Gestion des clés à l'aide d'un fichier de clés externe
Passez en revue les cas d'utilisation et les détails d'implémentation d'un fichier de clés externe.
- Configuration d'un fichier de clés externe
Ce processus de configuration est crucial pour l'utilisation de fichiers de clés externes afin de gérer et de sécuriser les clés de cryptage de vos bases de données sur les systèmes Exadata. Assurez une installation, une configuration de mot de passe et une configuration de communication adéquates pour un fonctionnement fluide. - Stockage des clés dans un fichier de clés externe
Vous pouvez désormais crypter les bases de données Oracle sur Oracle Exadata Database Service on Dedicated Infrastructure en stockant la clé de cryptage maître dans un fichier de clés externe. - Restrictions relatives à l'ajout d'une machine virtuelle à un cluster de machines virtuelles configuré avec un fichier de clés externe
Lorsqu'une base de données est protégée par un fichier de clés externe, l'ajout d'une nouvelle machine virtuelle au cluster est limité.
Rubrique parent : Guides pratiques
Configuration d'un fichier de clés externe
Ce processus de configuration est essentiel pour l'utilisation de fichiers de clés externes afin de gérer et de sécuriser les clés de cryptage de vos bases de données sur les systèmes Exadata. Assurez une installation, une configuration de mot de passe et une configuration de communication adéquates pour un fonctionnement fluide.
Installation du serveur de fichier de clés externe : vous êtes responsable de l'installation et de la configuration du serveur de fichier de clés externe à l'aide de la documentation fournie par le fournisseur.
Format du mot de passe du fichier de clés externe : le format du mot de passe du fichier de clés externe varie en fonction du fournisseur.
Configuration réseau : assurez-vous qu'une connexion est établie entre la machine virtuelle invitée et le serveur de fichier de clés externe en effectuant les opérations suivantes :
- Configuration du réseau requis.
- Ouverture des ports nécessaires.
- Activation du protocole spécifié par le fournisseur de fichier de clés externe.
Installation de la bibliothèque PKCS#11 : installez le logiciel associé à PKCS#11 et configurez la bibliothèque PKCS#11 sur les machines virtuelles en fonction de la documentation du fournisseur du keystore externe.
Limites:
- Une seule bibliothèque PKCS#11 fournisseur peut être présente sur une machine virtuelle invitée à la fois.
- Les interfaces de fichier de clés externes ne peuvent pas être utilisées pour associer des clés à des bases de données Oracle sur Oracle Exadata Database Service on Dedicated Infrastructure.
- Bien que l'interface de fichier de clés externe vous permette d'afficher les clés associées aux bases de données, elle peut ne pas prendre en charge l'exécution des opérations de gestion des clés directement à partir de l'interface.
Validation de la communication : vérifiez que la bibliothèque PKCS#11 peut communiquer avec le keystore externe. L'automatisation du cloud n'effectue pas de prévérifications pour valider cette connexion. Si la clé est inaccessible, la base de données renvoie une erreur avec les détails pertinents.
Rubrique parent : Gestion des clés à l'aide d'un fichier de clés externe
Stockage des clés dans un fichier de clés externe
Vous pouvez désormais crypter les bases de données Oracle sur Oracle Exadata Database Service on Dedicated Infrastructure en stockant la clé de cryptage maître dans un fichier de clés externe.
Versions de base de données applicables : 23ai et 19c
Lors du provisionnement d'une base de données, vous avez la possibilité de choisir parmi différentes solutions de gestion des clés : fichier de clés logiciel Oracle, OKV (Oracle Key Vault) ou fichier de clés externe.
- La solution de gestion des clés sélectionnée s'applique à l'ensemble de la base de données Conteneur et à toutes les bases de données pluggables qu'elle contient. Si une base de données Conteneur est configurée pour utiliser un fichier de clés externe, toutes les bases de données pluggables associées utilisent également le fichier de clés externe. Vous ne pouvez pas sélectionner d'autres solutions de gestion des clés au niveau de la base de données pluggable.
- Bien que la solution de gestion des clés doive être cohérente entre la base de données Conteneur et ses bases de données pluggables, différentes bases de données pluggables au sein d'une même base de données Conteneur peuvent utiliser des clés de cryptage distinctes, ce qui offre une flexibilité d'utilisation des clés dans les bases de données pluggables.
Cette fonctionnalité garantit que les clés de cryptage sensibles sont stockées de manière sécurisée dans un fichier de clés externe, offrant ainsi une couche de sécurité supplémentaire pour vos bases de données.
Pour plus d'informations, reportez-vous à https://support.oracle.com/support/?kmExternalId=FAQ2403.
Rubrique parent : Gestion des clés à l'aide d'un fichier de clés externe
Restrictions relatives à l'ajout d'une machine virtuelle à un cluster de machines virtuelles configuré avec un fichier de clés externe
Lorsqu'une base de données est protégée par un fichier de clés externe, l'ajout d'une nouvelle machine virtuelle au cluster est limité.
Si des bases de données sur un cluster de machines virtuelles sont configurées avec un fichier de clés externe, le message suivant s'affiche :
While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM.
Rubrique parent : Gestion des clés à l'aide d'un fichier de clés externe