Integrazione di AWS Key Management Service per Exadata Database Service su Oracle Database@AWS

Il dominio di Identity OCI viene configurato automaticamente durante il processo di onboarding di Oracle Database@AWS e non è richiesta alcuna azione. Completare i passaggi seguenti solo per gli account collegati prima della disponibilità generale dell'integrazione AWS KMS (18 novembre 2025).

Configurare un dominio di identità OCI per abilitare l'integrazione AWS per i cluster VM Exadata. Consente di associare un ruolo di servizio AWS Identity and Access Management (IAM) alle integrazioni AWS.

1. Dalla console AWS, selezionare Oracle Database@AWS, quindi Impostazioni.
2. Selezionare il pulsante Configura per configurare il dominio di Identity OCI.
3. Una volta completato, è possibile rivedere le informazioni sullo stato, sull'ID del dominio di Identity OCI e sull'URL del dominio di Identity OCI dalla pagina Impostazioni.

1. Se non si dispone di una rete ODB esistente, è possibile eseguirne il provisioning seguendo le istruzioni dettagliate della rete ODB. Se si dispone di una rete ODB esistente, è possibile modificarla selezionando il pulsante Modifica, seguire la procedura descritta in Modifica una rete ODB per istruzioni dettagliate.
2. Dalla sezione Configura integrazioni dei servizi,
   1. Selezionare l'opzione Security Token Service (STS) per impostare la rete per l'accesso AWS KMS e AWS STS dal database.
   2. Selezionare la casella di controllo AWS KMS per consentire a AWS KMS di utilizzare le chiavi KMS nei criteri di autenticazione.

Allow any-user to read oracle-db-aws-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster'}

Questo criterio consente ai cluster VM cloud gestiti da Oracle di leggere la risorsa oracle-db-aws-keys nel compartimento. Concede le autorizzazioni necessarie per il cluster VM (principal di tipo cloudvmcluster) per accedere ai metadati della chiave AWS necessari per l'integrazione con la gestione delle chiavi esterne o per l'esecuzione di operazioni cross-cloud. Senza questo criterio, il cluster VM non sarebbe in grado di recuperare le chiavi necessarie per completare la configurazione.

La creazione del cluster VM Exadata è disponibile solo tramite la console AWS e l'interfaccia CLI AWS. Per ulteriori informazioni, vedere Cluster VM Exadata.

Creare uno cumulo per ogni cluster. Per creare uno stack CloudFormation, attenersi alla procedura seguente. Questa operazione deve essere eseguita per ogni cluster VM Exadata.

Quando lo stack CloudFormation crea un provider OIDC (OpenID Connect), stabilisce una relazione di fiducia in modo che un'origine di identità esterna (come OCI) possa eseguire l'autenticazione in AWS. Il ruolo IAM associato definisce le azioni che l'identità sicura può eseguire.

1. Selezionare il cluster VM Exadata esistente dalla lista per aprire la relativa pagina dei dettagli nella console di gestione AWS.
   Nota
   
   

   Se non si dispone di un cluster VM Exadata esistente, è possibile eseguirne il provisioning seguendo le istruzioni dettagliate del cluster VM Exadata.

2. Selezionare la scheda Ruoli di servizio IAM, quindi fare clic sul collegamento CloudFormation.
3. Dalla pagina Creazione rapida stack, rivedere le informazioni precompilate.
   1. Nella sezione Parametri, i parametri vengono definiti nel modello e consentono di immettere valori personalizzati quando si crea o si aggiorna uno stack.
      1. Esaminare le informazioni precompilate contenute in OCIIdentityDomainUrl.
      2. Il campo OIDCProviderArn è facoltativo. Quando si crea lo stack CloudFormation per la prima volta, viene creato un provider OIDC e un ruolo IAM associato. Se si esegue lo stack per la prima volta, non è necessario fornire un valore per il campo OIDCProviderArn.
      3. Per eventuali tempi di esecuzione aggiuntivi, è necessario fornire l'ARN del provider OIDC esistente e specificarlo nel campo OIDCProviderArn. Per ottenere le tue informazioni su OIDCProviderArn, completa i seguenti passaggi:
         1. Dalla console AWS, vai a IAM, quindi seleziona Provider di identità.
         2. Dall'elenco Provider di identità è possibile filtrare il provider selezionando Tipo come OpenID Connect.
         3. Selezionare il collegamento Provider creato al momento della creazione iniziale dello stack CloudFormation.
         4. Nella pagina Riepilogo copiare le informazioni ARN.
         5. Incollare le informazioni ARN nel campo OIDCProviderArn.
   2. Nella sezione Autorizzazioni selezionare il nome del ruolo IAM dall'elenco a discesa, quindi selezionare il ruolo IAM per CloudFormation da utilizzare per tutte le operazioni eseguite nello stack.
   3. Selezionare il pulsante Crea stack per applicare le modifiche.
4. Al termine della distribuzione dello stack CloudFormation, andare alla sezione Risorse dello stack e verificare le risorse ruolo IdP e IAM create. Copiare l'ARN ruolo IAM per uso futuro.

