Gestire chiavi di cifratura principali in Azure Key Vault

Autonomous Database supporta le chiavi TDE (Transparent Data Encryption) gestite dal cliente che risiedono in Azure Key Vault.

Prerequisiti per utilizzare le chiavi di cifratura gestite dal cliente in Azure Key Vault
Descrive i passi dei prerequisiti per utilizzare le chiavi di cifratura master gestite dal cliente su Autonomous Database che risiedono in Azure Key Vault.
Usa le chiavi di cifratura gestite dal cliente su Autonomous Database con Azure Key Vault
Mostra i passi per cifrare l'Autonomous Database utilizzando le chiavi di cifratura master gestite dal cliente che risiedono in Azure Key Vault.

Argomento padre: Gestisci chiavi di cifratura su Autonomous Database

Prerequisiti per l'uso delle chiavi di cifratura gestite dal cliente in Azure Key Vault

Descrive i passi dei prerequisiti per utilizzare le chiavi di cifratura master gestite dal cliente in Autonomous Database che risiedono in Azure Key Vault.

Limitazioni

Azure Key Vault è supportato solo nelle aree commerciali.
L'accesso cross-tenancy, in cui l'istanza di Autonomous Database e Azure Key Vault si trovano in tenancy diverse, non è supportato.
Azure Key Vault non è supportato nei database di standby tra più aree.
Azure Key Vault non è supportato nelle copie aggiornabili.
Le forme e le dimensioni chiave supportate sono le seguenti:
- RSA 2048, 3072 e 4096
- EC-P256, EC-P256K, EC-P384, EC-P521

Procedere come segue:

Creare un'istanza di Autonomous Database che utilizza l'impostazione della chiave di cifratura predefinita di Cifra mediante una chiave gestita da Oracle. Per ulteriori informazioni, vedere Eseguire il provisioning di un'istanza di Autonomous Database.

Nota

Le impostazioni delle chiavi di cifratura per le chiavi gestite dal cliente in Azure Key Vault non sono disponibili durante il processo di creazione. Le opzioni sono disponibili dopo il provisioning quando si modifica l'istanza.
Creare un vault di chiavi di Azure con una chiave master di cifratura dei dati trasparente (TDE).

Per ulteriori informazioni, vedere Informazioni su Azure Key Vault.
Abilitare l'autenticazione del principal del servizio Azure con la directory tenant_id di Azure per consentire all'istanza di Autonomous Database di accedere a Azure Key Vault.
1. Ottenere l'ID tenant Microsoft Azure Active Directory.
  
  Descrizione dell'immagine sec_az_tenant_id.png
  
  Per ulteriori informazioni, vedere Come trovare l'ID tenant di Azure Active Directory.
2. Eseguire la connessione all'istanza come ADMIN.
3. Abilitare il principal del servizio di Azure con DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH. Il valore di azure_tenantid è l'ID directory di Azure ottenuto nel passo precedente.
  Ad esempio:
```
BEGIN
 DBMS_CLOUD_ADMIN.ENABLE_PRINCIPAL_AUTH(
         provider => 'AZURE',
         params   => JSON_OBJECT('azure_tenantid' value 'azure_directoryID'));
 END;
 /
```
  Ciò consente l'autenticazione del principal del servizio Azure e crea un'applicazione Azure per Autonomous Database sul portale Azure. Per ulteriori informazioni, vedere Abilita Azure Service Principal.
Fornire il consenso dell'applicazione Azure per accedere alle risorse Azure da Autonomous Database.
1. Sulla query Autonomous Database CLOUD_INTEGRATIONS.
  Ad esempio:
```
SELECT * FROM CLOUD_INTEGRATIONS;

PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...
```
  La vista CLOUD_INTEGRATIONS è disponibile per l'utente ADMIN o per un utente con ruolo DWROLE.
2. In un browser, aprire l'URL di consenso di Azure specificato dal parametro azure_consent_url.
  Ad esempio, copiare azure_consent_url dai risultati della query e immettere l'URL nel browser:
```
https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
```
  Viene visualizzata la pagina Autorizzazioni richieste con una richiesta di consenso simile alla seguente:
  
  Descrizione dell'immagine azure_consent.png
Ottenere il nome dell'applicazione Azure.
1. Sulla query Autonomous Database CLOUD_INTEGRATIONS.
  Ad esempio:
```
SELECT * FROM CLOUD_INTEGRATIONS;
```
2. Copiare il valore client_id incluso nel consent_url.
```
PARAM_NAME        PARAM_VALUE
--------------- ------------------------------------------------------------------------------------------------------------------------------------------
azure_tenantid    29...eb
azure_consent_url https://login.microsoftonline.com/f8...5a/oauth2/v2.0/authorize?client_id=d4f5...d5&response_type=code&scope=User.read
azure_app_name    ADBS_APP_OCID1.AUTONOMOUSDATABASE...
```
3. Effettuare una ricerca nel portale client_id di Azure. L'ID applicazione viene visualizzato in Microsoft Entra ID.
  
