Documentazione dell'infrastruttura Oracle Cloud

Integrazione di Azure Key Vault per Exadata Database Service su Oracle Database@Azure

Exadata Database Service su Oracle Database@Azure consente di memorizzare le chiavi TDE (Transparent Data Encryption) del database, note anche come chiavi di cifratura master (MEK) in un wallet Oracle basato su file o in OCI Vault.

Questa funzione consente agli utenti di Exadata Database Service su Oracle Database@Azure di utilizzare Azure Key Vault (AKV) Managed HSM, AKV Premium e AKV Standard per la gestione di TDE MEK. Questa integrazione consente ad applicazioni, servizi Azure e database di utilizzare una soluzione di gestione delle chiavi centralizzata per una maggiore sicurezza e una gestione semplificata del ciclo di vita delle chiavi.

Argomento padre: Guida alle procedure

Requisiti indispensabili

Prima di poter configurare Azure Key Vault come gestione delle chiavi per i database, è necessario completare i passi riportati di seguito.

Per poter configurare Azure Key Vault come servizio di gestione delle chiavi a livello di cluster VM Exadata, è necessario completare i passi riportati di seguito.

  1. È innanzitutto necessario completare la registrazione richiesta per le subnet delegate per utilizzare le funzioni di rete avanzate menzionate nella pianificazione della rete per Oracle Database@Azure, quindi creare una rete virtuale Azure con almeno una subnet delegata in essa contenuta per essere utilizzata dal cluster VM Exadata.
  2. Eseguire il provisioning di un cluster VM Exadata tramite l'interfaccia di Azure. Per istruzioni dettagliate, vedere Provisioning di un cluster VM Exadata per Azure.
  3. Esaminare i requisiti di rete per determinare se il cluster VM si connetterà a Azure KMS tramite una rete pubblica o tramite la connettività privata. Per ulteriori informazioni, vedere Requisiti di rete dell'agente macchina connessa o Requisiti di rete per la creazione di un connettore di identità e di risorse KMS per i passi specifici da seguire.
  4. Prima di creare il database, assicurarsi che venga creato il criterio riportato di seguito.
    allow any-user to manage oracle-db-azure-vaults IN tenancy where ALL { request.principal.type in ('cloudvmcluster') }

Requisiti di rete per la creazione di un connettore di identità e di risorse KMS

Le risorse del servizio KMS (Key Management Service) di Azure supportano la connettività pubblica e privata. L'HSM gestito di Azure Key Vault richiede una connettività privata, mentre i livelli Premium e Standard di Azure Key Vault supportano opzioni di connettività sia pubblica che privata.

Le sezioni seguenti descrivono i requisiti di rete per l'accesso alla rete pubblica.

Configurazione tramite rete privata

  • Configurazione di rete dell'agente Arc

    Per creare un Identity Connector su una rete privata, è necessario configurare un Azure Arc Private Link Scope e un Private Endpoint tramite il portale di Azure. Per informazioni dettagliate sull'impostazione della connettività privata per i server abilitati per Azure Arc, fare riferimento alla documentazione di Azure.

    Nota

    L'endpoint privato deve essere creato in una subnet non delegata all'interno della rete virtuale di Azure (VNet) che ospita il cluster VM Oracle Exadata. Gli endpoint privati non sono supportati nelle subnet delegate. Per impostazione predefinita, viene eseguito il provisioning dei cluster VM Exadata nelle subnet delegate.

    HSM gestito richiede connettività privata ed è supportato solo nelle aree di Azure che offrono funzioni di rete avanzata. Per un elenco delle aree supportate, vedere Pianificazione della rete per Oracle Database@Azure.

    Per consentire la comunicazione con le risorse dell'agente privato sulla rete privata, è necessario creare una zona DNS privata e i record A corrispondenti all'interno della configurazione DNS della VCN nella tenancy Oracle Cloud Infrastructure (OCI).

    La configurazione DNS per l'endpoint privato associato all'ambito del collegamento privato deve includere gli indirizzi di risorsa agente privato necessari. Per ulteriori informazioni, vedere la sezione URL in Requisiti di rete dell'agente Connected Machine.

    In primo luogo, recuperare l'elenco degli indirizzi richiesti dal portale di Azure. Quindi, aggiornare la voce della zona DNS in OCI per completare la configurazione.

    Passi per recuperare la lista degli indirizzi IP richiesti:
    1. Connettersi al portale di Azure.
    2. Cerca "Azure Arc Private Link Ambes".
    3. Scegliere un ambito di collegamento privato dall'elenco.
    4. Nel menu Configura fare clic su Connessioni endpoint privati.
    5. Fare clic sul collegamento Endpoint privato.
    6. In Impostazioni selezionare la configurazione DNS per visualizzare gli indirizzi richiesti.

    Esempio: aggiungere una risorsa agente privato (ad esempio, gbl.his.arc.azure.com)

    L'indirizzo IP associato a gbl.his.arc.azure.com, insieme a qualsiasi altra risorsa agente richiesta, deve essere definito nella zona DNS privata.