È necessario collegare un ruolo IAM creato in precedenza al cluster VM Exadata per assegnare un connettore di identità che consenta l'accesso alle risorse AWS.

1. Dalla console AWS, selezionare Oracle Database@AWS.
2. Dal menu a sinistra selezionare Cluster VM Exadata, quindi selezionare il cluster VM Exadata dalla lista.
3. Selezionare la scheda di ruoli IAM, quindi selezionare il pulsante Associa.
   1. Il campo Integrazione AWS è di sola lettura.
   2. Immettere il nome risorsa Amazon (ARN) del ruolo IAM che si desidera associare al cluster VM nel campo ARN ruolo. È possibile ottenere le informazioni ARN dalla sezione Riepilogo del ruolo creato in precedenza.
   3. Selezionare il pulsante Associa per allegare il ruolo.
      Nota
      
      

      Una volta associato un ruolo IAM al cluster VM, un connettore di identità viene collegato al cluster VM Exadata.

Una volta completata la sezione dei prerequisiti, procedere con le azioni riportate di seguito.

1. Dalla console AWS, creare una chiave gestita dal cliente in AWS KMS.
2. Dalla console OCI, consenti ai cluster VM Exadata e ai database di utilizzare la chiave AWS KMS creata nel passo 1.

1. Dalla console AWS, selezionare Key Management Service (KMS).
2. Dal menu a sinistra, selezionare Tasti gestiti dal cliente, quindi selezionare il pulsante Crea chiave.
3. Nella sezione Configure key immettere le informazioni riportate di seguito.
   1. Scegliere l'opzione Simmetrica come Tipo di chiave.
   2. Scegliere l'opzione Cifra e decifra come uso chiave.
   3. Espandere la sezione Opzioni avanzate. Sono supportati sia AWS KMS che AWS CloudHSM.
      1. Se si desidera utilizzare il keystore standard KMS, scegliere l'opzione KMS - consigliato come origine materiale chiave, quindi scegliere l'opzione Chiave a area singola o l'opzione Chiave a più aree nella sezione Regionalità.
         Nota
         
         

         Data Guard tra più aree e il ripristino dei database in un'area diversa non sono attualmente supportati per i database che utilizzano chiavi gestite dal cliente AWS per la gestione delle chiavi.

      2. Se si desidera utilizzare AWS CloudHSM , scegliere l'opzione AWS CloudHSM key store come origine materiale chiave.
   4. Selezionare il pulsante Successivo per continuare il processo di creazione.
4. Nella sezione Aggiungi etichette, immettere le seguenti informazioni.
   1. Immettere un nome di visualizzazione descrittivo nel campo Alias. Massimo 256 caratteri. Utilizzare caratteri alfanumerici e '_-/'.
      Nota
      
      

      • Il nome alias non può iniziare con aws/. Il prefisso aws/ è riservato da AWS per rappresentare le chiavi gestite da AWS nel tuo account.
      • Un alias è un nome visualizzato che è possibile utilizzare per identificare la chiave KMS. Si consiglia di scegliere un alias che indichi il tipo di dati che si prevede di proteggere o l'applicazione che si intende utilizzare con la chiave KMS
      • Gli alias sono necessari quando si crea una chiave KMS nella console AWS.
   2. Il campo Descrizione è facoltativo.
   3. La sezione Tag è facoltativa. Puoi utilizzare i tag per classificare e identificare le chiavi KMS e aiutarti a tenere traccia dei costi AWS.
   4. Selezionare il pulsante Successivo per continuare il processo di creazione oppure il pulsante Precedente per restituire la pagina precedente.
5. Nella sezione Definisci autorizzazioni amministrative chiave, completare i passi secondari riportati di seguito.
   1. Cercare il ruolo creato in precedenza, quindi selezionare la casella di controllo. Selezionare gli utenti e i ruoli IAM in grado di amministrare la chiave KMS.
      Nota
      
      

      Questa politica chiave dà all'account AWS il pieno controllo di questa chiave KMS. Consente agli amministratori degli account di utilizzare i criteri IAM per concedere ad altri principal l'autorizzazione per gestire la chiave KMS.