  Descrizione dell'immagine sec_az_app_name.png
4. Copiare l'ID applicazione. Questo valore viene utilizzato nei passi successivi per consentire a questa applicazione di accedere alle chiavi in Azure Key Vault.
Assegnare i ruoli necessari per l'applicazione Azure per accedere a Azure Key Vault.
1. Nel portale di Azure, accedere ai criteri di accesso per Azure Key Vault.
  
  Viene visualizzata la lista di applicazioni con accesso a questo vault.
2. Nella pagina Criteri di accesso, fare clic su + Crea per creare un criterio di accesso per l'applicazione per accedere a questo vault di chiavi.
  
  Descrizione dell'immagine sec_az_acc_pol.png
3. Per le autorizzazioni nella pagina Crea un criterio di accesso, selezionare tutte le autorizzazioni chiave, tra cui Operazioni di gestione delle chiavi, Operazioni di cifratura, Operazioni con chiave privilegiata e Operazioni dei criteri di rotazione, quindi fare clic su Avanti.
4. Per Principal, cercare il nome dell'applicazione.
5. Selezionare il nome dell'applicazione visualizzata e fare clic su Avanti.
6. Per Application (facoltativo), selezionare Next.
7. Per Rivedi + crea, rivedere i dettagli del criterio e fare clic su Crea.
  
  Descrizione dell'immagine sec_az_create_pol.png
8. Nella pagina dei dettagli di Azure Key Vault, fare clic su Aggiorna e cercare il nome dell'applicazione. È incluso nella lista visualizzata di applicazioni con autorizzazione per accedere alle chiavi in questo vault di chiavi di Azure.
Per ulteriori informazioni, vedere Assegnare un criterio di accesso a Key Vault.

Argomento padre: Gestisci chiavi di cifratura master in Key Vault di Azure

Usa chiavi di cifratura gestite dal cliente su Autonomous Database con Azure Key Vault

Mostra i passi per cifrare Autonomous Database utilizzando le chiavi di cifratura master gestite dal cliente che risiedono in Azure Key Vault.

Procedere come segue:

Eseguire i passi necessari per i prerequisiti della chiave principale gestita dal cliente. Vedere Prerequisiti per l'utilizzo delle chiavi di cifratura gestite dal cliente in Azure Key Vault.
Nella pagina Dettagli, nell'elenco a discesa Altre azioni selezionare Gestisci chiave di cifratura.

Nota

Se si stanno già utilizzando chiavi TDE (Transparent Data Encryption) gestite dal cliente memorizzate in Azure Key Vault e si desidera ruotare le chiavi, attenersi alla procedura riportata di seguito e selezionare una chiave diversa (selezionare una chiave diversa dalla chiave TDE principale attualmente selezionata).
Nella pagina Gestisci chiave di cifratura, selezionare Cifra utilizzando una chiave gestita dal cliente.
Nell'elenco a discesa Tipo di chiave, selezionare Microsoft Azure.

Descrizione dell'immagine sec_azure.png
Nel campo URI del vault immettere URI di Azure Vault.
1. Nel portale di Azure, accedere a Azure Key Vault.
2. Selezionare la pagina Panoramica di Azure Key Vault e copiare l'URI del vault visualizzato.
  
  Descrizione dell'immagine sec_az_vault_uri.png
3. Immettere l'URI di Azure Vault copiato nel campo URI del vault nella pagina Gestisci chiave di cifratura di Autonomous Database.
Nel campo Nome chiave, immettere il nome del nome della chiave di Azure.
1. Nel portale di Azure, accedere a Azure Key Vault e selezionare Chiavi. Viene visualizzata una lista di chiavi per questo vault.
2. Dall'elenco delle chiavi visualizzate, copiare il nome chiave che si desidera utilizzare.
  
  Descrizione dell'immagine sec_az_key_name.png
3. Immettere il nome della chiave di Azure copiata nel campo Nome chiave della pagina Gestisci chiave di cifratura di Autonomous Database.
Fare clic suSalva.

Lo stato del ciclo di vita viene modificato in Aggiornamento. Al termine della richiesta, nel campo Stato ciclo di vita viene visualizzato Disponibile.

Al termine della richiesta, nella console di Oracle Cloud Infrastructure le informazioni chiave vengono visualizzate nella pagina Informazioni di Autonomous Database sotto l'intestazione Cifratura. Quest'area mostra la chiave di cifratura chiave gestita dal cliente (Microsoft Azure) e visualizza l'URI del vault e il nome della chiave.

Ad esempio:
Segue la descrizione di sec_az_results.png
Descrizione della figura sec_az_results.png

Per ulteriori informazioni, consulta le Note per l'utilizzo di chiavi gestite dal cliente con Autonomous Database.

Argomento padre: Gestisci chiavi di cifratura master in Key Vault di Azure

Documentazione dell'infrastruttura Oracle Cloud