    Passi

    1. Crea una zona privata
      Per ulteriori informazioni, vedere Creazione di una zona DNS privata.
      • Tipo di zona: Principale
      • Nome zona: <Nome descrittivo>
      • Compartimento: <nome compartimento o OCID>
    2. Aggiungi record DNS
      • Andare alla scheda Record nella pagina dei dettagli dell'area.
      • Fare clic su Gestisci record, quindi su Aggiungi record:
        • Nome: gbl.his.arc.azure.com
        • Tipo: A (indirizzo IPv4)
        • TTL (secondi): 3600
        • Modalità RDATA: Base
        • Indirizzo: <indirizzo IP privato>
    3. Pubblica la zona
    4. Assicurarsi che il record venga visualizzato nella pagina della zona dopo la pubblicazione.
    5. Verificare che la connettività ai servizi Azure dal cluster VM venga instradata tramite la rete privata.

    Anche con la connettività privata, gli endpoint riportati di seguito devono essere instradati tramite il gateway NAT di Azure.

    Risorse agente:

    • packages.microsoft.com
    • login.microsoftonline.com
    • pas.windows.net
    • management.azure.com
  • Configurazione degli endpoint privati di Azure Key Vault

    Per accedere agli endpoint dei vault di chiavi di Azure tramite la connettività privata, è necessario creare una zona DNS. Inoltre, un record che esegue il mapping del nome dominio completamente qualificato (FQDN) della risorsa all'indirizzo IP dell'endpoint privato corrispondente deve essere aggiunto nella tenancy OCI.

    Per accedere al servizio HSM gestito su un endpoint privato nella rete virtuale che ospita un cluster VM Exadata, è possibile stabilire una connessione di collegamento privato a HSM gestito e associarla alla subnet predefinita o a una subnet non delegata. Seguire i passi descritti nella sezione "Configurazione mediante rete privata" dell'argomento "Requisiti di rete per la creazione di un connettore di identità e risorse KMS". Per ulteriori informazioni, vedere Integra HSM gestito con il collegamento privato di Azure.

Configurazione tramite rete pubblica

Creare un gateway NAT nel portale Azure e associarlo alla subnet delegata del cluster VM Exadata. Per ulteriori informazioni, vedere Creare un gateway NAT e associarlo a una subnet esistente.

Uso della console per gestire l'integrazione di Azure Key Vault per Exadata Database Service su Oracle Database@Azure

Scopri come gestire l'integrazione di Azure Key Vault per Exadata Database Service su Oracle Database@Azure.

Argomento padre: Integrazione di Azure Key Vault per Exadata Database Service su Oracle Database@Azure

La creazione di un connettore di identità installa l'agente Azure Arc nelle VM cluster VM Exadata, registrandole come virtual machine abilitate per Azure Arc.

Ciò consente una comunicazione sicura con il servizio di gestione delle chiavi di Azure (KMS) utilizzando l'identità di Azure generata dall'agente Arc. L'agente Azure Arc può comunicare con i servizi Azure tramite una rete pubblica o una configurazione di connettività privata. Ulteriori informazioni su Azure Arc.

Ogni cluster VM Exadata deve disporre di un connettore di identità abilitato per accedere alle risorse di Azure. Il connettore di identità stabilisce una connessione pubblica o privata tra il cluster VM Exadata e le risorse di gestione delle chiavi Azure, a seconda dei ruoli assegnati.

Per generare un token di accesso per l'account Azure corrente, vedere get-access-token dell'account az.

Puoi creare un connettore di identità in due modi: utilizzando l'interfaccia Oracle Exadata Database Service on Dedicated Infrastructure o l'interfaccia Database Multicloud Integrations.

Oracle Exadata Database Service on Dedicated Infrastructure

  1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Dal menu a sinistra, fare clic su Cluster VM Exadata in Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Dalla lista di cluster VM Exadata, selezionare il cluster in uso.
  4. Selezionare Informazioni sul cluster VM, quindi passare a Connettore identità in Informazioni multicloud. Fare clic sull'icona Crea.
    Nota

    Se un connettore di identità non è stato creato in precedenza, viene visualizzato come Nessuno.

  5. I campi Nome connettore identità, Cluster VM Exadata, ID sottoscrizione Azure e Nome gruppo di risorse Azure sono di sola lettura e verranno popolati con valori.
  6. Immettere il ID tenant Azure e il token di accesso.
  7. Espandere la sezione Mostra opzioni avanzate.

    Le sezioni Informazioni sulla connettività privata e Tag vengono inserite.

    Per abilitare una connessione a un endpoint privato, immettere il nome Ambito collegamento privato arc di Azure.

  8. Per aggiungere tag per le risorse, fare clic su Aggiungi tag, quindi immettere i valori richiesti.
  9. Rivedere le selezioni, quindi fare clic su Crea per creare il connettore di identità.

Integrazioni multicloud del database

  1. Aprire il menu di navigazione. Fare clic su Oracle Database, quindi su Integrazioni multicloud del database.
  2. Selezionare Connettori identità dal menu di navigazione a sinistra.
  3. Nell'elenco a discesa Compartimento selezionare il compartimento in uso.
  4. Dopo aver selezionato il compartimento, il nome connettore identità inserisce automaticamente un nome.

    Per impostazione predefinita, il tipo di connettore di identità è selezionato come Azure.

