Documentazione dell'infrastruttura Oracle Cloud

Gestisci chiavi di cifratura principali nel servizio di gestione delle chiavi AWS

Autonomous Database supporta chiavi TDE (Transparent Data Encryption) gestite dal cliente che risiedono in AWS Key Management Service (KMS).

Argomento padre: Gestisci chiavi di cifratura su Autonomous Database

Prerequisiti per l'uso delle chiavi di cifratura gestite dal cliente nel servizio di gestione delle chiavi AWS

Descrive i passi dei prerequisiti per utilizzare le chiavi di cifratura master gestite dal cliente che risiedono in Amazon Web Services (AWS) Key Management Service (KMS) su Autonomous Database.

Limitazioni
  • AWS KMS è supportato solo nelle aree commerciali.
  • AWS KMS non è supportato negli standby Autonomous Data Guard tra più region.

Attenersi alla procedura seguente:

  1. Crea un criterio AWS che concede l'accesso in lettura a AWS KMS.

    Per ulteriori informazioni, vedere Creazione di un criterio IAM per accedere ad AWS KMS e Esecuzione dei prerequisiti di gestione AWS per l'utilizzo dei nomi delle risorse Amazon (ARN).

    Ad esempio, il criterio ADBS_AWS_Policy1 è stato creato:
    Segue la descrizione di sec_aws_policy.png
    Descrizione dell'immagine sec_aws_policy.png

    Il criterio ADBS_AWS_Policy1 include l'autorizzazione per accedere a KMS.
    Segue la descrizione di sec_aws_perm.png
    Descrizione dell'immagine sec_aws_perm.png

  2. Creare un ruolo AWS e associare il criterio al ruolo.

    Per istruzioni, vedere Creazione di un ruolo IAM per accedere ai servizi AWS.

    Ad esempio, è stato creato un ruolo ADBS_AWS_Role1:


    Segue la descrizione di sec_aws_role.png
    Descrizione dell'immagine sec_aws_role.png

    In questo esempio, il criterio ADBS_AWS_Policy1 è associato al ruolo ADBS_AWS_Role1:


    Segue la descrizione di sec_aws_att_policy.png
    Descrizione dell'immagine sec_aws_att_policy.png

    Nella pagina dei dettagli dei criteri, per questo esempio, il ruolo è elencato in Allegato come criterio delle autorizzazioni:


    Segue la descrizione di sec_aws_att_role.png
    Descrizione dell'immagine sec_aws_att_role.png

  3. Specificare una relazione attendibile per il ruolo.

    Modificare la relazione attendibile del ruolo AWS in modo da includere l'ARN utente di Oracle e un ID esterno (OCID tenancy) per una maggiore sicurezza.

    1. Su Autonomous Database, query CLOUD_INTEGRATIONS.

      Ad esempio:

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
aws_arn           arn:aws:iam:…:user/oraclearn

      La vista CLOUD_INTEGRATIONS è disponibile per l'utente ADMIN o per un utente con ruolo DWROLE.

    2. Copiare PARAM_VALUE per aws_user_arn e salvare il valore per un passo successivo.
    3. Ottenere l'OCID tenancy, necessario per l'ID esterno.

      Nella console OCI fare clic sul profilo e selezionare Tenancy per andare alla pagina dei dettagli della tenancy. Copiare l'OCID tenancy e salvarlo per un passo successivo.

      Ad esempio:


      Segue la descrizione di sec_aws_ocid.png
      Descrizione dell'immagine sec_aws_ocid.png

    4. Sul portale AWS, vai alle entità attendibili per il ruolo e scorri fino all'istruzione "Principal".
    5. Per "Principal" specificare "AWS" come ARN dell'utente Oracle salvato e per "Condition" specificare "sts:ExternalId" come OCID salvato.

Usa chiavi di cifratura gestite dal cliente in Autonomous Database con AWS Key Management Service

Mostra i passi per cifrare Autonomous Database utilizzando le chiavi di cifratura master gestite dal cliente che risiedono in AWS Key Management Service (KMS).

