 8 premiers caractères d'un élément DB_UNIQUE_NAME sur le cluster de machines virtuelles
      • Ne pas utiliser les noms réservés suivants : grid, ASM
    • Suffixe de nom de base de données unique :

      Indiquez éventuellement la valeur du paramètre de base de données DB_UNIQUE_NAME. La valeur ne tient pas compte de la casse.

      Le nom unique doit répondre aux exigences suivantes :

      • 30 caractères au maximum
      • Contenir uniquement des caractères alphanumériques ou des traits de soulignement (_)
      • Doit commencer par une lettre
      • Unique dans le cluster de machines virtuelles. Recommandé : unique dans la location.
      Si aucune valeur n'est indiquée, le système génère automatiquement une valeur de nom unique comme suit : 
      <db_name>_<3_chars_unique_string>_<region-name>
    • Version de base de données : version de la base de données. Vous pouvez combiner différentes versions de base de données sur le système de base de données Exadata.
    • Nom de base de données pluggable (facultatif) : pour Oracle Database 12c (12.1.0.2) et versions ultérieures, vous pouvez indiquer le nom de la base de données pluggable. Le nom de la base de données pluggable doit commencer par un caractère alphabétique et peut contenir jusqu'à huit caractères alphanumériques. Le seul caractère spécial autorisé est le trait de soulignement (_).

      Afin d'éviter les conflits potentiels entre les noms de service lors de l'utilisation d'Oracle Net Services pour la connexion à la base de données pluggable, vérifiez que le nom de la base de données pluggable est unique dans l'ensemble du cluster de machines virtuelles. Si vous ne fournissez pas le nom de la première base de données pluggable, un nom généré par le système est utilisé.

    • Répertoire de base de la base de données : répertoire de base de la base de données Oracle. Choisissez l'option applicable :
      • Sélectionner un répertoire de base de base de données existant : le champ de nom d'affichage du répertoire de base de base de données permet de choisir l'un des répertoires de base de base de données existants pour la version de base de données spécifiée. Si aucun répertoire de base de base de données avec cette version n'existe, vous devez en créer un.
      • Créer un répertoire de base de base de donnée : utilisez cette option pour provisionner un nouveau répertoire de base de base de donnée pour votre base de donnée homologue Data Guard.

        Cliquez sur Modifier l'image de base de_données pour utiliser une image publiée par Oracle ou une image logicielle de base de_ données personnalisée que vous avez créée à l'avance, puis sélectionnez un type d'image :

        • Images logicielles de base de données fournies par Oracle :

          Vous pouvez utiliser le commutateur Afficher toutes les versions disponibles pour faire un choix parmi toutes les mises à jour d'ensemble de patches et les mises à jour de version disponibles. La version (release) la plus récente pour chaque version majeure est indiquée par un libellé la plus récente.

          Remarque

          Pour les versions (release) majeures d'Oracle Database disponibles dans Oracle Cloud Infrastructure, des images sont fournies pour la version en cours ainsi que pour les trois versions précédentes (N à N - 3). Par exemple, si une instance utilise Oracle Database 19c et que la dernière version de 19c proposée est 19.8.0.0.0, les images disponibles pour le provisionnement sont pour les versions 19.8.0.0.0, 19.7.0.0, 19.6.0.0 et 19.5.0.0.
        • Images logicielles de base de données personnalisées : ces images sont créées par votre organisation, et contiennent des configurations personnalisées de mises à jour et de patches logiciels. Servez-vous des sélecteurs Sélectionner un compartiment et Sélectionner une région et Sélectionner une version de base de données pour limiter la liste d'images logicielles personnalisées de base de données à un compartiment spécifique, à une région ou à une version majeure (release) logicielle Oracle Database.

          Le filtre de région affiche par défaut la région actuellement connectée et répertorie toutes les images logicielles créées dans cette région. Lorsque vous choisissez une autre région, la liste des images logicielles est actualisée pour afficher les images logicielles créées dans la région sélectionnée.

    • Créer des informations d'identification d'administrateur (lecture seule) : un administrateur de base de données SYS est créé avec le mot de passe que vous fournissez.
      • Nom utilisateur : SYS.
      • Mot de passe : indiquez le mot de passe de cet utilisateur. Le mot de passe doit répondre aux critères suivants :

        Il doit s'agir d'un mot de passe renforcé pour SYS, SYSTEM, le portefeuille TDE et l'administrateur de base de données pluggable. Le mot de passe doit contenir entre 9 et 30 caractères, dont au moins deux majuscules, deux minuscules, deux chiffres et deux caractères spéciaux. Les caractères spéciaux doivent être _, # ou -. Le mot de passe ne doit pas contenir le nom utilisateur (SYS, SYSTEM, etc.) ni le mot "oracle" écrits à l'endroit ou à l'envers ou en majuscules.

