Documentazione dell'infrastruttura Oracle Cloud

Gestire le chiavi di cifratura principali in AWS Key Management Service

Autonomous Database supporta le chiavi TDE (Transparent Data Encryption) gestite dal cliente che risiedono in KMS (AWS Key Management Service).

Argomento padre: Gestisci chiavi di cifratura su Autonomous Database

Prerequisiti per l'uso delle chiavi di cifratura gestite dal cliente in AWS Key Management Service

Descrive i passi dei prerequisiti per utilizzare le chiavi di cifratura master gestite dal cliente che risiedono nel servizio KMS (Key Management Service) di Amazon Web Services (AWS) su Autonomous Database.

Limitazioni
  • AWS KMS è supportato solo nelle aree commerciali.
  • L'accesso cross-tenancy, in cui l'istanza di Autonomous Database e AWS KMS si trovano in tenancy diverse, non è supportato.
  • AWS KMS non è supportato nei database di standby tra più aree.
  • AWS KMS non è supportato nelle copie aggiornabili.

Procedere come segue:

  1. Crea un criterio AWS che concede l'accesso in lettura a AWS KMS.

    Per ulteriori informazioni, vedere Creazione di un criterio IAM per accedere a AWS KMS e Esecuzione dei prerequisiti di gestione AWS per l'utilizzo dei nomi di risorse Amazon (ARN).

    Ad esempio, il criterio ADBS_AWS_Policy1 è stato creato:
    Segue la descrizione di sec_aws_policy.png
    Descrizione della figura sec_aws_policy.png

    Il criterio ADBS_AWS_Policy1 include l'autorizzazione per accedere a KMS.
    Segue la descrizione di sec_aws_perm.png
    Descrizione della figura sec_aws_perm.png

  2. Creare un ruolo AWS e allegare il criterio al ruolo.

    Per istruzioni, vedere Creazione di un ruolo IAM per accedere ai servizi AWS.

    Ad esempio, è stato creato un ruolo ADBS_AWS_Role1:


    Segue la descrizione di sec_aws_role.png
    Descrizione dell'immagine sec_aws_role.png

    In questo esempio il criterio ADBS_AWS_Policy1 è collegato al ruolo ADBS_AWS_Role1:


    Segue la descrizione di sec_aws_att_policy.png
    Descrizione dell'immagine sec_aws_att_policy.png

    Nella pagina dei dettagli dei criteri, per questo esempio, il ruolo viene elencato in Criterio di autorizzazione allegato:


    Segue la descrizione di sec_aws_att_role.png
    Descrizione dell'immagine sec_aws_att_role.png

  3. Specificare una relazione sicura per il ruolo.

    Modificare la relazione di affidabilità del ruolo AWS in modo da includere l'ARN utente di Oracle e un ID esterno (OCID tenancy) per una sicurezza aggiuntiva.

    1. Sulla query Autonomous Database CLOUD_INTEGRATIONS.

      Ad esempio:

      SELECT * FROM CLOUD.INTEGRATIONS;
      SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
aws_arn           arn:aws:iam:…:user/oraclearn

      La vista CLOUD_INTEGRATIONS è disponibile per l'utente ADMIN o per un utente con ruolo DWROLE.

    2. Copiare PARAM_VALUE per aws_user_arn e salvare il valore per un passo successivo.
    3. Recupera l'OCID tenancy, necessario per l'ID esterno.

      Nella console OCI, fare clic su Profilo e selezionare Tenancy per andare alla pagina dei dettagli della tenancy. Copiare l'OCID della tenancy e salvarlo per un passo successivo.

      Ad esempio:


      Segue la descrizione di sec_aws_ocid.png
      Descrizione dell'immagine sec_aws_ocid.png

    4. Nel portale AWS, vai alle entità affidabili per il ruolo e scorri fino all'istruzione "Principal".
    5. Per "Principal" specificare "AWS" come ARN utente Oracle salvato e per "Condition" specificare "sts:ExternalId" come OCID salvato.

Usa chiavi di cifratura gestite dal cliente su Autonomous Database con il servizio di gestione delle chiavi AWS

Mostra i passi per cifrare Autonomous Database utilizzando le chiavi di cifratura master gestite dal cliente che risiedono in AWS Key Management Service (KMS).