  5. Selezionare ARC agent come meccanismo di identità.
  6. Selezionare il compartimento dalla lista Scegliere un compartimento cluster VM Exadata, quindi selezionare il cluster VM Exadata dalla lista Scegli un cluster VM Exadata.
  7. Immettere il ID tenant di Azure. I campi ID sottoscrizione Azure e Nome gruppo di risorse Azure popolano i valori in base alla selezione del cluster VM Exadata.
  8. Immettere un token di accesso.
  9. Espandere la sezione Mostra opzioni avanzate. Le sezioni Informazioni sulla connettività privata e Tag vengono inserite. Questi campi sono facoltativi.
  10. Per aggiungere tag per le risorse, fare clic su Aggiungi tag, quindi immettere i valori richiesti.
  11. Verificare le selezioni effettuate, quindi fare clic su Crea.

Per visualizzare i dettagli di un connettore di identità, utilizzare questa procedura.

  1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
  2. In Oracle Exadata Database Service on Dedicated Infrastructure, fare clic su Cluster VM Exadata.
  3. Fare clic sul nome del cluster VM desiderato.
  4. Nella pagina Dettagli cluster VM risultante, nella sezione Informazioni multicloud, confermare che il campo Connettore di identità visualizza il connettore di identità creato in precedenza.
  5. Fare clic sul nome del connettore identità per visualizzarne i dettagli.

Questo passo installa la libreria richiesta nel cluster VM per supportare l'integrazione di Azure Key Vault. Assicurarsi che venga creato un connettore di identità prima di abilitare Gestione chiavi Azure nel cluster VM Exadata.

  1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
  2. In Oracle Exadata Database Service on Dedicated Infrastructure, fare clic su Cluster VM Exadata.
  3. Fare clic sul nome del cluster VM desiderato.
  4. Nella pagina Dettagli cluster VM risultante, nella sezione Informazioni multicloud, fare clic sul collegamento Abilita accanto al keystore Azure.
  5. Nella finestra di dialogo Abilita gestione chiavi Azure risultante, fare clic su Abilita per confermare l'operazione.

    La conferma dell'azione determinerà l'installazione di una libreria nel cluster VM Exadata.

    Lo stato del keystore di Azure cambia da Disabilitato a Abilitato.

  6. Per disabilitare il keystore di Azure, fare clic sul collegamento Disabilita.
  7. Nella finestra di dialogo Disabilita gestione chiavi di Azure risultante, fare clic su Disabilita per confermare l'operazione.

    La disabilitazione della gestione delle chiavi di Azure rimuove la libreria installata durante l'abilitazione, il che influirà sulla disponibilità dei database configurati per l'utilizzo.

Nota

La gestione delle chiavi di Azure è configurata a livello di cluster VM, richiedendo a tutti i database del cluster di utilizzare la stessa soluzione di gestione delle chiavi. Tuttavia, i database che utilizzano Oracle Wallet possono coesistere insieme a quelli che utilizzano Azure Key Vault all'interno dello stesso cluster.

Creare HSM gestito da Azure Key Vault, Azure Key Vault Premium o Azure Key Vault Standard, quindi assegnare l'autorizzazione.

Per ulteriori informazioni, vedere Creare un vault di chiavi utilizzando il portale di Azure.

Nota

Sono necessari ruoli specifici da assegnare al gruppo per concedere le autorizzazioni necessarie per l'accesso e la gestione delle risorse HSM gestito di Azure Key Vault, Azure Key Vault Premium e Azure Key Vault Standard.
  1. Creare un gruppo e aggiungere membri.

    I gruppi di Azure consentono di gestire gli utenti assegnando loro lo stesso accesso e le stesse autorizzazioni alle risorse.

  2. Assegnare i seguenti ruoli in base al tipo di Key Vault di Azure:
    • Per HSM gestito:
      • IAM: Lettore
      • RBAC locale: utente di crittografia HSM gestito + utente di crittografia HSM gestito
    • Per Key Vault Premium e Standard
      • IAM: Reader + Key Vault Crypto Officer

Per i passi dettagliati, vedere Assegnare ruoli di Azure utilizzando il portale di Azure.

Si tratta di un modo alternativo per registrare i vault di chiavi Azure dalla console OCI. Se il vault è già stato registrato durante la creazione di un database nel cluster VM Exadata esistente, è possibile saltare questo passo.

  1. Dalla console OCI, vai a Integrazioni multi-cloud del database, quindi seleziona Integrazione Microsoft Azure. Nella sezione Integrazione di Microsoft Azure, selezionare Vault chiave di Azure.
    Nota

    Affinché la registrazione abbia esito positivo, è necessario creare almeno una chiave nel vault sul portale di Azure.
  2. Selezionare il pulsante Registra vault di chiavi Azure.
  3. Dall'elenco a discesa, selezionare il compartimento.
  4. Nella sezione Vault di chiavi di Azure, selezionare un connettore di identità dalla lista Scopri i vault di chiavi di Azure utilizzando il connettore.
  5. Fare clic su Trova.

    Viene visualizzata la lista dei nome del vault.

