Usa Oracle Key Vault con Autonomous AI Database su un'infrastruttura Exadata dedicata

Oracle Key Vault è un'appliance software full-stack e con protezione avanzata creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda. Oracle Key Vault è un sistema gestito e con provisioning eseguito dai clienti e non fa parte dei servizi gestiti di Oracle Cloud Infrastructure. Puoi integrare Oracle Key Vault (OKV) on-premise con i servizi cloud di database gestiti dal cliente per proteggere i dati critici on-premise.

Argomenti correlati

Prerequisiti

  1. Assicurarsi che OKV sia impostato e che la rete sia accessibile dalla rete client Oracle Public Cloud. Per accedere al server OKV, aprire le porte 443, 5695 e 5696 in uscita sulla rete client.
  2. Assicurarsi che l'interfaccia REST sia abilitata dall'interfaccia utente OKV.
  3. Crea l'utente "Amministratore REST OKV". Puoi utilizzare qualsiasi nome utente qualificato di tua scelta, ad esempio "okv_rest_user". Per Autonomous AI Database su Cloud@Customer e Oracle Database Exadata Cloud at Customer, utilizza gli stessi utenti REST o utenti diversi. Tali database possono essere gestiti tramite chiave nello stesso cluster OKV on premise o in cluster OKV diversi. Oracle Database Exadata Cloud at Customer richiede un utente REST con privilegio create endpoint. Autonomous AI Database su Cloud@Customer richiede un utente REST con privilegi create endpoint e create endpoint group.
  4. Raccogliere le credenziali di amministratore OKV e l'indirizzo IP, necessari per connettersi a OKV e configurare il keystore. Per istruzioni, vedere Creare un keystore.
  5. Aprire le porte 443, 5695 e 5696 in uscita sulla rete client per accedere al server OKV.
  6. Nelle distribuzioni di Oracle Public Cloud, assicurarsi che OKV disponga dell'accesso di rete al database AI autonomo impostando gli instradamenti di rete appropriati con VPN (Fast connect o VPN as a Service) o qualsiasi peering VCN se l'host di computazione si trova in un'altra VCN.

Creare un vault nel servizio vault OCI e aggiungere un segreto al vault per memorizzare la password dell'amministratore REST OKV

La distribuzione dell'infrastruttura Exadata dedicata comunica con OKV su REST ogni volta che viene eseguito il provisioning di un Oracle Database per registrare Oracle Database e richiedere un wallet su OKV. Pertanto, l'infrastruttura Exadata deve accedere alle credenziali di amministratore REST per eseguire la registrazione con il server OKV. Queste credenziali vengono memorizzate in modo sicuro nel servizio Oracle Vault in OCI sotto forma di segreto e vi si accede dalla distribuzione dell'infrastruttura Exadata dedicata solo quando necessario. Se necessario, le credenziali vengono memorizzate in un file wallet protetto da password.

Aggiorna gruppo di endpoint OKV

È possibile aggiornare il gruppo di endpoint OKV dalla pagina Dettagli di un ACD.

Facoltativamente, è anche possibile aggiungere un nome di gruppo di endpoint OKV con il keystore OKV durante il provisioning di ACD o release successive.

Per aggiornare il gruppo di endpoint OKV su un ACD, è necessario assicurarsi che:
  • Il gruppo di endpoint OKV dispone dell'accesso al wallet OKV corrispondente.
  • Gli endpoint OKV corrispondenti all'ACD fanno parte del gruppo di endpoint OKV.
  • Il gruppo di endpoint OKV dispone dell'accesso in lettura ai wallet predefiniti degli endpoint.
Per aggiornare il nome del gruppo di endpoint OKV:
  • Andare alla pagina Dettagli dell'ACD. Per istruzioni, vedere Visualizzare i dettagli di un Autonomous Container Database.
  • Fare clic su Modifica accanto al nome del gruppo di endpoint OKV in Cifratura.
  • Scegliere un keystore dall'elenco e immettere un nome per il gruppo di endpoint OKV. Il nome del gruppo di endpoint deve essere in maiuscolo e può includere numeri, trattini (-) e caratteri di sottolineatura (_) e iniziare con una lettera maiuscola.
  • Fare clic su Salva.

Gestisci endpoint OKV

Elimina endpoint di Oracle Key Vault

Dopo aver terminato un ACD, è necessario eliminare gli endpoint corrispondenti all'ACD da OKV. Gli endpoint OKV vengono creati al momento del provisioning ACD per ACD per ogni nodo del cluster. L'eliminazione degli endpoint corrispondenti a un ACD terminato garantisce l'organizzazione di OKV e facilita la rotazione del certificato OKV CA.

L'eliminazione di un endpoint lo rimuove definitivamente da Oracle Key Vault. Tuttavia, gli oggetti di sicurezza creati o caricati in precedenza da tale endpoint rimarranno in Oracle Key Vault. Allo stesso modo, rimangono anche gli oggetti di sicurezza associati a tale endpoint. Per eliminare o riassegnare in modo permanente questi oggetti di sicurezza, è necessario essere un utente con il ruolo Amministratore chiave o autorizzato a unire questi oggetti gestendo i privilegi del wallet. Anche il software endpoint scaricato in precedenza nell'endpoint rimane sull'endpoint fino a quando l'amministratore dell'endpoint non lo rimuove.

Non è possibile eliminare un endpoint che si trova nello stato PENDING se non si è l'utente che lo ha creato. È necessario eliminarlo nel nodo in cui è stato creato. Per ulteriori dettagli, vedere Eliminazione di uno o più endpoint.

Riiscrizione degli endpoint

Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata non supporta la riiscrizione degli endpoint OKV pronti all'uso. Per iscriversi nuovamente agli endpoint OKV, è necessario contattare i team operativi di Autonomous AI Database.