Inserimento con KMS esterno
Passi necessari per inserire un sistema di gestione delle chiavi di terze parti per l'integrazione con OCI External Key Management Service (EKMS).
Il processo di onboarding EKMS include dettagli sull'impostazione dei componenti di rete, sull'impostazione di un nuovo account utente, sulla fornitura delle autorizzazioni utente, sulla configurazione di un endpoint privato e sulla configurazione sia dei criteri di rete che dei criteri IAM per l'accesso al vault e alle chiavi.
Il seguente diagramma è un flusso di lavoro che mostra i passi per inserire la funzione EKMS:
- Impostare il servizio di gestione delle chiavi di terze parti per OCI EKMS. Utilizzare le specifiche API del fornitore di OCI EKMS per abilitare le operazioni di cifratura.
- Esponi un endpoint di servizio sicuro e affidabile per le API del fornitore OCI EKMS, autenticato utilizzando i token JWT emessi da OCI Identity Cloud Service (IDCS).
- Stabilire la connettività di rete tra OCI e il sistema KMS di terze parti. Vedere Distribuzione del Key Manager esterno.
- Impostare una connessione di rete sicura e affidabile tra OCI EKMS e il sistema KMS di terze parti. Vedere Impostazione dei componenti di rete e Impostazione di FastConnect per la collocazione.
- Configurare un'applicazione IDCS OCI per autenticare OCI EKMS con il sistema KMS di terze parti. Vedere Setting up TLS Connectivity and Setting Up Authentication and Authorization.
- Creare un vault esterno e le chiavi collegate al servizio KMS di terze parti.
- Eseguire il provisioning di un vault esterno e delle chiavi associate all'interno di OCI integrati con il KMS di terze parti.
- Abilitare le chiavi gestite dal cliente per le risorse OCI.
- Configurare le risorse OCI, ad esempio i bucket di storage degli oggetti o Autonomous AI Database, per utilizzare le chiavi gestite dal cliente dal vault esterno.
Per gestire i task di onboarding è possibile utilizzare i task riportati di seguito.