  6. Selezionare la casella di controllo accanto a Nome vault.
  7. Se si desidera aggiungere tag per le risorse, espandere la sezione Opzioni avanzate, quindi fare clic su Aggiungi tag.
  8. Fare clic su Registrati per registrare i vault localmente in OCI.
  9. Dopo aver registrato il vault, è possibile visualizzare le informazioni relative al nome visualizzato, allo stato, al tipo, al gruppo di risorse di Azure e al creato dei vault nella lista.
  10. Selezionare il vault in uso, quindi fare clic sulla scheda Associazioni connettore identità, che elenca le associazioni di connettori di identità nel compartimento corrente.
    Nota

    Viene creata automaticamente un'associazione predefinita tra il vault e il connettore identità utilizzato durante il processo di registrazione del vault. Ciò consente di utilizzare il vault nel cluster VM Exadata associato a tale connettore di identità specifico.

    Se si desidera utilizzare lo stesso vault in altri cluster registrati con connettori di identità diversi (ad esempio, non quello utilizzato durante la ricerca automatica del vault), è necessario creare in modo esplicito un'associazione tra il vault e tali connettori di identità aggiuntivi.

  11. Fare clic su Crea associazione.
  12. Dall'elenco a discesa selezionare il compartimento, il nome dell'associazione del vault di chiavi di Azure e il connettore identità.
  13. Se si espande la sezione Opzioni avanzate, è possibile aggiungere Tag per l'organizzazione delle risorse.
  14. Verificare le selezioni effettuate, quindi fare clic su Crea.

Per creare un database in un cluster VM esistente

In questo argomento viene descritto come creare il primo database o i database successivi.

Nota

Se IORM è abilitato nell'istanza di Exadata Cloud Infrastructure, la direttiva predefinita verrà applicata al nuovo database e le prestazioni del sistema potrebbero essere interessate. Oracle consiglia di rivedere le impostazioni IORM e di apportare le modifiche applicabili alla configurazione dopo il provisioning del nuovo database.
Nota

Prima di creare il primo database e selezionare Azure Key Vault per la gestione delle chiavi, assicurarsi che vengano soddisfatti i prerequisiti riportati di seguito.
  • Tutti i prerequisiti di rete descritti nella sezione Requisiti di rete per la creazione di un connettore di identità e di risorse KMS sono soddisfatti
  • Il connettore di identità è stato creato e disponibile per l'uso
  • La gestione delle chiavi Azure è abilitata a livello di cluster VM
  • Il cluster VM dispone delle autorizzazioni necessarie per accedere ai vault
  • I vault sono registrati come risorse OCI
Nota

  • Limitazione delle Virtual Machine: lo scale-out di un cluster VM non estende automaticamente i database che utilizzano Azure Key Vault alla virtual machine appena aggiunta. Per completare l'estensione, è necessario aggiornare il connettore di identità esistente per il cluster VM Exadata fornendo il token di accesso Azure. Dopo aver aggiornato Identity Connector, eseguire il comando dbaascli database addInstance per aggiungere l'istanza di database alla nuova VM.
  • Limitazioni di Data Guard:
    • Quando si crea un database di standby per un database primario che utilizza Azure Key Vault, assicurarsi che il cluster VM di destinazione disponga di un connettore identità attivo, che la gestione delle chiavi Azure sia abilitata e che l'associazione richiesta tra il connettore identità e il vault di chiavi sia configurata correttamente.
    • Le operazioni di Data Guard e ripristino del database tra più aree non sono supportate per i database che utilizzano Azure Key Vault per la gestione delle chiavi.
  • Limitazione delle operazioni PDB: le operazioni del PDB remoto, ad esempio copia, aggiornamento e riposizionamento, sono supportate solo se i database di origine e di destinazione utilizzano la stessa chiave TDE (Transparent Data Encryption).
  1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure
  2. Scegliere il compartimento.
  3. Passare al cluster VM cloud o al sistema DB in cui si desidera creare il database:

    Cluster VM cloud (The New Exadata Cloud Infrastructure Resource Model): in Oracle Exadata Database Service on Dedicated Infrastructure, fare clic su Cluster VM Exadata. Nella lista dei cluster VM, individuare il cluster VM a cui si desidera accedere e fare clic sul nome evidenziato per visualizzare la pagina dei dettagli per il cluster.

    Sistemi DB: in Oracle Base Database, fare clic su Sistemi DB. Nella lista dei sistemi DB trovare il sistema DB Exadata a cui si desidera accedere, quindi fare clic sul relativo nome per visualizzare i dettagli su di esso.

  4. Fare clic su Crea database.
  5. Nella finestra di dialogo Crea database immettere quanto riportato di seguito.
    Nota

    Dopo aver creato il database, non è possibile modificare i prefissi db_name, db_unique_name e SID.
    • Nome database: il nome del database. Il nome del database deve soddisfare i requisiti riportati di seguito.
      • Massimo 8 caratteri
      • Contiene solo caratteri alfanumerici
      • Iniziare con un carattere alfabetico
      • Non può far parte dei primi 8 caratteri di un file DB_UNIQUE_NAME nel cluster VM
      • NON utilizzare i seguenti nomi riservati: grid, ASM
    • Suffisso nome univoco del database:

      Facoltativamente, specificare un valore per il parametro del database DB_UNIQUE_NAME. Il valore fa distinzione tra maiuscole e minuscole.