      • Confirmer le mot de passe : saisissez de nouveau le mot de passe SYS indiqué.
      • L'utilisation d'un mot de passe de portefeuille TDE est facultative. Si vous utilisez des clés de cryptage gérées par le client stockées dans un coffre dans votre location, le mot de passe de portefeuille TDE n'est pas applicable au système de base de données. Utilisez Afficher les options avancée à la fin de la fenêtre de dialogue Créer une base de données pour configurer des clés gérées par un client.

        Si vous utilisez des clés gérées par le client ou que vous voulez indiquer un autre mot de passe de portefeuille TDE, désélectionnez la case Utiliser le mot de passe d'administrateur pour le portefeuille TDE. Si vous utilisez des clés gérées par le client, laissez les champs de mot de passe TDE vides. Pour définir manuellement le mot de passe de portefeuille TDE, entrez un mot de passe dans le champ Saisir le mot de passe de portefeuille TDE, puis confirmez-le dans le champ Confirmer le mot de passe du portefeuille TDE.

    • Configurer la sauvegarde de base de données : indiquez les paramètres relatifs à la sauvegarde de la base de données dans Autonomous Recovery Service ou Object Storage :
      • Activer l'enregistrement automatique : cochez cette case pour activer les sauvegardes incrémentielles automatiques de cette base de données. Si vous créez une base de données dans un compartiment de zone de sécurité, vous devez activer les sauvegardes automatiques.
      • Destination de sauvegarde : vous pouvez choisir entre Autonomous Recovery Service ou Object Storage.
      • Programmation de sauvegarde:
        • Object Storage (L0) :
          • Jour de planification de sauvegarde complète : choisissez un jour de la semaine pour le démarrage de sauvegardes de niveau L0 initiales et futures.
          • Temps de programmation de sauvegarde complète (UTC) : indiquez la fenêtre de temps pour le démarrage des sauvegardes complètes lorsque la fonction de sauvegarde automatisée est sélectionnée.

          • Effectuer la première sauvegarde immédiatement : une sauvegarde complète est une sauvegarde de système d'exploitation de tous les fichiers de données et du fichier de contrôle qui constituent une base de données Oracle. Une sauvegarde complète doit également inclure les noms de fichier de paramètres associés à la base de données. Vous pouvez réaliser une sauvegarde complète de la base de données pendant qu'elle est arrêtée ou ouverte. Normalement, vous ne devez pas faire de sauvegarde complète après un échec d'instance ou d'autres circonstances inhabituelles.

            Si vous choisissez de différer la première sauvegarde complète, la base de données ne sera peut-être pas récupérable en cas d'échec de celle-ci.

        • Object Storage (L1) :
          • Temps de programmation des sauvegardes incrémentielles : indiquez la fenêtre de temps pour le démarrage des sauvegardes incrémentielles lorsque la fonction de sauvegarde automatiquement est sélectionnée.
        • Autonomous Recovery Service (L0) :
          • Jour programmé pour la sauvegarde initiale : choisissez le jour de la semaine pour la sauvegarde initiale.
          • Heure programmée pour la sauvegarde initiale (UTC) : sélectionnez la fenêtre de temps de la sauvegarde initiale.

          • Effectuer la première sauvegarde immédiatement : une sauvegarde complète est une sauvegarde de système d'exploitation de tous les fichiers de données et du fichier de contrôle qui constituent une base de données Oracle. Une sauvegarde complète doit également inclure les noms de fichier de paramètres associés à la base de données. Vous pouvez réaliser une sauvegarde complète de la base de données pendant qu'elle est arrêtée ou ouverte. Normalement, vous ne devez pas faire de sauvegarde complète après un échec d'instance ou d'autres circonstances inhabituelles.

            Si vous choisissez de différer la première sauvegarde complète, la base de données ne sera peut-être pas récupérable en cas d'échec de celle-ci.

