Preparati a utilizzare Oracle Key Vault con Autonomous Database sull'infrastruttura Exadata dedicata

Oracle Key Vault è un'appliance software full-stack e con protezione avanzata creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda. Oracle Key Vault è un sistema gestito e con provisioning eseguito dai clienti e non fa parte dei servizi gestiti di Oracle Cloud Infrastructure. Puoi integrare Oracle Key Vault (OKV) on-premise con i servizi cloud di database gestiti dal cliente per proteggere i dati critici on-premise.

Argomenti correlati

Prerequisiti

  1. Assicurarsi che OKV sia impostato e che la rete sia accessibile dalla rete client Oracle Public Cloud. Per accedere al server OKV, aprire le porte 443, 5695 e 5696 in uscita sulla rete client.
  2. Assicurarsi che l'interfaccia REST sia abilitata dall'interfaccia utente OKV.
  3. Crea l'utente "Amministratore REST OKV". È possibile utilizzare qualsiasi nome utente qualificato di propria scelta, ad esempio "okv_rest_user". Per Autonomous Database su Cloud@Customer e Oracle Database Exadata Cloud at Customer, utilizzare gli stessi utenti REST o diversi. Tali database possono essere gestiti mediante chiavi negli stessi cluster OKV in locale o in cluster diversi. Oracle Database Exadata Cloud at Customer richiede un utente REST con il privilegio create endpoint. Per Autonomous Database su Cloud@Customer è necessario un utente REST con privilegi create endpoint e create endpoint group.
  4. Raccogliere le credenziali di amministratore OKV e l'indirizzo IP, necessari per connettersi a OKV e configurare il keystore. Per istruzioni, vedere Creare un keystore.
  5. Aprire le porte 443, 5695 e 5696 in uscita sulla rete client per accedere al server OKV.
  6. Nelle distribuzioni di Oracle Public Cloud, assicurarsi che OKV disponga dell'accesso di rete all'Autonomous Database impostando gli instradamenti di rete appropriati con VPN (Fast connect o VPN as a Service) o qualsiasi peering VCN se l'host di computazione si trova in un'altra VCN.

Creare un vault nel servizio vault OCI e aggiungere un segreto al vault per memorizzare la password dell'amministratore REST OKV

La distribuzione dell'infrastruttura Exadata dedicata comunica con OKV su REST ogni volta che viene eseguito il provisioning di un Oracle Database per registrare Oracle Database e richiedere un wallet su OKV. Pertanto, l'infrastruttura Exadata deve accedere alle credenziali di amministratore REST per eseguire la registrazione con il server OKV. Queste credenziali vengono memorizzate in modo sicuro nel servizio Oracle Vault in OCI sotto forma di segreto e vi si accede dalla distribuzione dell'infrastruttura Exadata dedicata solo quando necessario. Se necessario, le credenziali vengono memorizzate in un file wallet protetto da password.

Creare un gruppo dinamico e un'istruzione dei criteri per consentire al keystore di accedere al segreto nel vault OCI

Per concedere alle risorse del keystore l'autorizzazione per accedere al segreto nel vault OCI, creare un gruppo dinamico IAM che identifichi queste risorse, quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso al segreto creato nei vault e nei segreti OCI.

Quando si definisce il gruppo dinamico, è possibile identificare le risorse del keystore specificando l'OCID del compartimento contenente il keystore.

  • Copiare l'OCID del compartimento contenente la risorsa del keystore. Puoi trovare questo OCID nella pagina Dettagli compartimento del compartimento.
  • Creare un gruppo dinamico seguendo le istruzioni riportate in Gestione dei gruppi dinamici nella documentazione di Oracle Cloud Infrastructure. Quando si seguono queste istruzioni, immettere una regola di corrispondenza in questo formato:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    dove <compartment-ocid> è l'OCID del compartimento contenente la risorsa del keystore.

Dopo aver creato il gruppo dinamico, passare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente i vault e i segreti. Aggiungere quindi un'istruzione criterio di questo formato:

allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

dove <dynamic-group> è il nome del gruppo dinamico creato e <vaults-and-secrets-compartment> è il nome del compartimento in cui sono stati creati i vault e i segreti.

Creare un'istruzione criterio per consentire al servizio di database di utilizzare il segreto dal servizio OCI Vault

Per concedere al servizio Autonomous Database l'autorizzazione a utilizzare il segreto nel vault OCI per eseguire il login all'interfaccia REST OKV, passare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente i vault e i segreti OCI. Aggiungere quindi un'istruzione criterio di questo formato: 

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

dove <vaults-and-secrets-compartment> è il nome del compartimento in cui sono stati creati i vault e i segreti OCI.

Dopo aver impostato OCI Vault e aver impostato la configurazione IAM, ora è possibile distribuire il 'Key Store' di Oracle Key Vault in OCI e associarlo al cluster VM Exadata dedicato.