      Il nome univoco deve soddisfare i requisiti indicati di seguito.

      • Massimo 30 caratteri
      • Contiene solo caratteri alfanumerici o caratteri di sottolineatura (_)
      • Iniziare con un carattere alfabetico
      • Univoco nel cluster VM. Si consiglia di essere univoci nella tenancy.
      Se non specificato, il sistema genera automaticamente un valore di nome univoco, come indicato di seguito. 
      <db_name>_<3_chars_unique_string>_<region-name>
    • Versione del database: la versione del database. È possibile combinare le versioni del database nel sistema DB Exadata.
    • Nome PDB: (Facoltativo) Per Oracle Database 12c (12.1.0.2) e versioni successive, è possibile specificare il nome del pluggable database. Il nome PDB deve iniziare con un carattere alfabetico e può contenere al massimo otto caratteri alfanumerici. L'unico carattere speciale consentito è il carattere di sottolineatura ( _).

      Per evitare potenziali collisioni di nomi di servizio quando si utilizza Oracle Net Services per connettersi al PDB, assicurarsi che il nome del PDB sia univoco nell'intero cluster VM. Se non si specifica il nome del primo PDB, viene utilizzato un nome generato dal sistema.

    • Home database: la Oracle Database home per il database. Scegliere l'opzione applicabile:
      • Selezionare una home del database esistente: il campo Nome visualizzato della home del database consente di scegliere la home del database dalle home esistenti per la versione del database specificata. Se non esiste una home del database con questa versione, è necessario crearne una nuova.
      • Creare una nuova home del database: utilizzare questa opzione per eseguire il provisioning di una nuova home del database per il database peer Data Guard.

        Fare clic su Modifica immagine database per utilizzare un'immagine pubblicata da Oracle desiderata o un'immagine software del database personalizzata creata in anticipo, quindi selezionare un tipo di immagine:

        • Immagini software del database fornite da Oracle:

          quindi è possibile utilizzare lo switch Visualizza tutte le versioni disponibili per scegliere tra tutte le PSU e le RU disponibili. La release più recente per ogni versione principale è indicata con un'etichetta più recente.

          Nota

          Per le release principali di Oracle Database disponibili in Oracle Cloud Infrastructure, le immagini vengono fornite per la versione corrente più le tre versioni precedenti più recenti (da N a N - 3). Ad esempio, se un'istanza utilizza Oracle Database 19c e la versione più recente di 19c offerta è la 19.8.0.0.0, le immagini disponibili per il provisioning sono per le versioni 19.8.0.0.0, 19.7.0.0, 19.6.0.0 e 19.5.0.0.
        • Immagini software di database personalizzate: queste immagini vengono create dall'organizzazione e contengono configurazioni personalizzate di aggiornamenti e patch software. Utilizzare i selettori Seleziona un compartimento, Seleziona un'area e Seleziona una versione del database per limitare la lista delle immagini software del database personalizzato a un compartimento, un'area o una versione della release principale del software Oracle Database specifica.

          Il filtro area viene impostato automaticamente sull'area attualmente connessa ed elenca tutte le immagini software create in tale area. Quando si sceglie un'area diversa, l'elenco delle immagini software viene aggiornato per visualizzare le immagini software create nell'area selezionata.

    • Crea credenziali amministratore: (Sola lettura) verrà creato un utente SYS amministratore di database con la password fornita.
      • Nome utente: SYS
      • Password: fornire la password per questo utente. La password deve soddisfare i criteri seguenti:

        Password sicura per SYS, SYSTEM, wallet TDE e amministratore PDB. La password deve avere una lunghezza compresa tra 9 e 30 caratteri e contenere minimo due maiuscole, due minuscole, due numeriche e due caratteri speciali. I caratteri speciali devono essere _, # o -. La password non deve contenere il nome utente (SYS, SYSTEM e così via) o la parola "oracle" in ordine in avanti o inverso e indipendentemente dall'involucro.

      • Conferma password: immettere di nuovo la password SYS specificata.
      • L'utilizzo di una password wallet TDE è facoltativo. Se si utilizzano chiavi di cifratura gestite dal cliente memorizzate in un vault nella tenancy, la password del wallet TDE non è applicabile al sistema DB. Utilizzare Mostra opzioni avanzate alla fine della finestra di dialogo Crea database per configurare le chiavi gestite dal cliente.

        Se si utilizzano chiavi gestite dal cliente o si desidera specificare una password del wallet TDE diversa, deselezionare Utilizzare la password dell'amministratore per la casella wallet TDE. Se si utilizzano chiavi gestite dal cliente, lasciare vuoti i campi della password TDE. Per impostare la password del wallet TDE manualmente, immettere una password nel campo Immettere la password del wallet TDE, quindi confermarla immettendola nel campo Conferma password del wallet TDE.

    • Configurare i backup del database: specificare le impostazioni per il backup del database in Autonomous Recovery Service o Object Storage:
      • Abilita backup automatico: selezionare la casella di controllo per abilitare i backup incrementali automatici per questo database. Se si sta creando un database in un compartimento della zona di sicurezza, è necessario abilitare i backup automatici.
      • Destinazione di backup: le opzioni disponibili sono Autonomous Servizio di recupero o Storage degli oggetti.
      • Pianificazione backup:
        • Storage degli oggetti (L0):
          • Giorno di pianificazione backup completo: scegliere un giorno della settimana per l'avvio dei backup L0 iniziali e futuri.
          • Tempo di pianificazione backup completo (UTC): specificare la finestra di tempo in cui i backup completi vengono avviati quando si seleziona la capacità di backup automatica.