        • Autonomous Recovery Service (L1) :
          • Heure programmée pour la sauvegarde quotidienne (UTC) : indiquez la fenêtre de temps à laquelle les sauvegardes incrémentielles démarrent lorsque la fonction de sauvegarde automatisée est sélectionnée.
      • options de suppression après terminaison de la base de données : options permettant de conserver des sauvegardes de base de données protégées après terminaison de la base de données. Ces options peuvent également contribuer à restaurer la base de données à partir de sauvegardes en cas de dommage accidentel ou malveillant de la base de données.
        • Conserver les sauvegardes pour la période indiquée dans la stratégie de protection ou la période de conservation des sauvegardes : sélectionnez cette option si vous souhaitez conserver les sauvegardes de base de données pendant toute la période définie dans la période de conservation de sauvegarde Object Storage ou la stratégie de protection Autonomous Recovery Service après l'arrêt de la base de données.
        • Conserver les sauvegardes pendant 72 heures, puis supprimer : sélectionnez cette option pour conserver les sauvegardes pendant 72 heures après l'arrêt de la base de données.

      • Période de rétention de sauvegarde/Stratégie de protection : si vous choisissez d'activer les sauvegardes automatiques, vous pouvez sélectionner une stratégie avec l'une des période de rétention prédéfinies suivantes ou une stratégie personnalisée.

        Période de conservation des sauvegardes Object Storage : 7, 15, 30, 45 et 60. Valeur par défaut : 30 jours. Le système supprime automatiquement les sauvegardes incrémentielles à la fin de la période de conservation choisie.

        Stratégie de protection Autonomous Recovery Service :

        • Bronze : 14 jours
        • Argent : 35 jours
        • Or : 65 jours
        • Platinum : 95 jours
        • Personnalisé défini par vous
        • Valeur par défaut : Silver - 35 jours
      • Activer la protection des données en temps réel : la protection en temps réel est le transfert continu des modifications de journalisation d'une base de données protégée vers Autonomous Recovery Service. Cela réduit la perte de données et fournit un objectif de point de récupération proche de 0. Cette option entraîne un coût supplémentaire.

  6. Cliquez sur Afficher les options avancées afin de spécifier des options avancées pour la base de données :

    • Gestion :

      Préfixe SID Oracle : le numéro d'instance de base de données Oracle est automatiquement ajouté au préfixe de SID pour créer le paramètre de base de données INSTANCE_NAME. Le paramètre INSTANCE_NAME est également appelé SID. Le paramètre SID est unique dans l'ensemble du cluster de machines virtuelles cloud. S'il n'est pas indiqué, le préfixe SID correspond par défaut à db_name.

      Remarque

      La saisie d'un préfixe de SID n'est disponible que pour les bases de données d'Oracle versions 12.1 et ultérieures.

      Le préfixe SID doit répondre aux exigences suivantes :

      • 12 caractères au maximum
      • Doit uniquement contenir des caractères alphanumériques. Vous pouvez toutefois utiliser le trait de soulignement (_), qui est le seul caractère spécial qui n'est pas limité par cette convention de dénomination.
      • Doit commencer par une lettre
      • Unique dans le cluster de machines virtuelles
      • Ne pas utiliser les noms réservés suivants : grid, ASM
    • Jeu de caractères : jeu de caractères de la base de données. La valeur par défaut est AL32UTF8.
    • Jeu de caractères national : jeu de caractères national de la base de données. La valeur par défaut est AL16UTF16.

    • Cryptage :

      Si vous créez une base de données dans un cluster d'ordinateurs Exadata Cloud Service, vous pouvez choisir d'utiliser un cryptage basé sur les clés de cryptage que vous gérez. Par défaut, la base de données est configurée de façon à utiliser des clés de cryptage gérées par Oracle.

      • Pour configurer la base de données avec un cryptage basé sur les clés que vous gérez, procédez comme suit :
        Remarque

        Si la gestion des clés Azure est désactivée au niveau du cluster de machines virtuelles, vous disposez de trois options de gestion des clés : Oracle Wallet, OCI Vault et Oracle Key Vault.
        • Coffre OCI:
          1. Vous devez disposer d'une clé de cryptage valide dans le service Oracle Cloud Infrastructure Vault. Reportez-vous à Autoriser les administrateurs de sécurité à gérer des coffres, des clés et des clés secrètes.
            Remarque

