Documentazione dell'infrastruttura Oracle Cloud

Prerequisiti per utilizzare le chiavi di cifratura gestite dal cliente in Autonomous Database in OCI Vault

Eseguire i passi dei prerequisiti riportati di seguito per utilizzare le chiavi gestite dal cliente in Autonomous Database in OCI Vault.

  1. Creare un Oracle Cloud Infrastructure Vault.
    1. Apri la console di Oracle Cloud Infrastructure facendo clic su icona di navigazioneaccanto a Oracle Cloud.
    2. Nel menu di navigazione a sinistra di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    3. In Gestione chiavi e gestione dei segreti fare clic su Vault.
    4. Selezionare un vault esistente o crearne uno nuovo.

      Per ulteriori dettagli, vedere Creazione di un vault.

  2. Creare una chiave di cifratura master nel vault.
    Nota

    Quando si crea la chiave, è necessario utilizzare le seguenti opzioni:

    • Forma chiave: algoritmo: AES (Chiave simmetrica usata per cifrare e decifrare)

    • Forma chiave: lunghezza: 256 bit

    Per ulteriori informazioni, vedere Creazione di una chiave di cifratura master e Panoramica della gestione delle chiavi.

  3. Crea istruzioni di gruppo dinamico e criteri per il gruppo dinamico per abilitare l'accesso alle risorse di Oracle Cloud Infrastructure (valori predefiniti e chiavi).
    Questo passo dipende dal fatto che il vault si trovi nella stessa tenancy dell'istanza di Autonomous Database o in una tenancy diversa:

Devi replicare il vault e le chiavi per utilizzare le chiavi di cifratura gestite dal cliente con Autonomous Data Guard con un database in standby remoto. Le chiavi di cifratura gestite dal cliente sono supportate solo con un singolo standby Autonomous Data Guard tra più aree. Più standby tra più aree non sono supportati perché Oracle Cloud Infrastructure Vault supporta solo la replica in un'area remota.

Per ulteriori informazioni, vedere gli argomenti riportati di seguito.

Argomento padre: Gestisci chiavi di cifratura master in OCI Vault

Crea gruppo dinamico e criteri per le chiavi gestite dal cliente con vault nella stessa tenancy del database

Creare un gruppo dinamico e criteri per fornire l'accesso al vault e alle chiavi per le chiavi gestite dal cliente quando il vault e le chiavi si trovano nella stessa tenancy dell'istanza di Autonomous Database.

  1. Creare un gruppo dinamico per rendere la chiave di cifratura master accessibile all'istanza di Autonomous Database.
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    2. In Identità fare clic su Domini e selezionare un dominio di Identity oppure creare un nuovo dominio di Identity.
    3. In Dominio di identità, fare clic su Gruppi dinamici.
    4. Fare clic su Crea gruppo dinamico e immettere un nome, una descrizione e una regola.

      • Creare un gruppo dinamico per un database esistente:

        È possibile specificare che un'istanza di Autonomous Database fa parte del gruppo dinamico. Il gruppo dinamico nell'esempio riportato di seguito include solo l'Autonomous Database il cui OCID è specificato nel parametro resource.id. 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Creare un gruppo dinamico per un database di cui non è stato ancora eseguito il provisioning:

        Quando si crea il gruppo dinamico prima di eseguire il provisioning o duplicare un'istanza di Autonomous Database, l'OCID per il nuovo database non è ancora disponibile. In questo caso, creare un gruppo dinamico che specifichi le risorse in un determinato compartimento: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Fare clic su Crea.
  2. Scrivere istruzioni dei criteri per il gruppo dinamico per abilitare l'accesso alle risorse di Oracle Cloud Infrastructure (vaulti e chiavi).
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza e fare clic su Criteri.
    2. Per scrivere i criteri per un gruppo dinamico, fare clic su Crea criterio e immettere un nome e una descrizione.
    3. Utilizzare Policy Builder per creare un criterio per il vault e le chiavi nella tenancy locale.

