Documentazione di Oracle Cloud Infrastructure

Prerequisiti per l'uso delle chiavi di cifratura gestite dal cliente su Autonomous Database in OCI Vault

Eseguire i passi dei prerequisiti riportati di seguito per utilizzare le chiavi gestite dal cliente su Autonomous Database in OCI Vault.

  1. Creare un Oracle Cloud Infrastructure Vault.
    1. Aprire la console di Oracle Cloud Infrastructure facendo clic su icona di navigazioneaccanto a Oracle Cloud.
    2. Nel menu di navigazione a sinistra di Oracle Cloud Infrastructure fare clic su Identity and Security.
    3. In Gestione di chiavi e segreti fare clic su Vault.
    4. Selezionare un vault esistente o crearne uno nuovo.

      Per ulteriori dettagli, vedere Creazione di un vault.

  2. Creare una chiave di cifratura primaria nel vault.
    Nota

    Quando si crea la chiave, è necessario utilizzare le opzioni riportate di seguito.

    • Forma chiave: algoritmo: AES (chiave simmetrica utilizzata per la cifratura e la decifrazione)

    • Forma della chiave: lunghezza: 256 bit

    Per ulteriori informazioni, vedere Creazione di una chiave di cifratura master e Panoramica di Key Management.

  3. Crea gruppi dinamici e istruzioni dei criteri per il gruppo dinamico per consentire l'accesso alle risorse di Oracle Cloud Infrastructure (Vault e chiavi).
    Questo passo dipende dal fatto che il vault si trovi sulla stessa tenancy dell'istanza di Autonomous Database o su una tenancy diversa:

Devi replicare il vault e le chiavi per utilizzare le chiavi di cifratura gestite dal cliente con Autonomous Data Guard e un database di standby remoto. Le chiavi di cifratura gestite dal cliente sono supportate solo con un singolo database di standby Autonomous Data Guard tra più aree. I database di standby tra più aree non sono supportati perché Oracle Cloud Infrastructure Vault supporta solo la replica in un'area remota.

Per ulteriori informazioni, vedere gli argomenti riportati di seguito.

Argomento padre: Gestisci chiavi di cifratura master nel vault OCI

Crea gruppo dinamico e criteri per chiavi gestite dal cliente con vault nella stessa tenancy del database

Creare un gruppo dinamico e criteri per fornire l'accesso al vault e alle chiavi per le chiavi gestite dal cliente quando il vault e le chiavi si trovano nella stessa tenancy dell'istanza di Autonomous Database.

  1. Creare un gruppo dinamico per rendere la chiave di cifratura master accessibile all'istanza di Autonomous Database.
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    2. In Identità fare clic su Domini e selezionare un dominio di Identity (o creare un nuovo dominio di Identity).
    3. In dominio di Identity, fare clic su Gruppi dinamici.
    4. Fare clic su Crea gruppo dinamico e immettere un nome, una descrizione e una regola.

      • Crea gruppo dinamico per un database esistente:

        È possibile specificare che un'istanza di Autonomous Database fa parte del gruppo dinamico. Il gruppo dinamico nell'esempio riportato di seguito include solo Autonomous Database il cui OCID è specificato nel parametro resource.id. 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Creare un gruppo dinamico per un database di cui non è stato ancora eseguito il provisioning:

        Quando si crea il gruppo dinamico prima di eseguire il provisioning o la copia di un'istanza di Autonomous Database, l'OCID per il nuovo database non è ancora disponibile. In questo caso, creare un gruppo dinamico che specifichi le risorse in un determinato compartimento: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Fare clic su Crea.
  2. Scrivere le istruzioni dei criteri per il gruppo dinamico per abilitare l'accesso alle risorse Oracle Cloud Infrastructure (valori e chiavi).
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identity & Security e su Policy.
    2. Per scrivere i criteri per un gruppo dinamico, fare clic su Crea criterio e immettere un nome e una descrizione.
    3. Utilizzare Costruzione guidata criteri per creare un criterio per il vault e le chiavi nella tenancy locale.

      Ad esempio, quanto riportato di seguito consente ai membri del gruppo dinamico DGKeyCustomer1 di accedere ai vault e alle chiavi nel compartimento denominato training: 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Questo criterio di esempio si applica a un singolo compartimento. Puoi specificare che un criterio si applica alla tua tenancy, a un compartimento, a una risorsa o a un gruppo di risorse.

      Per utilizzare le chiavi gestite dal cliente con Autonomous Data Guard e un database in standby remoto, è necessario anche il criterio riportato di seguito. 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Fare clic su Crea per salvare il criterio.

    Per ulteriori informazioni, vedere gli argomenti riportati di seguito.

Crea gruppo dinamico e criteri per le chiavi gestite dal cliente con Vault in una tenancy diversa dal database

Eseguire questi passi per utilizzare le chiavi gestite dal cliente quando l'istanza di Autonomous Database, i vault e le chiavi si trovano in tenancy diverse.