Attenersi alla procedura seguente:

  1. Eseguire i passi dei prerequisiti della chiave di cifratura gestita dal cliente richiesti, se necessario. Per i dettagli, consulta la sezione Prerequisiti per l'uso delle chiavi di cifratura gestite dal cliente in AWS Key Management Service.
  2. Crea un'istanza di Autonomous Database che utilizza l'impostazione della chiave di cifratura predefinita Cifra utilizzando una chiave gestita da Oracle. Per ulteriori informazioni, vedere Eseguire il provisioning di un'istanza di Autonomous Database.
    Nota

    Le impostazioni delle chiavi di cifratura per le chiavi gestite dal cliente in AWS Key Vault non sono disponibili durante il processo di creazione dell'istanza di Autonomous Database. Le opzioni sono disponibili dopo il provisioning, quando si modifica l'istanza.
  3. Nella pagina Dettagli per l'istanza di Autonomous Database, fare clic su Altre azioni e selezionare Gestisci chiave di cifratura.
    Nota

    Se si stanno già utilizzando chiavi gestite dal cliente in AWS KMS e si desidera ruotare le chiavi TDE, attenersi alla procedura riportata di seguito e selezionare una chiave diversa (selezionare una chiave diversa dalla chiave di cifratura principale attualmente selezionata).
  4. Nella pagina Gestisci chiave di cifratura selezionare Cifra utilizzando una chiave gestita dal cliente.
  5. Nell'elenco a discesa Tipo di chiave selezionare Amazon Web Services (AWS).
  6. Immettere l'URI endpoint del servizio.

    L'URI dell'endpoint del servizio è l'area AWS in cui si trova AWS KMS.

    1. Vai al portale AWS, vai al KMS dove si trova la tua chiave.
    2. Trovare il nome dell'area elencato nella barra superiore del portale.

      Ad esempio, questo sistema KMS si trova nell'area denominata Ohio:


      Segue la descrizione di sec_aws_region.png
      Descrizione dell'immagine sec_aws_region.png

    3. Cercare l'endpoint corrispondente all'area. Vai agli endpoint e alle quote del servizio di gestione delle chiavi AWS e trova l'endpoint per il nome dell'area AWS in cui si trova AWS KMS.

      Ad esempio, se il nome dell'area AWS è Ohio, l'endpoint è kms.us-east-2.amazonaws.com.

    4. Immettere l'endpoint per l'URI endpoint servizio.
  7. Immettere l'ARN o l'alias chiave.
    1. Vai alla pagina dei dettagli chiave sul portale AWS. Copia l'alias o l'ARN della chiave.

      Ad esempio, l'alias per ADBS_TestAWSKMSKey è selezionato:


      Segue la descrizione di sec_aws_alias.png
      Descrizione dell'immagine sec_aws_alias.png

    2. Immettere l'alias o l'ARN della chiave nel campo ARN o alias della chiave.
      Se si immette l'alias, anteporre alla voce il prefisso alias/. Ad esempio, se l'alias è ADBS_TestAWSKMSKey, immettere:
      alias/ADBS_TestAWSKMSKey
      Se si immette l'ARN, non è necessario alcun prefisso. Ad esempio, se l'ARN è arn.aws.kms.us-east-2:37807956...bd154 immettere:
      arn.aws.kms.us-east-2:37807956...bd154
  8. Immettere il ruolo ARN (facoltativo).
    1. Passare alla pagina dei dettagli dei ruoli nel portale AWS.
    2. Copiare l'ARN del ruolo.

      Ad esempio, viene copiato l'ARN per ADBS_AWS_Role1:


      Segue la descrizione di sec_aws_arn_role.png
      Descrizione dell'immagine sec_aws_arn_role.png

    3. Immettere l'ARN copiato nel campo Ruolo AVVERTENZA.
  9. Immettere l'ID esterno (facoltativo).

    Per l'ID esterno immettere tenant_ocid.

  10. Fare clic su Salva.

Lo stato del ciclo di vita passa a Aggiornamento. Al termine della richiesta, in Stato del ciclo di vita viene visualizzato Disponibile.

Al termine della richiesta, nella console di Oracle Cloud Infrastructure, le informazioni chiave vengono visualizzate nella pagina dei dettagli dell'istanza di Autonomous Database sotto l'intestazione Cifratura.

Ad esempio:


Segue la descrizione di sec_aws_done.png
Descrizione dell'immagine sec_aws_done.png

Per ulteriori informazioni, consulta le note per l'utilizzo di chiavi gestite dal cliente con Autonomous Database.