      Ad esempio, quanto riportato di seguito consente ai membri del gruppo dinamico DGKeyCustomer1 di accedere ai vault e alle chiavi nel compartimento denominato training: 

      Allow dynamic-group DGKeyCustomer1 to use vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to use keys in compartment training

      Questo criterio di esempio si applica a un singolo compartimento. È possibile specificare che un criterio si applichi alla tenancy, a un compartimento, a una risorsa o a un gruppo di risorse.

      Per utilizzare le chiavi gestite dal cliente con Autonomous Data Guard con un standby remoto, è necessario anche il criterio seguente: 

      Allow dynamic-group DGKeyCustomer1 to manage vaults in compartment training
Allow dynamic-group DGKeyCustomer1 to manage keys in compartment training
    4. Per salvare il criterio, fare clic su Crea.

    Per ulteriori informazioni, vedere gli argomenti riportati di seguito.

Creare un gruppo dinamico e criteri per le chiavi gestite dal cliente con vault in una tenancy diversa dal database

Eseguire questi passi per utilizzare le chiavi gestite dal cliente quando l'istanza e i vault e le chiavi di Autonomous Database si trovano in tenancy diverse.

In questo caso, è necessario fornire valori di OCID quando si passa alle chiavi gestite dal cliente. Inoltre, devi definire gruppi dinamici e criteri che consentano all'istanza di Autonomous Database di utilizzare vault e chiavi in una tenancy diversa.

  1. Copiare l'OCID della chiave di cifratura master.
  2. Copiare l'OCID vault.
  3. Copiare l'OCID tenancy (la tenancy remota che contiene vault e chiavi).
  4. Nella tenancy con l'istanza di Autonomous Database, creare un gruppo dinamico.
    1. Nella console di Oracle Cloud Infrastructure, nella tenancy con l'istanza di Autonomous Database, fare clic su Identity & Security.
    2. In Identità fare clic su Domini e selezionare un dominio di Identity oppure creare un nuovo dominio di Identity.
    3. In Dominio di identità, fare clic su Gruppi dinamici.
    4. Fare clic su Crea gruppo dinamico e immettere un nome, una descrizione e una regola.

      • Creare un gruppo dinamico per un database esistente:

        È possibile specificare che un'istanza di Autonomous Database fa parte del gruppo dinamico. Il gruppo dinamico nell'esempio riportato di seguito include solo l'Autonomous Database il cui OCID è specificato nel parametro resource.id. 

        resource.id = '<your_Autonomous_Database_instance_OCID>'

      • Creare un gruppo dinamico per un database di cui non è stato ancora eseguito il provisioning:

        Quando si crea il gruppo dinamico prima di eseguire il provisioning o duplicare un'istanza di Autonomous Database, l'OCID per il nuovo database non è ancora disponibile. In questo caso, creare un gruppo dinamico che specifichi le risorse in un determinato compartimento: 

        resource.compartment.id = '<your_Compartment_OCID>'
    5. Fare clic su Crea.
  5. Nella tenancy con l'istanza di Autonomous Database, definire i criteri per consentire l'accesso ai vault e alle chiavi (dove i vault e le chiavi si trovano in una tenancy diversa).
    1. Nella console di Oracle Cloud Infrastructure fare clic su Identità e sicurezza.
    2. In Identità fare clic su Criteri.
    3. Per scrivere un criterio, fare clic su Crea criterio.
    4. Nella pagina Crea criterio, immettere un nome e una descrizione.
    5. Nella pagina Crea criterio, selezionare Mostra editor manuale.
    6. Nella Costruzione guidata criteri aggiungere criteri in modo che l'istanza di Autonomous Database sia in grado di accedere ai vault e alle chiavi che si trovano nella tenancy diversa. Aggiungere inoltre i criteri per il gruppo IAM a cui appartiene l'utente IAM in modo che la console di Oracle Cloud Infrastructure per l'istanza di Autonomous Database possa mostrare i dettagli sulla chiave che risiede in una tenancy diversa.