          • Esegui immediatamente il primo backup: un backup completo è un backup del sistema operativo di tutti i file di dati e del control file che costituiscono un Oracle Database. Un backup completo deve includere anche i file dei parametri associati al database. È possibile eseguire un backup completo del database quando il database viene chiuso o quando il database è aperto. In genere, non dovresti eseguire un backup completo dopo un errore dell'istanza o altre circostanze insolite.

            Se si sceglie di rinviare il primo backup completo, il database potrebbe non essere recuperabile in caso di errore del database.

        • Storage degli oggetti (L1):
          • Tempo di pianificazione backup incrementale (UTC): specificare la finestra di tempo in cui i backup incrementali vengono avviati quando viene selezionata una capacità di backup automatica.
        • Autonomous Recovery Service (L0):
          • Giorno pianificato per il backup iniziale: scegliere un giorno della settimana per il backup iniziale.
          • Ora di pianificazione per il backup iniziale (UTC): selezionare la finestra di tempo per il backup iniziale.

          • Esegui immediatamente il primo backup: un backup completo è un backup del sistema operativo di tutti i file di dati e del control file che costituiscono un Oracle Database. Un backup completo deve includere anche i file dei parametri associati al database. È possibile eseguire un backup completo del database quando il database viene chiuso o quando il database è aperto. In genere, non dovresti eseguire un backup completo dopo un errore dell'istanza o altre circostanze insolite.

            Se si sceglie di rinviare il primo backup completo, il database potrebbe non essere recuperabile in caso di errore del database.

        • Autonomous Recovery Service (L1):
          • Tempo schedulato per il backup giornaliero (UTC): specificare la finestra di tempo in cui i backup incrementali vengono avviati quando viene selezionata l'opzione Capacità di backup automatica.
      • Opzioni di eliminazione dopo l'arresto del database: opzioni che è possibile utilizzare per conservare i backup del database protetti dopo l'arresto del database. Queste opzioni possono anche aiutare a ripristinare il database dai backup in caso di danni accidentali o dannosi al database.
        • Mantieni i backup per il periodo specificato nel criterio di protezione o nel periodo di conservazione dei backup: selezionare questa opzione se si desidera conservare i backup del database per l'intero periodo definito nel periodo di conservazione del backup dello storage degli oggetti o nel criterio di protezione di Autonomous Recovery Service dopo l'arresto del database.
        • Mantieni i backup per 72 ore, quindi elimina: selezionare questa opzione per conservare i backup per un periodo di 72 ore dopo l'interruzione del database.

      • Periodo di conservazione backup/criterio di protezione: se si sceglie di abilitare i backup automatici, è possibile scegliere un criterio con uno dei seguenti periodi di conservazione preimpostati o un criterio personalizzato.

        Periodo di conservazione del backup dello storage degli oggetti: 7, 15, 30, 45, 60. Impostazione predefinita: 30 giorni. Il sistema elimina automaticamente i backup incrementali alla fine del periodo retention scelto.

        Criterio di protezione di Autonomous Recovery Service:

        • Bronzo: 14 giorni
        • Argento: 35 giorni
        • Oro: 65 giorni
        • Platinum: 95 giorni
        • Personalizzato definito dall'utente
        • Valore predefinito: Silver - 35 giorni
      • Abilita protezione dei dati in tempo reale: la protezione in tempo reale è il trasferimento continuo di modifiche di redo da un database protetto a Autonomous Recovery Service. Ciò riduce la perdita di dati e fornisce un recovery point objective (RPO) vicino allo 0. Questa è un'opzione di costo aggiuntivo.

  6. Fare clic su Mostra opzioni avanzate per specificare le opzioni avanzate per il database.

    • Gestione:

      Prefisso SID Oracle: il numero di istanza di Oracle Database viene aggiunto automaticamente al prefisso SID per creare il parametro del database INSTANCE_NAME. Il parametro INSTANCE_NAME è anche noto come SID. SID è univoco nel cluster VM cloud. Se non specificato, il prefisso SID viene impostato automaticamente su db_name.

      Nota

      L'immissione di un prefisso SID è disponibile solo per i database Oracle 12.1 e versioni successive.

      Il prefisso SID deve soddisfare i requisiti riportati di seguito.

      • Massimo 12 caratteri
      • Contiene solo caratteri alfanumerici. È tuttavia possibile utilizzare il carattere di sottolineatura (_), che è l'unico carattere speciale non limitato da questa convenzione di denominazione.
      • Iniziare con un carattere alfabetico
      • Unico nel cluster VM
      • NON utilizzare i seguenti nomi riservati: grid, ASM
    • Set di caratteri: il set di caratteri per il database. L'impostazione predefinita è AL32UTF8.
    • Set di caratteri nazionale: il set di caratteri nazionale per il database. L'impostazione predefinita è AL16UTF16.

