Documentazione dell'infrastruttura Oracle Cloud

Utilizzare la chiave di cifratura gestita dal cliente che si trova in una tenancy remota

Mostra i passi per selezionare le chiavi di cifratura master gestite dal cliente da un vault in una tenancy remota.

Quando si utilizzano chiavi di cifratura master gestite dal cliente con un vault in una tenancy remota, il vault e l'istanza di Autonomous AI Database devono trovarsi nella stessa area. Per modificare la tenancy, nella pagina di connessione fare clic su Modifica tenancy. Dopo aver modificato la tenancy, assicurarsi di selezionare la stessa area sia per il vault che per l'istanza di Autonomous AI Database.

  1. Eseguire i passi dei prerequisiti della chiave di cifratura gestita dal cliente richiesti, se necessario. Per ulteriori informazioni, vedere Prerequisiti per l'uso delle chiavi di cifratura gestite dal cliente in Autonomous AI Database in OCI Vault.
  2. Nella pagina Dettagli, nell'elenco a discesa Altre azioni, selezionare Gestisci chiave di cifratura.
  3. Nella pagina Gestisci chiave di cifratura selezionare l'opzione Cifra utilizzando una chiave gestita dal cliente.

    Se si stanno già utilizzando chiavi gestite dal cliente e si desidera ruotare le chiavi TDE, attenersi alla procedura riportata di seguito e utilizzare un OCID chiave diverso con lo stesso OCID vault oppure utilizzare un nuovo OCID vault e un nuovo OCID chiave. Ciò consente di utilizzare una chiave diversa dalla chiave di cifratura master corrente.

  4. Per Tipo di chiave, selezionare Oracle.
  5. Per Posizione chiave, fare clic su Tenancy diversa.
  6. Immettere un OCID vault tenancy remoto.
  7. Immettere un OCID chiave di cifratura primaria della tenancy remote.
  8. Fare clic su Salva.

Lo stato del ciclo di vita passa a Aggiornamento. Al termine della richiesta, in Stato del ciclo di vita viene visualizzato Disponibile.

Al termine della richiesta, nella console di Oracle Cloud Infrastructure, le informazioni chiave vengono visualizzate nella pagina Informazioni su Autonomous Database sotto l'intestazione Cifratura. Quest'area mostra il campo Chiave di cifratura con un collegamento alla chiave di cifratura principale e il campo OCID chiave di cifratura con l'OCID chiave di cifratura principale.

  • Usa BYOK (Bring Your Own Keys) nel servizio Vault
    Quando crei una chiave gestita dal cliente utilizzando il servizio OCI Vault, puoi anche importare il tuo materiale chiave (Bring Your Own Key o BYOK) invece di far generare internamente il materiale della chiave dal servizio Vault.

Argomento padre: Gestisci chiavi di cifratura master in OCI Vault

Usa BYOK (Bring Your Own Keys) nel servizio vault

Quando crei una chiave gestita dal cliente utilizzando il servizio OCI Vault, puoi anche importare il tuo materiale chiave (Bring Your Own Key o BYOK) invece di far generare internamente il materiale della chiave dal servizio Vault.

Prima di poter trasferire le proprie chiavi nel servizio Vault, è necessario eseguire il numero di task di configurazione preparatori per creare un vault e importare la chiave di cifratura master, quindi rendere tale vault e le relative chiavi disponibili per Autonomous Database, in particolare:
  1. Creare un vault nel servizio Vault seguendo le istruzioni riportate in Per creare un nuovo vault.
    Dopo aver creato il vault, è possibile creare almeno una chiave di cifratura master nel vault seguendo le istruzioni riportate in Per creare una nuova chiave di cifratura master. È inoltre possibile importare una chiave di cifratura cliente in un vault esistente. Quando si seguono queste istruzioni, effettuare le scelte riportate di seguito.
    • Crea nel compartimento: Oracle consiglia di creare la chiave di cifratura master nello stesso compartimento del relativo vault, ovvero il compartimento creato in modo specifico per contenere i vault contenenti chiavi gestite dal cliente.
    • Modalità di protezione: scegliere un valore appropriato dall'elenco a discesa.
      • HSM per creare una chiave di cifratura master che viene memorizzata ed elaborata in un modulo di sicurezza hardware (HSM).
      • Software per creare una chiave di cifratura master memorizzata in un file system software nel servizio Vault. Le chiavi protette da software sono protette in archivio mediante una chiave root basata su HSM. È possibile esportare le chiavi software in altri dispositivi di gestione delle chiavi o in un'area cloud OCI diversa. A differenza delle chiavi HSM, le chiavi protette dal software sono gratuite.
    • Algoritmo della forma chiave: AES
    • Lunghezza forma chiave: 256 bit
    • Importa chiave esterna: per utilizzare una chiave di cifratura cliente (BYOK), selezionare Importa chiave esterna e fornire i dettagli riportati di seguito.
      • Informazioni sulle chiavi di wrapping. Questa sezione è di sola lettura, ma è possibile visualizzare i dettagli della chiave di wrapping pubblica.
      • Algoritmo di wrapping. Selezionare un algoritmo di wrapping dall'elenco a discesa.
      • Origine dati chiave esterna. Caricare il file contenente il materiale della chiave RSA sottoposto a wrapping.
    Nota

    È possibile importare il materiale chiave come nuova versione di chiave esterna oppure fare clic sul nome di una chiave di cifratura principale esistente e ruotarlo in una nuova versione di chiave.
  2. Utilizzare il servizio IAM per creare un gruppo dinamico e definire un criterio che consenta all'istanza di Autonomous AI Database di accedere alla chiave di cifratura master creata.

Per ulteriori dettagli, vedere Importazione del materiale chiave come versione di una chiave esterna.