      Ad esempio, nel criterio generico, chiamare la tenancy con l'istanza di Autonomous Database Tenancy-1 e la tenancy con vault e chiavi, Tenancy-2:

      Copiare il criterio seguente e sostituire le variabili e i nomi con i valori definiti, in cui il nome del gruppo dinamico ADB-DynamicGroup è il gruppo dinamico creato nel Passo 4: 

      define tenancy REMTEN as <ocid of tenancy-2>
endorse dynamic-group ADB-DynamicGroup to use vaults in tenancy REMTEN
endorse dynamic-group ADB-DynamicGroup to use keys in tenancy REMTEN
endorse group MyUserGroup to use vaults in tenancy REMTEN
endorse group MyUserGroup to use keys in tenancy REMTEN

      Ad esempio, quanto segue consente ai membri del gruppo dinamico DGKeyCustomer1 di accedere ai vault e alle chiavi remoti nella tenancy denominata training2: 

      define tenancy training2 as ocid1.tenancy.oc1..aaa_example_rcyx2a
endorse dynamic-group DGKeyCustomer1 to use vaults in tenancy training2
endorse dynamic-group DGKeyCustomer1 to use keys in tenancy training2
endorse group MyUserGroup to use vaults in tenancy training2
endorse group MyUserGroup to use keys in tenancy training2
    7. Per salvare il criterio, fare clic su Crea.
  6. Copiare l'OCID tenancy (la tenancy che contiene l'istanza di Autonomous Database).
  7. Copiare l'OCID gruppo dinamico (per il gruppo dinamico creato nel passo 4).
  8. Nella tenancy remota con vault e chiavi, definire un gruppo dinamico e criteri per consentire all'istanza di Autonomous Database di accedere ai vault e alle chiavi.
    1. Nella console di Oracle Cloud Infrastructure, fare clic su Identità e sicurezza.
    2. In Identità fare clic su Criteri.
    3. Per creare un criterio, fare clic su Crea criterio.
    4. Nella pagina Crea criterio, immettere un nome e una descrizione.
    5. Nella pagina Crea criterio, selezionare Mostra editor manuale.
    6. Nella Costruzione guidata criteri aggiungere criteri e un gruppo dinamico per fornire l'accesso al gruppo dinamico nella tenancy con l'istanza di Autonomous Database (Tenancy-1), in modo che l'istanza di Autonomous Database possa utilizzare i vault e le chiavi in Tenancy-2. Inoltre, è necessario aggiungere criteri per consentire al gruppo di utenti di accedere al vault e alle chiavi per visualizzare le informazioni sulla console di Oracle Cloud Infrastructure per l'istanza di Autonomous Database in una tenancy diversa.

      Utilizzare Costruzione guidata criteri per creare un gruppo dinamico e un criterio per i vault e le chiavi. 

      define tenancy ADBTEN as <ocid of tenancy-1>
define dynamic-group REM-ADB-DG as <ocid of the Dynamic Group in tenancy-1>
define group REMGROUP as <group-ocid> 
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy ADBTEN to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy

      Ad esempio, definire quanto segue nella tenancy remota per consentire ai membri del gruppo dinamico DGKeyCustomer1 e al gruppo REMGROUP di accedere ai vault e alle chiavi remoti nella tenancy denominata training2: 

      define tenancy adbdemo5 as ocid1.tenancy.oc1..aaa_example_4cnl5q
define dynamic-group REM-ADB-DG as ocid1.dynamicgroup.oc1..aaa_example_526bia
define group REMGROUP as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use vaults in tenancy
admit dynamic-group REM-ADB-DG of tenancy adbdemo5 to use keys in tenancy
admit group REMGROUP of tenancy ADBTEN to use vaults in tenancy
admit group REMGROUP of tenancy ADBTEN to use keys in tenancy
    7. Per salvare il criterio, fare clic su Crea.