    • Cifratura:

      Se si sta creando un database in un cluster VM Exadata Cloud Service, è possibile scegliere di utilizzare la cifratura in base alle chiavi di cifratura gestite dall'utente. Per impostazione predefinita, il database viene configurato utilizzando chiavi di cifratura gestite da Oracle.

      • Per configurare il database con la cifratura basata su chiavi di cifratura gestite eseguire le operazioni riportate di seguito.
        Nota

        Se la gestione delle chiavi di Azure è disabilitata a livello di cluster VM, saranno disponibili tre opzioni di gestione delle chiavi: Oracle Wallet, OCI Vault e Oracle Key Vault.
        • Vault OCI:
          1. È necessario disporre di una chiave di cifratura valida nel servizio Oracle Cloud Infrastructure Vault. Vedere Consenti agli amministratori della sicurezza di gestire vault, chiavi e segreti.
            Nota

            È necessario utilizzare le chiavi di cifratura AES-256 per il database.
          2. Scegliere un Vault.
          3. Selezionare una chiave di cifratura primaria.
          4. Per specificare una versione della chiave diversa dalla versione più recente della chiave selezionata, selezionare Scegliere la versione della chiave e immettere l'OCID della chiave che si desidera utilizzare nel campo OCID versione chiave.
            Nota

            La versione della chiave verrà assegnata solo al container database (CDB) e non al pluggable database (PDB). Al PDB verrà assegnata una nuova versione della chiave generata automaticamente.
        • Oracle Key Vault: scegliere un compartimento e selezionare un keystore dal compartimento scelto.
      • Per creare un database utilizzando Azure Key Vault come soluzione di gestione delle chiavi, effettuare le operazioni riportate di seguito.
        Nota

        Se la gestione delle chiavi di Azure è abilitata a livello di cluster VM, saranno disponibili due opzioni di gestione delle chiavi: Oracle Wallet e Azure Key Vault.
        1. Selezionare il tipo Gestione chiavi come Azure Key Vault.
        2. Selezionare il Vault disponibile nel compartimento.
          Nota

          L'elenco Vault popola solo i vault registrati. Fare clic sul collegamento Registra nuovi vault per registrare il vault. Nella pagina Registra vault di chiavi di Azure, selezionare il vault, quindi fare clic su Registra.
          Nota

          Almeno una chiave deve essere registrata nei vault.
        3. Selezionare la chiave disponibile nel compartimento.
    • Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag definita, è necessario disporre delle autorizzazioni per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare i tag, saltare questa opzione (è possibile applicare i tag in seguito) o chiedere all'amministratore.
  7. Fare clic su Crea database.
Nota

È ora possibile:
  • Creare o eliminare un CDB mentre un'impostazione Data Guard è in esecuzione su un altro database all'interno della stessa Oracle home e viceversa.
  • Crea o elimina un CDB durante l'esecuzione contemporanea di azioni Data Guard (switchover, failover e reintegrazione) all'interno della stessa Oracle home e viceversa.
  • Crea o elimina un CDB durante la creazione o l'eliminazione simultanea di un PDB all'interno della stessa Oracle home e viceversa.
  • Crea o elimina contemporaneamente un CDB all'interno della stessa Oracle home.
  • Crea o elimina un CDB durante l'aggiornamento simultaneo delle tag del cluster VM.

Al termine della creazione del database, lo stato cambia da Provisioning a Disponibile e, nella pagina dei dettagli del database per il nuovo database, nella sezione Cifratura vengono visualizzati il nome della chiave di cifratura e l'OCID della chiave di cifratura.

AVVERTENZA:

Non eliminare la chiave di cifratura dal vault. In questo modo qualsiasi database protetto dalla chiave non sarà più disponibile.

Impara a modificare le chiavi di cifratura tra metodi di cifratura diversi.

  1. Passare al cluster VM Exadata esistente nella console OCI. Selezionare la scheda Database. Selezionare quindi la risorsa di database in uso.
  2. Selezionare la scheda Informazioni database, quindi scorrere fino alla sezione Gestione chiavi.
  3. Nella sezione Cifratura, verificare che Gestione chiavi sia impostato su Oracle Wallet, quindi selezionare il collegamento Modifica.
  4. Immettere le informazioni seguenti nella pagina Modifica gestione chiavi.
    1. Selezionare Gestione chiavi come Vault di chiavi di Azure dall'elenco a discesa.
    2. Selezionare il compartimento Vault in uso, quindi selezionare il Vault disponibile nel compartimento.
    3. Selezionare il compartimento Chiave in uso, quindi selezionare la chiave dall'elenco a discesa.
    4. Fare clic su Salva modifiche.
Nota

La modifica della gestione delle chiavi da Azure Key Vault a Oracle Wallet non può essere eseguita utilizzando l'API o OCI Console, ma è supportata solo tramite il comando dbaascli tde fileToHsm. Inoltre, il passaggio tra Azure Key Vault e OCI Vault o Oracle Key Vault (OKV) non è supportato.

Per ruotare la chiave di cifratura del vault di chiavi Azure di un container database (CDB), utilizzare questa procedura.

  1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Scegliere il compartimento.

    Viene visualizzata una lista di cluster VM per il compartimento scelto.