            Vous devez utiliser des clés de cryptage AES-256 pour votre base de données.
          2. Choisissez un coffre.
          3. Sélectionnez une clé de cryptage maître.
          4. Pour indiquer une version de clé différente de la dernière version de la clé choisie, sélectionnez Choisir la version de clé et entrez l'OCID de la clé à utiliser dans le champ OCID de la version de clé.
            Remarque

            La version de clé est uniquement affectée à la base de données Conteneur et non à sa base de données pluggable. Une nouvelle version de clé générée automatiquement sera affectée à la base de données pluggable.
        • Oracle Key Vault : choisissez un compartiment et sélectionnez un fichier de clés dans le compartiment choisi.
      • Pour créer une base de données à l'aide d'Azure Key Vault en tant que solution de gestion des clés :
        Remarque

        Si la gestion des clés Azure est activée au niveau du cluster de machines virtuelles, vous disposez de deux options de gestion des clés : Oracle Wallet et Azure Key Vault.
        1. Sélectionnez le type de gestion des clés Azure Key Vault.
        2. Sélectionnez le coffre disponible dans votre compartiment.
          Remarque

          La liste Vault ne renseigne que les coffres inscrits. Cliquez sur le lien Inscrire de nouveaux coffres pour inscrire le coffre. Sur la page Inscrire des coffres de clés Azure, sélectionnez votre coffre, puis cliquez sur Inscrire.
          Remarque

          Au moins une clé doit être inscrite dans vos coffres.
        3. Sélectionnez la clé disponible dans votre compartiment.
    • Balises : si vous disposez des droits d'accès permettant de créer une ressource, vous disposez également de ceux permettant de lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option (vous pouvez les appliquer ultérieurement) ou demandez à l'administrateur.
  7. Cliquez sur Créer une base de données.
Remarque

Vous pouvez désormais :
  • Créez ou supprimez une base de données Conteneur pendant qu'une configuration Data Guard est exécutée sur une autre base de données du même répertoire de base Oracle, et inversement.
  • Créer ou supprimer une base de données Conteneur tout en effectuant simultanément des actions Data Guard (permutation, basculement et rétablissement) dans le même répertoire de base Oracle, et inversement.
  • Créer ou supprimer une base de données Conteneur tout en créant ou supprimant simultanément une base de données pluggable dans le même répertoire de base Oracle, et inversement.
  • Créez ou supprimez une base de données Conteneur simultanément dans le même répertoire de base Oracle.
  • Créer ou supprimer une base de données Conteneur lors de la mise à jour simultanée des balises de cluster de machines virtuelles.

Une fois la base de données créée, son statut passe de Provisionnement à Disponible, et la section Cryptage de la page de détails de la nouvelle base de données affiche le nom et l'OCID de la clé de cryptage.

Avertissement :

Ne supprimez pas la clé de cryptage du coffre. Toutes les bases de données protégées par cette clé deviendraient indisponibles.

Découvrez comment modifier des clés de cryptage entre différentes méthodes.

  1. Accédez à votre cluster de machines virtuelles Exadata existant dans la console OCI. Sélectionnez l'onglet Bases de données. Sélectionnez ensuite la ressource de base de données que vous utilisez.
  2. Sélectionnez l'onglet Informations sur la base de données, puis faites défiler la page jusqu'à la section Gestion des clés.
  3. Dans la section Cryptage, vérifiez que la gestion des clés est définie sur Oracle Wallet, puis sélectionnez le lien Modifier.
  4. Entrez les informations suivantes sur la page Gestion des clés de modification.
    1. Sélectionnez votre gestion des clés en tant que coffre de clés Azure dans la liste déroulante.
    2. Sélectionnez le compartiment Vault que vous utilisez, puis le compartiment Vault disponible dans le compartiment.
    3. Sélectionnez le compartiment de clé que vous utilisez, puis sélectionnez la clé dans la liste déroulante.
    4. Cliquez sur Enregistrer les modifications.
Remarque

La modification de la gestion des clés d'Azure Key Vault vers Oracle Wallet ne peut pas être effectuée à l'aide de l'API ou de la console OCI. Elle est uniquement prise en charge via la commande dbaascli tde fileToHsm. De plus, le basculement entre Azure Key Vault et OCI Vault ou Oracle Key Vault (OKV) n'est pas pris en charge.

Pour effectuer la rotation de la clé de cryptage de coffre de clés Azure d'une base de données Conteneur, suivez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Choisissez votre compartiment.