   2. Nella sezione Eliminazione chiave, la casella di controllo Consenti agli amministratori di chiavi di eliminare questa chiave è selezionata per impostazione predefinita. Per impedire l'eliminazione della chiave KMS da parte degli utenti e dei ruoli IAM selezionati, è possibile deselezionare la casella di controllo.
   3. Selezionare il pulsante Successivo per continuare il processo di creazione oppure il pulsante Precedente per restituire la pagina precedente.
6. Nella sezione Definisci autorizzazioni d'uso delle chiavi, completare i passi secondari riportati di seguito.
   1. Cercare il ruolo creato in precedenza, quindi selezionare la casella di controllo.
   2. Selezionare il pulsante Successivo per continuare il processo di creazione oppure il pulsante Precedente per restituire la pagina precedente.
7. Nella sezione Modifica criterio chiave completare i passi secondari riportati di seguito.
   1. Nella sezione Anteprima è possibile rivedere il criterio chiave. Per apportare una modifica, selezionare la scheda Modifica.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Sid": "KMSKeyMetadata",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "<arn>"
                  },
                  "Action": [
                      "kms:DescribeKey"
                  ],
                  "Resource": "*"
              },
              {
                  "Sid": "KeyUsage",
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "<arn>"
                  },
                  "Action": [
                      "kms:Encrypt",
                      "kms:Decrypt"
                  ],
                  "Resource": "*"
              }
          ]
      }

   2. Selezionare il pulsante Successivo per continuare il processo di creazione oppure il pulsante Precedente per restituire la pagina precedente.
8. Nella sezione Revisione rivedere le informazioni, quindi selezionare il pulsante Fine.

Per ulteriori informazioni, vedere Creare una chiave KMS con cifratura simmetrica.

Per abilitare AWS KMS per i cluster VM Exadata, devi prima registrare la chiave AWS KMS in OCI.

1. Dalla console OCI, selezionare Oracle AI Database, quindi Integrazioni multicloud del database.
2. Dal menu a sinistra, selezionare Integrazione AWS, quindi selezionare Tasti AWS.
3. Selezionare il pulsante Registra chiavi AWS, quindi completare i passi secondari riportati di seguito.
   1. Dall'elenco a discesa selezionare il compartimento in cui risiede il cluster VM Exadata.
   2. Nella sezione Tasti AWS selezionare il connettore di identità dall'elenco a discesa.
      Nota
      
      

      Assicurarsi che il ruolo associato al connettore disponga dell'autorizzazione DescribeKey sulla chiave. Questa autorizzazione è necessaria per eseguire correttamente la ricerca automatica.

   3. Il campo ARN chiave è facoltativo.
   4. Fare clic sul pulsante Scopri.
4. Una volta trovata la chiave, selezionare il pulsante Registra per registrare la chiave in OCI.

Quando abiliti la gestione delle chiavi AWS per il tuo database, possono essere utilizzate solo le chiavi AWS autorizzate per l'uso con il cluster VM Exadata e registrate con OCI.

1. Dalla console OCI, seleziona Oracle AI Database e quindi Oracle Exadata Database Service on Dedicated Infrastructure.
2. Dal menu a sinistra selezionare Cluster VM Exadata, quindi selezionare il cluster VM Exadata.
3. Selezionare la scheda Informazioni sul cluster VM e selezionare il pulsante Abilita accanto a Chiave di cifratura gestita dal cliente AWS.

Questo argomento descrive solo i passi per la creazione di un database e l'utilizzo di AWS KMS come soluzione di gestione delle chiavi.

Per la procedura di creazione del database generico, vedere Per creare un database in un cluster VM esistente.

Requisiti indispensabili

Fare riferimento a Prerequisiti.

Passi

Se la gestione delle chiavi AWS KMS è abilitata a livello di cluster VM, avrai due opzioni di gestione delle chiavi: Oracle Wallet e Gestione delle chiavi AWS.

1. Nella sezione Cifratura, scegliere Gestione chiavi AWS.
2. Selezionare la chiave di cifratura disponibile nel compartimento.
   Nota
   
   

   • Vengono elencate solo le chiavi registrate.
   • Se la chiave desiderata non è visibile, potrebbe non essere stata ancora registrata. Fare clic su Registra chiavi AWS per scoprire e registrarlo.

     Per istruzioni dettagliate, consulta la sezione Registra chiave KMS AWS.

   • È possibile selezionare un alias chiave dall'elenco a discesa. Se non è disponibile alcun alias chiave, nell'elenco a discesa verrà visualizzato l'ID chiave.

Se si desidera modificare la gestione delle chiavi dei database esistenti nel cluster VM Exadata da Oracle Wallet a AWS KMS, effettuare le operazioni riportate di seguito.