  3. Nella lista dei cluster VM fare clic sul nome del cluster VM contenente il database che si desidera ruotare le chiavi di cifratura.
  4. Fare clic su Database.
  5. Fare clic sul nome del database che si desidera ruotare le chiavi di cifratura.

    Nella pagina Dettagli database vengono visualizzate informazioni sul database selezionato.

  6. Nella sezione Cifratura, verificare che Gestione chiavi sia impostato su Azure Key Vault, quindi fare clic sul collegamento Ruota.
  7. Nella finestra di dialogo Tasto di rotazione risultante fare clic su Ruota per confermare l'azione.
Nota

La rotazione delle chiavi deve essere eseguita tramite l'interfaccia OCI. La rotazione della chiave direttamente dall'interfaccia di Azure non ha alcun effetto sul database.

Per ruotare la chiave di cifratura del vault di chiavi di Azure di un pluggable database (PDB), utilizzare questa procedura.

  1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Scegliere il compartimento.

    Viene visualizzata una lista di cluster VM per il compartimento scelto.

  3. Nella lista dei cluster VM fare clic sul nome del cluster VM contenente il PDB che si desidera avviare, quindi fare clic sul relativo nome per visualizzare la pagina dei dettagli.
  4. In Database, individuare il database contenente il PDB che si desidera ruotare le chiavi di cifratura.
  5. Fare clic sul nome del database per visualizzare la pagina Dettagli database.
  6. Fare clic su pluggable database nella sezione Risorse della pagina.

    Viene visualizzata una lista di PDB esistenti in questo database.

  7. Fare clic sul nome del PDB che si desidera ruotare le chiavi di cifratura.

    Viene visualizzata la pagina dei dettagli collegabili.

  8. Nella sezione Cifratura viene visualizzato che la gestione delle chiavi è impostata come Azure Key Vault.
  9. Fare clic sul collegamento Ruota.
  10. Nella finestra di dialogo Tasto di rotazione risultante fare clic su Ruota per confermare l'azione.

Per informazioni sull'uso dell'API e sulle richieste di firma, vedere API REST e Credenziali di sicurezza. Per informazioni sugli SDK, vedere Software Development Kit and Command Line Interface (interfaccia a riga di comando e kit di sviluppo software).

Utilizzare queste operazioni API per gestire l'integrazione di Azure Key Vault per Exadata Database Service su Oracle Database@Azure.

Operazione API tabella 5-9 per gestire l'integrazione di Azure Key Vault per Exadata Database Service su Oracle Database@Azure

API Descrizione
createOracleDbAzureConnector Acquisisce i dettagli specifici di Azure dal cliente e automatizza l'installazione dell'agente ARC nel cluster VM ExaDB-D.
deleteOracleDbAzureConnector Elimina la risorsa Connettore Azure e disinstalla Arc Agent dal cluster VM ExaDB-D.
getOracleDbAzureConnector Recupera i dettagli di una risorsa connettore Azure specifica.
listOracleDbAzureConnectors Elenca le risorse del connettore Azure in base ai filtri specificati.
CreateMultiCloudResourceDiscovery Crea una nuova risorsa di ricerca automatica delle risorse multi-cloud.
GetMultiCloudResourceDiscovery Recupera i dettagli di una risorsa di ricerca automatica delle risorse multi-cloud specifica.
ListMultiCloudResourceDiscoveries Recupera una lista di tutte le risorse di ricerca automatica delle risorse multi-cloud.
CreateOracleDbAzureVaultAssociation Crea una nuova associazione tra un vault Oracle DB e Azure.
GetOracleDbAzureVaultAssociation Recupera i dettagli di un'associazione di vault Oracle DB Azure specifica.
ListOracleDbAzureVaultAssociations Recupera una lista di tutte le associazioni di vault Oracle DB Azure.
CreateCloudVMCluster Crea un cluster VM cloud.
GetCloudVmCluster Ottiene informazioni sul cluster VM cloud specificato. Si applica solo alle istanze di Exadata Cloud Service e ad Autonomous Database su un'infrastruttura Exadata dedicata.
ListCloudVmClusters Ottiene una lista dei cluster VM cloud nel compartimento specificato. Si applica solo alle istanze di Exadata Cloud Service e ad Autonomous Database su un'infrastruttura Exadata dedicata.
DeleteCloudVMCluster Elimina il cluster VM cloud specificato. Si applica solo alle istanze di Exadata Cloud Service e ad Autonomous Database su un'infrastruttura Exadata dedicata.
CreateDatabase Crea un nuovo database nella home del database specificata. Se viene fornita la versione del database, deve corrispondere alla versione della home del database. Si applica ai sistemi Exadata ed Exadata Cloud@Customer.
CreateDatabaseFromBackup

Dettagli per la creazione di un database mediante il ripristino da un backup del database.

Avvertenza: Oracle consiglia di evitare di utilizzare informazioni riservate quando si forniscono valori di stringa utilizzando l'API.

MigrateVaultKey Modifica la gestione delle chiavi di cifratura da quella gestita dal cliente, utilizzando il servizio Vault, a quella gestita da Oracle.
RotateVaultKey Crea una nuova versione di una chiave esistente del servizio Vault.
RestoreDatabase Ripristina un database in base ai parametri di richiesta forniti.