    La liste des clusters de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des cluster de machines virtuelles, cliquez sur le nom de celui qui contient la base de données dont vous voulez effectuer la rotation des clés de cryptage.
  4. Cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données pour laquelle effectuer la rotation des clés de cryptage.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la section Cryptage, vérifiez que la gestion des clés est définie sur Azure Key Vault, puis cliquez sur le lien Faire pivoter.
  7. Dans la boîte de dialogue Effectuer une rotation de la clé qui apparaît, cliquez sur Effectuer une rotation pour confirmer l'action.
Remarque

La rotation des clés doit être effectuée via l'interface OCI. La rotation de la clé directement à partir de l'interface Azure n'a aucun effet sur la base de données.

Pour effectuer la rotation de la clé de cryptage de coffre de clés Azure d'une base de données pluggable, suivez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Choisissez votre compartiment.

    La liste des clusters de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des clusters de machines virtuelles, cliquez sur le nom de celui qui contient la base de données pluggable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous bases de données, recherchez la base de donnée contenant la base de donnée pluggable dont vous voulez effectuer la rotation des clés de cryptage.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de donnée pluggables dans la section Ressources de la page.

    La liste des bases de données pluggables existantes dans cette base de données apparaît.

  7. Cliquez sur le nom de la bases de données pluggables pour laquelle effectuer la rotation des clés de cryptage.

    La page de détails de la base de données pluggable est affichée.

  8. Dans la section Cryptage, la gestion des clés est définie en tant qu'Azure Key Vault.
  9. Cliquez sur le lien Faire pivoter.
  10. Dans la boîte de dialogue Effectuer une rotation de la clé qui apparaît, cliquez sur Effectuer une rotation pour confirmer l'action.

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Utilisez ces opérations d'API pour gérer l'intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure.

Tableau 5-9 Opération d'API permettant de gérer l'intégration d'Azure Key Vault pour Exadata Database Service sur Oracle Database@Azure

API Description
createOracleDbAzureConnector Capture les détails propres à Azure à partir du client et automatise l'installation de l'agent ARC sur le cluster de machines virtuelles ExaDB-D.
deleteOracleDbAzureConnector Supprime la ressource de connecteur Azure et désinstalle l'agent Arc du cluster de machines virtuelles ExaDB-D.
getOracleDbAzureConnector Extrait les détails d'une ressource de connecteur Azure spécifique.
listOracleDbAzureConnectors Répertorie les ressources de connecteur Azure en fonction des filtres spécifiés.
CreateMultiCloudResourceDiscovery Crée une nouvelle ressource de repérage de ressources multicloud.
GetMultiCloudResourceDiscovery Extrait les détails d'une ressource de repérage de ressources multicloud spécifique.
ListMultiCloudResourceDiscoveries Extrait la liste de toutes les ressources de repérage de ressources multicloud.
CreateOracleDbAzureVaultAssociation Crée une association entre un Oracle DB et un coffre Azure.
GetOracleDbAzureVaultAssociation Extrait les détails d'une association de coffre Oracle DB Azure spécifique.
ListOracleDbAzureVaultAssociations Extrait la liste de toutes les associations de coffre Oracle DB Azure.
CreateCloudVMCluster Crée un cluster de machines virtuelles cloud.
GetCloudVmCluster Obtient des informations sur le cluster de machines virtuelles cloud indiqué. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
ListCloudVmClusters Obtient la liste des clusters de machines virtuelles cloud dans le compartiment indiqué. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
DeleteCloudVMCluster Supprime le cluster de machines virtuelles cloud indiqué. S'applique uniquement aux instances Exadata Cloud Service et à Autonomous Database sur une infrastructure Exadata dédiée.
CreateDatabase Crée une base de données dans le répertoire de base de base de données indiqué. Si la version de base de données est fournie, elle doit correspondre à la version du répertoire de base de base de données. S'applique aux systèmes Exadata et Exadata Cloud@Customer.
CreateDatabaseFromBackup

Détails relatifs à la création d'une base de données par restauration à partir d'une sauvegarde de base de données.

Avertissement : Oracle vous recommande d'éviter d'utiliser des informations confidentielles lorsque vous fournissez des valeurs de chaîne à l'aide de l'API.

MigrateVaultKey La gestion des clés de cryptage passe de la gestion par le client, à l'aide du service Vault, à la gestion par Oracle.
RotateVaultKey Crée une nouvelle version d'une clé de service Vault existante.
RestoreDatabase Restaure une base de données en fonction des paramètres de demande que vous fournissez.