Procedere come segue:

  1. Se necessario, eseguire i passi necessari per i prerequisiti della chiave di cifratura gestita dal cliente. Per i dettagli, vedere Prerequisiti per l'utilizzo delle chiavi di cifratura gestite dal cliente nel servizio AWS Key Management.
  2. Creare un'istanza di Autonomous Database che utilizza l'impostazione della chiave di cifratura predefinita di Cifra mediante una chiave gestita da Oracle. Per ulteriori informazioni, vedere Eseguire il provisioning di un'istanza di Autonomous Database.
    Nota

    Le impostazioni delle chiavi di cifratura per le chiavi gestite dal cliente in AWS Key Vault non sono disponibili durante il processo di creazione dell'istanza di Autonomous Database. Le opzioni sono disponibili dopo il provisioning quando si modifica l'istanza.
  3. Nella pagina Dettagli per l'istanza di Autonomous Database, fare clic su Altre azioni e selezionare Gestisci chiave di cifratura.
    Nota

    Se si stanno già utilizzando chiavi gestite dal cliente in AWS KMS e si desidera ruotare le chiavi TDE, seguire questi passaggi e selezionare una chiave diversa (selezionare una chiave diversa dalla chiave di cifratura principale attualmente selezionata).
  4. Nella pagina Gestisci chiave di cifratura, selezionare Cifra utilizzando una chiave gestita dal cliente.
  5. Nell'elenco a discesa Tipo di chiave, selezionare Amazon Web Services (AWS).
  6. Immettere l'URI dell'endpoint del servizio.

    L'URI dell'endpoint del servizio è l'area AWS in cui si trova AWS KMS.

    1. Vai al portale AWS, vai al KMS in cui si trova la tua chiave.
    2. Trovare il nome dell'area elencato nella barra superiore del portale.

      Ad esempio, questo KMS si trova nell'area denominata Ohio:


      Segue la descrizione di sec_aws_region.png
      Descrizione dell'immagine sec_aws_region.png

    3. Cercare l'endpoint corrispondente all'area. Andare a Endpoint e quote del servizio di gestione chiavi AWS e trovare l'endpoint per il nome dell'area AWS in cui si trova il tuo KMS AWS.

      Ad esempio, se il nome dell'area AWS è Ohio, l'endpoint è kms.us-east-2.amazonaws.com.

    4. Immettere l'endpoint per l'URI endpoint del servizio.
  7. Immettere l'ARN o l'alias chiave.
    1. Andare alla pagina dei dettagli chiave del portale AWS. Copiare l'alias o l'ARN della chiave.

      Ad esempio, viene selezionato l'alias per ADBS_TestAWSKMSKey:


      Segue la descrizione di sec_aws_alias.png
      Descrizione dell'immagine sec_aws_alias.png

    2. Immettere l'alias o l'ARN della chiave nel campo ARN o alias chiave.
      Se si immette l'alias, inserire alias/ prima della voce. Ad esempio, se l'alias è ADBS_TestAWSKMSKey, immettere:
      alias/ADBS_TestAWSKMSKey
      Se si inserisce l'ARN, non è necessario alcun prefisso. Ad esempio, se l'ARN è arn.aws.kms.us-east-2:37807956...bd154, immettere:
      arn.aws.kms.us-east-2:37807956...bd154
  8. Inserire il ruolo ARN (facoltativo).
    1. Andare alla pagina dei dettagli del ruolo nel portale AWS.
    2. Copiare l'ARN del ruolo.

      Ad esempio, viene copiato l'ARN per ADBS_AWS_Role1:


      Segue la descrizione di sec_aws_arn_role.png
      Descrizione dell'immagine sec_aws_arn_role.png

    3. Immettere l'ARN copiato nel campo Ruolo AV.
  9. Immettere l'ID esterno (facoltativo).

    Per l'ID esterno, immettere tenant_ocid.

  10. Fare clic suSalva.

Lo stato del ciclo di vita viene modificato in Aggiornamento. Al termine della richiesta, nel campo Stato ciclo di vita viene visualizzato Disponibile.

Al termine della richiesta, nella console di Oracle Cloud Infrastructure le informazioni chiave vengono visualizzate nella pagina dei dettagli dell'istanza di Autonomous Database sotto l'intestazione Cifratura.

Ad esempio:


Segue la descrizione di sec_aws_done.png
Descrizione dell'immagine sec_aws_done.png

Per ulteriori informazioni, consulta le Note per l'utilizzo di chiavi gestite dal cliente con Autonomous Database.