전용 Exadata 인프라에서 자율운영 AI 데이터베이스와 함께 Oracle Key Vault 사용

Oracle Key Vault는 기업 내 키 및 보안 객체 관리를 중앙 집중화하도록 구축된 풀 스택 보안 강화 소프트웨어 어플라이언스입니다. Oracle Key Vault는 고객이 프로비저닝한 관리형 시스템이며 Oracle Cloud Infrastructure 관리형 서비스의 일부가 아닙니다. 온프레미스 Oracle Key Vault(OKV)를 고객 관리형 데이터베이스 클라우드 서비스와 통합하여 중요한 데이터를 온프레미스로 보호할 수 있습니다.

관련 항목

필요 조건

  1. OKV가 설정되고 Oracle Public Cloud 클라이언트 네트워크에서 네트워크에 액세스할 수 있는지 확인합니다. OKV 서버에 액세스하기 위해 클라이언트 네트워크에서 송신할 포트 443, 5695 및 5696을 엽니다.
  2. OKV 사용자 인터페이스에서 REST 인터페이스가 사용으로 설정되었는지 확인합니다.
  3. "OKV REST 관리자" 사용자를 생성합니다. 원하는 모든 사용자 이름(예: "okv_rest_user")을 사용할 수 있습니다. Cloud@CustomerOracle Database Exadata Cloud at Customer자율운영 AI 데이터베이스의 경우 동일하거나 다른 REST 사용자를 사용합니다. 이러한 데이터베이스는 동일하거나 서로 다른 온프레미스 OKV 클러스터에서 키 관리될 수 있습니다. Oracle Database Exadata Cloud at Customer에는 create endpoint 권한이 있는 REST 사용자가 필요합니다. Cloud@Customer자율운영 AI 데이터베이스에는 create endpointcreate endpoint group 권한이 있는 REST 사용자가 필요합니다.
  4. OKV에 연결하고 키 저장소를 구성하는 데 필요한 OKV 관리자 자격 증명 및 IP 주소를 수집합니다. 자세한 내용은 키 저장소 생성을 참조하십시오.
  5. 클라이언트 네트워크에서 송신할 포트 443, 5695 및 5696을 열어 OKV 서버에 액세스합니다.
  6. Oracle Public Cloud 배포에서 컴퓨트 호스트가 다른 VCN에 있는 경우 VPN(빠른 연결 또는 VPN as a Service) 또는 모든 VCN 피어링을 사용하여 적절한 네트워크 경로를 설정하여 OKV가 자율운영 AI 데이터베이스에 대한 네트워크 액세스 권한을 가지고 있는지 확인합니다.

OCI 저장소 서비스에서 저장소 생성 및 저장소에 암호 추가를 통해 OKV REST 관리자 비밀번호 저장

전용 Exadata 인프라 배포는 Oracle Database를 등록하고 OKV에서 전자 지갑을 요청하기 위해 Oracle Database가 프로비저닝될 때마다 REST를 통해 OKV와 통신합니다. 따라서 OKV 서버에 등록하려면 Exadata 인프라가 REST 관리 인증서에 액세스해야 합니다. 이러한 인증서는 OCI의 Oracle Vault Service에 암호로 안전하게 저장되며 필요할 때만 전용 Exadata 인프라 배치에서 액세스할 수 있습니다. 필요한 경우 인증서가 암호로 보호된 전자 지갑 파일에 저장됩니다.

OKV 끝점 그룹 업데이트

ACD의 세부정보 페이지에서 OKV 끝점 그룹을 업데이트할 수 있습니다.

선택적으로 ACD 이상을 프로비전하는 동안 OKV 키 저장소를 사용하여 OKV 끝점 그룹 이름을 추가할 수도 있습니다.

ACD에서 OKV 끝점 그룹을 업데이트하려면 다음 사항을 확인해야 합니다.
  • OKV 끝점 그룹은 해당 OKV 전자 지갑에 대한 액세스 권한을 가집니다.
  • ACD에 해당하는 OKV 끝점은 OKV 끝점 그룹의 일부입니다.
  • OKV 끝점 그룹은 끝점의 기본 전자 지갑에 대한 읽기 액세스 권한을 가집니다.
OKV 끝점 그룹 이름을 업데이트하려면 다음과 같이 하십시오.
  • ACD의 세부정보 페이지로 이동합니다. 지침은 자율운영 컨테이너 데이터베이스의 세부정보 보기를 참조하십시오.
  • 암호화 아래의 OKV 끝점 그룹 이름 옆에 있는 편집을 누릅니다.
  • 목록에서 키 저장소를 선택하고 OKV 끝점 그룹의 이름을 입력합니다. 끝점 그룹 이름은 모두 대문자여야 하며 숫자, 하이픈(-) 및 밑줄(_)을 포함하고 대문자로 시작할 수 있습니다.
  • 저장을 누릅니다.

OKV 끝점 관리

Oracle Key Vault 끝점 삭제

ACD를 종료한 후에는 OKV에서 ACD에 해당하는 엔드포인트를 삭제해야 합니다. OKV 끝점은 클러스터 노드당 ACD당 ACD 프로비전 시 생성됩니다. 종료된 ACD에 해당하는 끝점을 삭제하면 OKV가 구성되고 OKV CA 인증서 교체 중 도움이 됩니다.

끝점을 삭제하면 Oracle Key Vault에서 영구적으로 제거됩니다. 그러나 해당 끝점에 의해 이전에 생성되거나 업로드된 보안 객체는 Oracle Key Vault에 유지됩니다. 마찬가지로 해당 끝점과 연관된 보안 객체도 유지됩니다. 이러한 보안 객체를 영구적으로 삭제하거나 재지정하려면 키 관리자 롤을 가진 사용자이거나 전자 지갑 권한을 관리하여 이러한 객체를 병합할 수 있는 권한이 있어야 합니다. 엔드포인트에서 이전에 다운로드된 엔드포인트 소프트웨어는 엔드포인트 관리자가 제거할 때까지 엔드포인트에도 유지됩니다.

사용자가 생성한 사용자가 아닌 경우 PENDING 상태인 끝점을 삭제할 수 없습니다. 생성된 노드에서 삭제해야 합니다. 자세한 내용은 하나 이상의 끝점 삭제를 참조하십시오.

끝점 재등록

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure는 즉시 OKV 엔드포인트 재등록을 지원하지 않습니다. OKV 엔드포인트를 다시 등록하려면 자율운영 AI 데이터베이스 운영 팀에 문의해야 합니다.