Utilisation d'Oracle Key Vault avec la base de données Autonomous AI sur une infrastructure Exadata dédiée

Oracle Key Vault est une appliance logicielle de pile complète sécurisée conçue pour centraliser la gestion des clés et des objets de sécurité au sein de l'entreprise. Oracle Key Vault est un système géré et provisionné par le client et ne fait pas partie des services gérés par Oracle Cloud Infrastructure. Vous pouvez intégrer Oracle Key Vault (OKV) sur site aux services cloud de base de données gérés par le client pour sécuriser vos données critiques sur site.

Rubriques connexes

Prérequis

  1. Assurez-vous qu'OKV est configuré et que le réseau est accessible à partir du réseau client Oracle Public Cloud. Ouvrez les ports 443, 5695 et 5696 pour la sortie sur le réseau client afin d'accéder au serveur OKV.
  2. Assurez-vous que l'interface REST est activée à partir de l'interface utilisateur OKV.
  3. Créez l'utilisateur "Administrateur REST OKV". Vous pouvez utiliser n'importe quel nom utilisateur qualifié de votre choix, par exemple : "okv_rest_user". Pour Autonomous AI Database sur Cloud@Customer et Oracle Database Exadata Cloud at Customer, utilisez les mêmes utilisateurs REST ou des utilisateurs différents. Ces bases de données peuvent être gérées par clé dans le même cluster OKV sur site ou dans des clusters OKV différents. Oracle Database Exadata Cloud at Customer requiert un utilisateur REST doté du privilège create endpoint. Autonomous AI Database sur Cloud@Customer nécessite un utilisateur REST disposant des privilèges create endpoint et create endpoint group.
  4. Collectez les informations d'identification de l'administrateur OKV et les informations d'identification de l'administrateur OKV, requises pour la connexion à OKV et configurer le fichier de clés. Pour obtenir des conseils, reportez-vous à Création d'un fichier de clés.
  5. Ouvrez les ports 443, 5695 et 5696 pour la sortie sur le réseau client afin d'accéder au serveur OKV.
  6. Sur les déploiements Oracle Public Cloud, assurez-vous qu'OKV dispose d'un accès réseau à la base de données Autonomous AI en définissant des acheminements réseau appropriés avec VPN (Fast connect ou VPN as a Service) ou tout appairage VCN si l'hôte de calcul se trouve dans un autre VCN.

Créer un coffre dans le service OCI Vault et ajouter une clé secrète au coffre pour stocker le mot de passe de l'administrateur REST OKV

Votre déploiement d'infrastructure Exadata dédiée communique avec OKV via REST chaque fois qu'une base de données Oracle Database est provisionnée pour inscrire Oracle Database et demander un portefeuille sur OKV. Par conséquent, l'infrastructure Exadata a besoin d'accéder aux informations d'identification d'administration REST pour s'inscrire auprès du serveur OKV. Ces informations d'identification sont stockées en toute sécurité dans le service Oracle Vault d'OCI sous forme de clé secrète. Votre déploiement d'infrastructure Exadata dédiée n'y accède que si cela est nécessaire. Si nécessaire, les informations d'identification sont stockées dans un fichier de portefeuille protégé par mot de passe.

Création d'une instruction de stratégie pour que les services de base de données puissent utiliser la clé secrète du service OKV Vault

Afin d'autoriser le service Autonomous AI Database à utiliser la clé secrète d'OCI Vault pour Se connecter à l'interface REST OKV, accédez à (ou créez) une stratégie IAM dans un compartiment supérieur dans la hiérarchie que celui contenant vos coffres et clés secrètes OCI. Ajoutez ensuite une instruction de stratégie au format suivant : 

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

<vaults-and-secrets-compartment> est le nom du compartiment dans lequel vous avez créé les coffres et les clés secrètes OCI.

Une fois le coffre OCI configuré et la configuration IAM en place, vous êtes prêt à déployer le fichier de clés Oracle Key Vault dans OCI et à l'associer au cluster de machines virtuelles Exadata dédié.

Mettre à jour le groupe d'adresses OKV

Vous pouvez mettre à jour le groupe d'adresses OKV à partir de la page Détails d'une base de données Conteneur Autonomous.

Vous pouvez également ajouter un nom de groupe d'adresses OKV avec le fichier de clés OKV lors du provisionnement de l'ACD ou d'une version ultérieure.

Pour mettre à jour le groupe d'adresses OKV sur une base de données Conteneur Autonomous, vous devez vous assurer que :
  • Le groupe d'adresses OKV a accès au portefeuille OKV correspondant.
  • Les adresses OKV correspondant à la base de données Conteneur Autonomous font partie du groupe d'adresses OKV.
  • Le groupe d'adresses OKV dispose d'un accès en lecture aux portefeuilles par défaut des adresses.
Pour mettre à jour le nom du groupe d'adresses OKV, procédez comme suit :
  • Accédez à la page Détails de la base de données Conteneur Autonomous. Pour des instructions, reportez-vous à Affichage des détails d'une base de données Conteneur Autonomous.
  • Cliquez sur Modifier en regard du nom du groupe d'adresses OKV sous Cryptage.
  • Choisissez un fichier de clés dans la liste et entrez le nom du groupe d'adresses OKV. Le nom du groupe d'adresses doit être en majuscules et peut inclure des chiffres, des traits d'union (-) et des traits de soulignement (_), et commencer par une lettre majuscule.
  • Cliquez sur Enregistrer.

Gérer les adresses OKV

Supprimer des adresses Oracle Key Vault

Après avoir mis fin à une base de données Conteneur Autonomous, vous devez supprimer d'OKV les adresses correspondant à cette base de données. Les adresses OKV sont créées au moment du provisionnement de base de données Conteneur Autonomous par base de données Conteneur Autonomous par noeud de cluster. La suppression des points de terminaison correspondant à une base de données Conteneur Autonomous terminée maintient l'organisation d'OKV et facilite la rotation du certificat de l'autorité de certification OKV.

La suppression d'une adresse l'enlève définitivement d'Oracle Key Vault. Toutefois, les objets de sécurité précédemment créés ou téléchargés par cette adresse resteront dans Oracle Key Vault. De même, les objets de sécurité associés à cette adresse sont également conservés. Pour supprimer ou réaffecter définitivement ces objets de sécurité, vous devez être un utilisateur doté du rôle d'administrateur de clés ou autorisé à fusionner ces objets en gérant les privilèges de portefeuille. Le logiciel d'adresse précédemment téléchargé sur l'adresse reste également sur l'adresse jusqu'à ce que l'administrateur l'enlève.

Vous ne pouvez pas supprimer une adresse dont l'état est PENDING, sauf si vous êtes l'utilisateur qui l'a créée. Vous devez le supprimer sur le noeud sur lequel il a été créé. Pour plus d'informations, reportez-vous à Suppression d'adresses.

Renouvellement des adresses

Oracle Autonomous AI Database sur une infrastructure Exadata dédiée ne prend pas en charge la réinscription des adresses OKV prêtes à l'emploi. Pour réinscrire les adresses OKV, vous devez contacter les équipes opérationnelles d'Autonomous AI Database.