Usa Oracle Key Vault con Autonomous AI Database su un'infrastruttura Exadata dedicata

Oracle Key Vault è un'appliance software full-stack e incentrata sulla sicurezza, creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda. Oracle Key Vault è un sistema gestito e fornito dal cliente e non fa parte dei servizi gestiti di Oracle Cloud Infrastructure. Puoi integrare Oracle Key Vault (OKV) on-premise con i servizi cloud di database gestiti dal cliente per proteggere i dati critici on-premise.

Prerequisiti

  1. Assicurarsi che OKV sia impostato e che la rete sia accessibile dalla rete client Oracle Public Cloud. Aprire le porte 443, 5695 e 5696 per l'uscita sulla rete client per accedere al server OKV.

  2. Assicurarsi che l'interfaccia REST sia abilitata dall'interfaccia utente di OKV.

  3. Crea l'utente "Amministratore REST OKV". È possibile utilizzare qualsiasi nome utente qualificato di propria scelta, ad esempio "okv_rest_user". Per Autonomous AI Database on Cloud@Customer e Oracle Database Exadata Cloud@Customer, utilizza gli stessi utenti REST o utenti diversi. Tali database possono essere gestiti tramite chiave nello stesso cluster OKV on premise o in cluster OKV diversi. Oracle Database Exadata Cloud@Customer richiede un utente REST con il privilegio create endpoint. Autonomous AI Database on Cloud@Customer richiede un utente REST con privilegi create endpoint e create endpoint group.

  4. Raccogliere le credenziali di amministratore OKV e l'indirizzo IP, necessari per connettersi a OKV e configurare il keystore. Per istruzioni, vedere Creare un keystore.

  5. Aprire le porte 443, 5695 e 5696 per l'uscita sulla rete client per accedere al server OKV.

  6. Nelle distribuzioni di Oracle Public Cloud, assicurarsi che OKV disponga dell'accesso di rete ad Autonomous AI Database impostando gli instradamenti di rete appropriati con VPN (Fast connect o VPN as a Service) o qualsiasi peering VCN se l'host di computazione si trova in un'altra VCN.

Creare un vault nel servizio OCI Vault e aggiungere un segreto al vault per memorizzare la password dell'amministratore REST OKV

La distribuzione dell'infrastruttura Exadata dedicata comunica con OKV su REST ogni volta che viene eseguito il provisioning di un Oracle Database per registrare Oracle Database e richiedere un wallet su OKV. Pertanto, l'infrastruttura Exadata deve accedere alle credenziali di amministratore REST per eseguire la registrazione con il server OKV. Queste credenziali vengono memorizzate in modo sicuro nel servizio Oracle Vault in OCI come segreto e vi si accede dalla distribuzione dell'infrastruttura Exadata dedicata solo quando necessario. Quando necessario, le credenziali vengono memorizzate in un file wallet protetto da password.

Creare un'istruzione dei criteri per il servizio di database per utilizzare il segreto dal servizio Vault OKV

Per concedere al servizio Autonomous AI Database l'autorizzazione a utilizzare il segreto in OCI Vault per eseguire il login all'interfaccia REST OKV, andare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente i vault e i segreti OCI. Aggiungere quindi un'istruzione criterio di questo formato:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

dove <vaults-and-secrets-compartment> è il nome del compartimento in cui sono stati creati i vault e i segreti OCI.

Una volta che OCI Vault è stato impostato e la configurazione IAM è in atto, ora sei pronto per distribuire il 'Key Store' di Oracle Key Vault in OCI e associarlo al cluster VM Exadata dedicato.

Aggiorna gruppo di endpoint OKV

È possibile aggiornare il gruppo di endpoint OKV dalla pagina Dettagli di un ACD.

Facoltativamente, è anche possibile aggiungere un nome di gruppo di endpoint OKV con il keystore OKV durante il provisioning di ACD o release successive.

Per aggiornare il gruppo di endpoint OKV su un ACD, è necessario assicurarsi che:

Per aggiornare il nome del gruppo di endpoint OKV:

Gestisci endpoint OKV

Elimina endpoint di Oracle Key Vault

Dopo aver terminato un ACD, è necessario eliminare gli endpoint corrispondenti all'ACD da OKV. Gli endpoint OKV vengono creati al momento del provisioning ACD per ACD per ogni nodo del cluster. L'eliminazione degli endpoint corrispondenti a un ACD terminato garantisce l'organizzazione di OKV e facilita la rotazione del certificato OKV CA.

L'eliminazione di un endpoint lo rimuove definitivamente da Oracle Key Vault. Tuttavia, gli oggetti di sicurezza creati o caricati in precedenza da tale endpoint rimarranno in Oracle Key Vault. Allo stesso modo, rimangono anche gli oggetti di sicurezza associati a tale endpoint. Per eliminare o riassegnare in modo permanente questi oggetti di sicurezza, è necessario essere un utente con il ruolo Amministratore chiave o autorizzato a unire questi oggetti gestendo i privilegi del wallet. Anche il software endpoint scaricato in precedenza nell'endpoint rimane sull'endpoint fino a quando l'amministratore dell'endpoint non lo rimuove.

Non è possibile eliminare un endpoint che si trova nello stato PENDING se non si è l'utente che lo ha creato. È necessario eliminarlo nel nodo in cui è stato creato. Per ulteriori dettagli, vedere Eliminazione di uno o più endpoint.

Riiscrizione degli endpoint

Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata non supporta la riiscrizione degli endpoint OKV pronta all'uso. Per rieseguire l'iscrizione agli endpoint OKV, è necessario contattare i team operativi di Autonomous AI Database.

Contenuto correlato

Crea e gestisci keystore