In questo caso, è necessario fornire i valori OCID quando si passa alle chiavi gestite dal cliente. Inoltre, devi definire gruppi dinamici e criteri che consentano all'istanza di Autonomous Database di utilizzare vault e chiavi in una tenancy diversa.

  1. Copiare l'OCID della chiave di cifratura master.
  2. Copiare l'OCID del vault.
  3. Copiare l'OCID della tenancy (la tenancy remota che contiene vault e chiavi).
  4. Nella tenancy con l'istanza di Autonomous Database, creare un gruppo dinamico.
    1. Nella console di Oracle Cloud Infrastructure, nella tenancy con l'istanza di Autonomous Database, fare clic su Identity & Security.
    2. In Identità fare clic su Domini e selezionare un dominio di Identity (o creare un nuovo dominio di Identity).
    3. In dominio di Identity, fare clic su Gruppi dinamici.
    4. Fare clic su Crea gruppo dinamico e immettere un nome, una descrizione e una regola.

      • Crea gruppo dinamico per un database esistente:

        È possibile specificare che un'istanza di Autonomous Database fa parte del gruppo dinamico. Il gruppo dinamico nell'esempio riportato di seguito include solo Autonomous Database il cui OCID è specificato nel parametro resource.id. 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Creare un gruppo dinamico per un database di cui non è stato ancora eseguito il provisioning:

        Quando si crea il gruppo dinamico prima di eseguire il provisioning o la copia di un'istanza di Autonomous Database, l'OCID per il nuovo database non è ancora disponibile. In questo caso, creare un gruppo dinamico che specifichi le risorse in un determinato compartimento: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Fare clic su Crea.
  5. Nella tenancy con l'istanza di Autonomous Database, definire i criteri per consentire l'accesso ai vault e alle chiavi (in cui i vault e le chiavi si trovano in una tenancy diversa).
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    2. In Identità fare clic su Criteri.
    3. Per scrivere un criterio, fare clic su Crea criterio.
    4. Nella pagina Crea criterio, immettere un nome e una descrizione.
    5. Nella pagina Crea criterio, selezionare Mostra editor manuale.
    6. Nella Costruzione guidata criteri aggiungere criteri in modo che l'istanza di Autonomous Database sia in grado di accedere ai vault e alle chiavi che si trovano nella tenancy diversa. Aggiungere inoltre criteri per il gruppo IAM a cui appartiene l'utente IAM in modo che la console di Oracle Cloud Infrastructure per l'istanza di Autonomous Database possa mostrare i dettagli sulla chiave che risiede in una tenancy diversa.

      Ad esempio, nel criterio generico, chiamare la tenancy con l'istanza di Autonomous Database Tenancy-1 e la tenancy con vault e chiavi, Tenancy-2:

      Copiare il criterio seguente e sostituire le variabili e i nomi con i valori definiti, dove il nome del gruppo dinamico ADB-DynamicGroup è il gruppo dinamico creato nel Passo 4: 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Ad esempio, quanto riportato di seguito consente ai membri del gruppo dinamico DGKeyCustomer1 di accedere ai vault e alle chiavi remoti nella tenancy denominata training2: 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Fare clic su Crea per salvare il criterio.
  6. Copiare l'OCID della tenancy (la tenancy che contiene l'istanza di Autonomous Database).
  7. Copiare l'OCID del gruppo dinamico (per il gruppo dinamico creato al passo 4).
  8. Nella tenancy remota con vault e chiavi, definire un gruppo dinamico e criteri per consentire all'istanza di Autonomous Database di accedere ai vault e alle chiavi.
    1. Nella console di Oracle Cloud Infrastructure, fare clic su Identity & Security.
    2. In Identità fare clic su Criteri.
    3. Per creare un criterio, fare clic su Crea criterio.
    4. Nella pagina Crea criterio, immettere un nome e una descrizione.
    5. Nella pagina Crea criterio, selezionare Mostra editor manuale.
    6. Nella Costruzione guidata criteri aggiungere criteri e un gruppo dinamico per fornire l'accesso al gruppo dinamico nella tenancy con l'istanza di Autonomous Database (tenancy-1), in modo che l'istanza di Autonomous Database possa utilizzare i vault e le chiavi nella tenancy-2. Inoltre, è necessario aggiungere criteri per consentire al gruppo di utenti di accedere al vault e alle chiavi per visualizzare le informazioni sulla console di Oracle Cloud Infrastructure per l'istanza di Autonomous Database in una tenancy diversa.

      Utilizzare la Costruzione guidata criteri per creare un gruppo dinamico e un criterio per vault e chiavi. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Ad esempio, definire quanto riportato di seguito nella tenancy remota per consentire ai membri del gruppo dinamico DGKeyCustomer1 e del gruppo REMGROUP di accedere ai vault e alle chiavi remoti nella tenancy denominata training2. 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Fare clic su Crea per salvare il criterio.