1. Dal cluster VM Exadata andare alla scheda Database, quindi selezionare il database in uso.
2. Nella sezione Cifratura, verificare che Gestione chiavi sia impostato su Oracle Wallet, quindi selezionare il collegamento Modifica.
3. Nella pagina Modifica gestione chiavi immettere le informazioni riportate di seguito.
   1. Selezionare Gestione chiavi come Gestione chiavi AWS dall'elenco a discesa.
   2. Selezionare il compartimento delle chiavi in uso, quindi selezionare la chiave desiderata dall'elenco a discesa.
   3. Selezionare il pulsante Salva modifiche.

Per ruotare la chiave KMS AWS di un container database (CDB), utilizzare questa procedura.

1. Aprire il menu di navigazione. Fai clic su Oracle AI Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
2. Scegliere il compartimento.

   Viene visualizzata una lista di cluster VM per il compartimento scelto.

3. Nella lista dei cluster VM fare clic sul nome del cluster VM contenente il database che si desidera ruotare le chiavi di cifratura.
4. Fare clic su Database.
5. Fare clic sul nome del database che si desidera ruotare le chiavi di cifratura.

   Nella pagina Dettagli database vengono visualizzate informazioni sul database selezionato.

6. Nella sezione Cifratura, verificare che Gestione chiavi sia impostato su Gestione chiavi AWS, quindi fare clic sul collegamento Ruota.
7. Nella finestra di dialogo Tasto di rotazione risultante fare clic su Ruota per confermare l'azione.
   Nota
   
   

   La rotazione della chiave KMS AWS genera un nuovo contesto di cifratura per la stessa chiave.

Per ruotare la chiave KMS AWS di un pluggable database (PDB), utilizzare questa procedura.

1. Aprire il menu di navigazione. Fai clic su Oracle AI Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
2. Scegliere il compartimento.

   Viene visualizzata una lista di cluster VM per il compartimento scelto.

3. Nella lista dei cluster VM fare clic sul nome del cluster VM contenente il PDB che si desidera avviare, quindi fare clic sul relativo nome per visualizzare la pagina dei dettagli.
4. In Database, individuare il database contenente il PDB che si desidera ruotare le chiavi di cifratura.
5. Fare clic sul nome del database per visualizzare la pagina Dettagli database.
6. Fare clic su Basi di dati collegabili nella sezione Risorse della pagina.

   Viene visualizzata una lista di PDB esistenti in questo database.

7. Fare clic sul nome del PDB che si desidera ruotare le chiavi di cifratura.

   Viene visualizzata la pagina dei dettagli collegabili.

8. Nella sezione Cifratura viene visualizzato che la gestione delle chiavi è impostata come gestione delle chiavi AWS.
9. Fare clic sul collegamento Ruota.
10. Nella finestra di dialogo Tasto di rotazione risultante fare clic su Ruota per confermare l'azione.
    Nota
    
    

    La rotazione della chiave KMS AWS genera un nuovo contesto di cifratura per la stessa chiave.

Facoltativamente, completare i passi riportati di seguito per disabilitare una chiave CDB o PDB specifica.

1. Passare alla console AWS e selezionare Key Management Service (KMS).
2. Dal menu a sinistra, selezionare Tasti gestiti dal cliente, quindi selezionare l'ID chiave della chiave che si desidera modificare.
3. Selezionare il pulsante Modifica criterio.
4. Eseguire la query seguente per ottenere EncryptionContext MKID della chiave.

   Utilizzare il comando seguente per visualizzare gli ID delle chiavi master correnti (MKID) per le operazioni di abilitazione o disabilitazione:

   dbaascli tde getHSMKeys --dbname <DB-Name>

   È inoltre possibile eseguire la query SQL seguente per elencare tutte le versioni chiave:

   SELECT key_id, con_id, creation_time, key_use FROM v$encryption_keys;

5. Aggiungere un criterio di rifiuto utilizzando l'MKID recuperato EncryptionContext come mostrato di seguito:

   {
     "Effect": "Deny",
     "Principal": "*",
     "Action": [
       "kms:Encrypt",
       "kms:Decrypt"
     ],
     "Resource": "arn:aws:kms:us-east-1:867344470629:key/7139075d-a006-4302-92d5-48ecca31d48e",
     "Condition": {
       "StringEquals": {
         "kms:EncryptionContext:MKID": "ORACLE.TDE.HSM.MK.06AE5EFB528D9D4F21BFEDA63C6C8738D9"
       }
     }
   }

6. Scegliere Salva modifiche per applicare l'aggiornamento dei criteri.